Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: kill evidence etc

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.09.2004, 10:58   #1
Taos
 
kill evidence etc - Icon16

kill evidence etc



hi leutz,
ich hab da ein prob:
kennt das jemand hier zufällig.... auf dem desktop hab ich neuerdings 7 neue verknüpfungen : contact lenses, delete evidence, free mp3s, free platinum card, hot matchup, kill all spyware, kill xp popups, popup killer
löschen ist sinnlos... in der reg erscheind immer wieder der schlüssel aaa_soft unter hkey current user/software... das teil treibt mich noch in den wahnsinn... dazu kommt noch das beim öffnen des ie ,manchmal sich gleich eine seite zusätzlich öffnet (siehe oben verknüpf.) oder wenn ein popup erscheint wird es von diesem dingens auf meinem rechner übernommen... das beste ist das eben dieses kill evidence ein prog ist zum entfernen solcher sachen... die schweine haben diesen echt fiesen virus oder wat dat ist wohl selber programmiert um ihr scheiss proggi zu verkaufen... kleine anmerkung... hab schon einige virenscanner und spytools drüber laufen lassen ohne erfolg...

und hier noch die log:
Logfile of HijackThis v1.98.2
Scan saved at 19:34:30, on 02.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\slserv.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WFXSVC.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\WINNT\system32\vfdvqny.exe
C:\WINNT\system32\wfxsnt40.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
D:\PROGRA~1\zonelabs\zlclient.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Chaos Records\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [zqwwontsxqn] C:\WINNT\system32\vfdvqny.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\zonelabs\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Chaos Records.CHAOS2\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{74964A18-0B3B-4A7F-A7E0-FDB736C86A5F}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C3DA9C-8F96-4E2E-961F-76EDDDBDD40A}: NameServer = 194.25.2.129

was ist den das eigentlich C:\WINNT\system32\lsass.exe
hab ich noch nie gelesen
besten dank
taos

Alt 03.09.2004, 11:02   #2
Taos
 
kill evidence etc - Standard

kill evidence etc



die war von heut morgen im abgesicherten modus:

Logfile of HijackThis v1.98.2
Scan saved at 11:26:28, on 03.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\XPcleanv5\Regwarner.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Dokumente und Einstellungen\Chaos Records\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Startup: Verknüpfung mit Regwarner.exe.lnk = C:\Programme\XPcleanv5\Regwarner.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Chaos Records.CHAOS2\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab
__________________


Alt 03.09.2004, 11:11   #3
Rene-gad
 
kill evidence etc - Standard

kill evidence etc



Hallo
Zitat:
O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe
disen Beitrag bedeutet, dass du einen gefährlichen Backdoor eingefangen hast: http://securityresponse.symantec.com...r.sdbot.r.html
Ich empfehle:
1. Vom Netz sofort weg gehen
2. Das System neu aufsetzen
3. Alle Passwörter wechseln
__________________

Alt 03.09.2004, 11:22   #4
MountainKing
 
kill evidence etc - Standard

kill evidence etc



Du hast Backdoorprogramme auf deinem Rechner laufen, die Unbefugten alle möglichen Manipulationen erlauben/erlaubt haben, dein System ist korrumpiert.

U.a. dadurch:

http://www.sophos.de/virusinfo/analyses/w32sluterb.html

Beste und sicherste Lösung:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
3.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
4.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
5.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html)
6) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
7) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
8) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Willst du trotzdem reparieren (schlechtere Lösung), schau zunächst nach, ob dein Board einen SIS-Chipsatz hat, falls nicht, beende diese Prozesse:

slserv.exe
vfdvqny.exe
msnappau.exe

Besorge dir E-Scan, update es wie hier beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html

Fixe dann mit HJT:

C:\WINNT\system32\slserv.exe
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\WINNT\system32\vfdvqny.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file)
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [zqwwontsxqn] C:\WINNT\system32\vfdvqny.exe
O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe
O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa...RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB

Boote in den abgesicherten Modus und lass E-Scan wie oben beschrieben durchlaufen.

Besser ist, wie gesagt, Abarbeiten der Punkte.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Alt 03.09.2004, 11:23   #5
Taos
 
kill evidence etc - Standard

kill evidence etc



danke für die schnelle antwort!
und wat mach ich mit dem anderem teil? denn neuinsta wollt ich jetzt eigentlich net grad machen


Alt 03.09.2004, 11:29   #6
Rene-gad
 
kill evidence etc - Standard

kill evidence etc



Zitat:
denn neuinsta wollt ich jetzt eigentlich net grad machen
Es geht bloß nicht darum wass du willst, sondern was du machen musst

Antwort

Themen zu kill evidence etc
adobe, bho, desktop, document, download, einstellungen, entfernen, explorer, fiese, hijack, hijackthis, home, immer wieder, internet, internet explorer, log, meinem, microsoft, popups, programme, scan, senden, spyware, symantec, system, t-online, tcpip, temp, unter, virus, windows, öffnet



Ähnliche Themen: kill evidence etc


  1. Grafikkartenfehler mit Kill- Bluescreen
    Netzwerk und Hardware - 21.11.2013 (1)
  2. Schwarzer Bildschirm, versteckte Dateien, tausende Fehlermeldungen - Wahrscheinlich Root-Kill
    Plagegeister aller Art und deren Bekämpfung - 07.11.2011 (1)
  3. Kill Disc ,welcher ist gut und kostenlos ?
    Diskussionsforum - 26.03.2011 (2)
  4. Auch Windows Phone 7 mit Kill-Switch
    Nachrichten - 05.11.2010 (0)
  5. OTH - OTHelper - Kill All Processes
    Anleitungen, FAQs & Links - 21.03.2010 (1)
  6. Mein PC ist befallen von einem Trojaner und Windows AntiVirus 2009, wie kill ich die?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (0)
  7. evidence-sweeper-2-8i.exe
    Mülltonne - 25.06.2008 (0)
  8. Rogue Evidence Eliminator
    Plagegeister aller Art und deren Bekämpfung - 18.06.2008 (5)
  9. not-a-virus-risk tool.win32.ps.kill.n ?
    Plagegeister aller Art und deren Bekämpfung - 10.09.2006 (2)
  10. Kill Jamba
    Log-Analyse und Auswertung - 30.09.2005 (1)
  11. W32.kill und Dldr.Agent.lb.2
    Log-Analyse und Auswertung - 28.05.2005 (1)
  12. Wie krieg ich W32.kill weg?
    Plagegeister aller Art und deren Bekämpfung - 28.05.2005 (2)
  13. How To Kill The Horse????
    Plagegeister aller Art und deren Bekämpfung - 08.03.2005 (3)
  14. Hilfe trojaner downloader kill.app etc.
    Log-Analyse und Auswertung - 16.02.2005 (2)
  15. Keine Internetverbindung nach Hijack Kill!
    Log-Analyse und Auswertung - 27.06.2004 (19)
  16. Sub7 HDD Kill
    Plagegeister aller Art und deren Bekämpfung - 04.02.2003 (7)

Zum Thema kill evidence etc - hi leutz, ich hab da ein prob: kennt das jemand hier zufällig.... auf dem desktop hab ich neuerdings 7 neue verknüpfungen : contact lenses, delete evidence, free mp3s, free platinum - kill evidence etc...
Archiv
Du betrachtest: kill evidence etc auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.