Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte nochmal helfen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.06.2004, 21:09   #1
Erika
 
Bitte nochmal helfen - Beitrag

Bitte nochmal helfen



vielen Danke erstmal, hab jetzt alles installiert und auch schön eine beachtliche menge an viren gekillt

hier mein HijackThis log:Logfile of HijackThis v1.97.7
Scan saved at 22:35:01, on 20.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\EVNTSVC.EXE
C:\WINDOWS\SYSTEM\LXSUPMON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\SAVE\SAVE.EXE
C:\PROGRAMME\KAZAA\KAZAA.EXE
C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE
C:\PROGRAMME\RAM IDLE\RAMIDLE.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\PROGRAMME\ICQ\NDETECT.EXE
C:\WINDOWS\SYSTEM\CD_LOAD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\RHINOSOFT.COM\FTP VOYAGER\FVSCHEDULER.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.icq.com/coollinks/"); (C:\Programme\Netscape\Users\User00\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [KAZAA] C:\PROGRAMME\KAZAA\KAZAA.EXE /SYSTRAY
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [Dpi] C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [RAM Idle] C:\Programme\RAM Idle\RAMIdle.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\OFFICE\OSA9.EXE
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O4 - Startup: iMesh.lnk = C:\Programme\PLUS!\THEMES.EXE
O4 - Startup: iMesh Auto Update.lnk = C:\Programme\PLUS!\THEMES.EXE
O4 - Startup: FTP Voyager Scheduler.lnk = C:\Programme\RhinoSoft.com\FTP Voyager\FVScheduler.exe
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Descargas (HKLM)
O12 - Plugin for .asp: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npdsplay.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .dcr: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NP32DSW.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by1fd.bay1.hotmail.msn.com/activex/HMAtchmt.ocx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...59/mcfscan.cab


hab auch da schon ein paar gelöscht. bei den "O4" bin ich mir aber nicht sicher.. kann mir wer helfen???

Alt 20.06.2004, 21:34   #2
Shadow
/// Mr. Schatten
 
Bitte nochmal helfen - Beitrag

Bitte nochmal helfen



sorry ist mir zuviel Müll drin
steh nicht so auf Kazaa, ICQ und so

aber DAS:
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
ist wohl eindeutig! Warum brauchst Du dazu Hilfe?

Mach mal ein komplettes Windows Update (inkl. InternetExplorer)
lade herunter, installiere, update und führe aus:
AdAware
Spybot S&D
Quellen siehe meine Signatur

Benutze Google, das sagt Dir zum Beispiel:
WhenUSave = Adware
aus O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe

Cydoor: Alias: TrojanDownloader.Win32.BHO [Kaspersky]
aus O4 - HKCU\..\Run: [Cydoor] CD_Load.exe

und wohl noch mehr

Also updaten, AdAware und Spybot S&D, dann reden wir weiter...
__________________

__________________

Alt 20.06.2004, 21:36   #3
mmk
 
Bitte nochmal helfen - Ausrufezeichen

Bitte nochmal helfen



Hallo Erika!

</font><blockquote>Zitat:</font><hr />Original erstellt von Erika:
vielen Danke erstmal, hab jetzt alles installiert und auch schön eine beachtliche menge an viren gekillt </font>[/QUOTE]Leider lässt sich nicht mal bei einer aktiven Schadsoftware eine sichere Entfernung selbiger gewährleisten - es sei denn, man setzt das System komplett neu auf.


Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Das muss dringend (!) auf den neuesten Stand gebracht werden!


Das ist Adware, die muss raus.

C:\PROGRAMME\SAVE\SAVE.EXE

Das ist eine Quelle für Schadsoftware aller Art:
C:\PROGRAMME\KAZAA\KAZAA.EXE


Weitere Schadsoftware (Dialer, Trojaner, Hijacker):

C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
C:\WINDOWS\SYSTEM32\PCS\PCSVC.EXE
C:\WINDOWS\SYSTEM\CD_LOAD.EXE
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\SAVE\Save.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [Dpi] C:\PROGRAMME\COMMON FILES\DPI\DPI.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [Pcsv] C:\WINDOWS\system32\pcs\pcsvc.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O4 - HKCU\..\Run: [5-4-37-7] c:\programme\Webdialer\5-4-37-7.exe -m
O4 - HKCU\..\Run: [5-4-37-5] c:\programme\Webdialer\5-4-37-5.exe -m
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\SYSTEM\SYSSTARTUP.EXE
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\CRIU32.DLL,Install


Achtung, wichtig, falls du über ISDN oder Analogmodem ins Internet gehst: Ein Dialer muss dann vor dem Löschen gesichert werden!

Dein System ist insgesamt erheblich verseucht. Ich würde es neu aufsetzen. Auch empfehle ich dringend, nicht mit dem IE zu surfen. Stattdessen:

http://mozilla-europe.org/de/
__________________
__________________

Alt 20.06.2004, 22:10   #4
Erika
 
Bitte nochmal helfen - Pfeil

Bitte nochmal helfen



sorry, dass ich euch so viel mühe mach, aber wie schon beim ersten beitrag gesagt, ich bin nicht so der computerversteher [img]graemlins/dummguck.gif[/img]

um gleich beim thema "viel mühe machen" zu bleiben: wie "sichere" ich einen dialer bevor ich ihn lösch?? und was passiert wenn man das nicht tut?

Alt 21.06.2004, 02:54   #5
mmk
 
Bitte nochmal helfen - Ausrufezeichen

Bitte nochmal helfen



</font><blockquote>Zitat:</font><hr />Original erstellt von Erika:
sorry, dass ich euch so viel mühe mach, aber wie schon beim ersten beitrag gesagt, ich bin nicht so der computerversteher [img]graemlins/dummguck.gif[/img] </font>[/QUOTE]Nee, schon ok, ich hatte nur dein erstes Posting nicht gelesen! Das habe ich nun nachgeholt:
http://www.trojaner-board.de/forum/u...c;f=6;t=005643

Du hattest dort Recht: das sieht nach einer Menge Arbeit aus. Vor allem die vielen Trojaner machen - ehrlich gesagt - doch besorgt! Am besten wäre her sicher neuaufsetzen. Hast du jemand in deiner Umgebung, der sich mit PC's auskennt und dir ggf. helfen könnte?

</font><blockquote>Zitat:</font><hr />wie "sichere" ich einen dialer bevor ich ihn lösch?? und was passiert wenn man das nicht tut?</font>[/QUOTE]1.) Indem du die jeweilige exe-Datei kopierst und dann in einen Ordner, den du z.B. zuvor unter "Eigene Dateien" selbst erstellt hast, einfügst.

2.) Wenn du ihn nicht sicherst, geht dir ggf. Beweismaterial verloren, und es ist keine Prüfung des Hashwertes und auch kein Vergleich mit der Dialerdatenbank der Regulierungsbehörde für Post und Telekommunikation mehr möglich. Auf diese Weise könnte man leicht feststellen, ob ein Dialer legal ist oder nicht, also ob du eine etwaige Rechnung bezahlen müsstest oder nicht. Wurde der Dialer allerdings leichtfertiger Weise ohne Sicherung gelöscht, geht das nicht mehr.

3.) Wichtig wird das Ganze aber nur, wenn du über ISDN oder Analogmodem im Netz bist. Gib doch dazu bitte noch eine Auskunft!

__________________
Grüße, Markus

Antwort

Themen zu Bitte nochmal helfen
.com, .inf, .pdf, alcatel, danke, dateien, desktop, diagnostics, explorer, ftp, hijack, hijackthis, hijackthis log, icq, ics, internet, internet explorer, kaspersky, log, logfile, microsoft, object, programme, registry, rundll, shockwave, software, system, system32, usb, viren, windows



Ähnliche Themen: Bitte nochmal helfen


  1. Kann bitte jmd. nochmal durchsehen ?
    Mülltonne - 13.07.2008 (1)
  2. wer kann mir helfen - hier nochmal erneut - ZLOB?
    Mülltonne - 28.06.2008 (0)
  3. Bitte nicht nochmal neuaufsetzen
    Log-Analyse und Auswertung - 12.07.2007 (4)
  4. bitte nochmal analyse Danke
    Mülltonne - 04.05.2007 (2)
  5. Bitte nochmal Log überprüfen
    Mülltonne - 14.03.2007 (1)
  6. Bitte nochmal checken!
    Log-Analyse und Auswertung - 03.03.2006 (3)
  7. Bitte auch nochmal anschauen,
    Log-Analyse und Auswertung - 19.12.2005 (1)
  8. Bitte nochmal prüfen...Danke!
    Log-Analyse und Auswertung - 12.04.2005 (56)
  9. BDS/Agent.AY ...bitte nochmal für Dumme
    Plagegeister aller Art und deren Bekämpfung - 20.03.2005 (6)
  10. Bitte nochmal ansehen den HJT Log
    Log-Analyse und Auswertung - 28.02.2005 (3)
  11. Nochmal bitte Prüfen
    Log-Analyse und Auswertung - 28.02.2005 (2)
  12. Ich nochmal , bitte um ansicht
    Log-Analyse und Auswertung - 21.02.2005 (2)
  13. nochmal hilfe bitte
    Log-Analyse und Auswertung - 05.12.2004 (2)
  14. bitte nochmal auswerten!!
    Log-Analyse und Auswertung - 01.12.2004 (7)
  15. Bitte nochmal ein Log checken ...
    Log-Analyse und Auswertung - 22.11.2004 (4)
  16. Bitte nochmal drüberschauen....
    Log-Analyse und Auswertung - 11.11.2004 (2)
  17. Kann mal einer bitte reinschauen??? Nochmal Markus... bitte!
    Plagegeister aller Art und deren Bekämpfung - 07.02.2004 (23)

Zum Thema Bitte nochmal helfen - vielen Danke erstmal, hab jetzt alles installiert und auch schön eine beachtliche menge an viren gekillt hier mein HijackThis log:Logfile of HijackThis v1.97.7 Scan saved at 22:35:01, on 20.06.04 Platform: - Bitte nochmal helfen...
Archiv
Du betrachtest: Bitte nochmal helfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.