Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hilfe bei Auswertung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.09.2004, 08:51   #1
Simna
 
Hilfe bei Auswertung - Standard

Hilfe bei Auswertung



Hallo, brauche bitte eure Hilfe. Habe wenig Ahnung von PCs.

Habe mir diesen Trojaner eingefangen:
C:\
explorer.cab
ArchiveType: CAB (Microsoft)
--> explorer.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR

Hab mir gestern dann HijackThis runtergeladen, weiss aber nicht, wie ich damit umgehen soll. Hier der Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 09:29:05, on 19.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\intl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Valdas Jelis\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab
O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://www.fullmovies.nl/tools/videoplayer/player.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28177.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD782E97-D01D-4C44-94F3-DE4C777014DD}: NameServer = 205.188.146.146

Alt 19.09.2004, 12:06   #2
Shadowdance
 
Hilfe bei Auswertung - Standard

Hilfe bei Auswertung



Hallo Simna,

- besuche bitte www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

- überprüfe mit dem online-scan von : Kaspersky

C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe

Ergebnis?

- fixe mit Hijack This im abgesicherten Modus:

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://www.fullmovies.nl/tools/videoplayer/player.cab

wenn Du diesen Eintrag nicht kennst, bitte fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD782E97-D01D-4C44-94F3-DE4C777014DD}: NameServer = 205.188.146.146

- lade Dir den eScan - entsprechend der Anleitung - runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus: Thread-6083

- teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

- poste ein neues Logfile.

SD
__________________


Alt 19.09.2004, 13:50   #3
*Christian*
Gast
 
Hilfe bei Auswertung - Standard

Hilfe bei Auswertung



Diese Dateien sollten eigentlich sauber sein:
C:\Programme\AOL 8.0\aoltray.exe
C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe

Vorsicht:
Du hast einen illegalen Dialer auf deinen PC.
Dieser wird von eScan bzw. von HijackThis entfernt.
Du solltest die Datei zuvor auf Diskette sichern, falls du nicht mit DSL ins
Web gehst.

Dein Trojaner sollte aber eigentlich weg sein, wenn du deine Temp. Internet Files löscht.
__________________

Alt 19.09.2004, 18:30   #4
Simna
 
Hilfe bei Auswertung - Standard

Hilfe bei Auswertung



Ich habe das alles gemacht, wie du beschrieben hast. Drer hat sogar 10 Trojaner gefunden.
Aber ich habe jetzt ein anderes Problem. Windows zeigt mir an, dass ein Wondows-Systemfehler vorhanden ist. Es gibt ein IP-Adressenkonflikt mit einem anderen Netzwerk: Fehler beim Laden von C:/progra~1/newdot~1./newdot~1.dll
Das Modul wurde nicht gefunden.

Was soll ich denn nun machen? Ich komme nicht mehr ins Internet. Systemwiedergerstellung bringt auch nichts, weil das da auch wieder auftaucht.

Kann mir jemand bitte helfen?!

Alt 19.09.2004, 18:58   #5
MountainKing
 
Hilfe bei Auswertung - Standard

Hilfe bei Auswertung



Verwende das nachfolgende Programm um die Winsock.dll wieder zu reparieren:

http://www.cexx.org/lspfix.htm

dann sollte das Netz wieder gehen.


Antwort

Themen zu Hilfe bei Auswertung
.inf, adobe, auswertung, avg, bho, dateien, dll, einstellungen, file missing, hijack, hijackthis, hilfe, home, internet, internet explorer, logfile, microsoft, msn, officejet, programme, realplayer, rundll, software, system, tcpip, temp, trojaner, trojaner eingefangen, wenig ahnung, windows, windows xp



Ähnliche Themen: Hilfe bei Auswertung


  1. Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 28.02.2009 (1)
  2. Hilfe bei Auswertung
    Mülltonne - 17.10.2008 (0)
  3. Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 05.09.2008 (16)
  4. Hilfe bei der Auswertung
    Mülltonne - 26.06.2008 (0)
  5. Auswertung und Hilfe
    Log-Analyse und Auswertung - 15.06.2008 (2)
  6. Hilfe bei HJT & RR Auswertung
    Log-Analyse und Auswertung - 18.02.2008 (4)
  7. Viren??Würmer..HILFE! Bitte um Hilfe bei der Auswertung meines hijackthis-log
    Mülltonne - 14.11.2007 (0)
  8. Hilfe bei Log-Auswertung
    Plagegeister aller Art und deren Bekämpfung - 21.08.2006 (1)
  9. Hilfe bei Auswertung
    Log-Analyse und Auswertung - 21.01.2006 (4)
  10. Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 16.06.2005 (1)
  11. Hilfe bei Auswertung
    Log-Analyse und Auswertung - 12.06.2005 (12)
  12. Hilfe! Auswertung
    Log-Analyse und Auswertung - 05.06.2005 (1)
  13. Hilfe bei Auswertung!!!
    Log-Analyse und Auswertung - 22.02.2005 (7)
  14. Hilfe bei Auswertung
    Log-Analyse und Auswertung - 12.02.2005 (4)
  15. Hilfe bei Auswertung
    Log-Analyse und Auswertung - 11.12.2004 (1)
  16. hilfe bei der auswertung
    Log-Analyse und Auswertung - 14.11.2004 (13)
  17. Hilfe bei Log-Auswertung
    Log-Analyse und Auswertung - 26.08.2004 (2)

Zum Thema Hilfe bei Auswertung - Hallo, brauche bitte eure Hilfe. Habe wenig Ahnung von PCs. Habe mir diesen Trojaner eingefangen: C:\ explorer.cab ArchiveType: CAB (Microsoft) --> explorer.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR Hab mir - Hilfe bei Auswertung...
Archiv
Du betrachtest: Hilfe bei Auswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.