Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Am Ende!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2004, 21:01   #1
foaly
 
Am Ende! - Standard

Am Ende!



Hi!
Ich bin völlig verzweifelt! ich hab scheinbar einen fiesen Trojaner auf dem rechner namens "troja.download" glaub ich jedenfalls!
Seit ich mir den eingefangen habe öffnet er jedesmal im IE eine schwachsinnige Seite ! Bisher waren alle meine Versuche ihn loszuwerden erfolglos! Bin um jede Hilfe dankbar!
foaly

P.S: Hier der HiJack log!


Logfile of HijackThis v1.98.2
Scan saved at 20:59:59, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
G:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
G:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
G:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://all-find.net/sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://all-find.net/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://G:\Programme\WinSweep\ws.js
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\9N18SY~1.DLL
O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\Programme\MyQuickSearch\bar\1.bin\MQSBAR.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] G:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [kceoxbfzocd] C:\WINDOWS\System32\ijhuby.exe
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = G:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: NETGEAR WG311v2 Smart Configuration.lnk = G:\Programme\NETGEAR WG311v2 Adapter\wlancfg5.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...cdc9defbb7eddc
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab
O20 - AppInit_DLLs: ug8z6xzbl8.dll

Alt 07.10.2004, 21:55   #2
Shadowdance
 
Am Ende! - Standard

Am Ende!



Hallo foaly,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter : www.windowsupdate.com

Scanne mit dem online-scan von Kaspersky folgende Datei:

C:\WINDOWS\System32\ijhuby.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://all-find.net/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://all-find.net/sp.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = file://G:\Programme\WinSweep\ws.js
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\9N18SY~1.DLL
O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\Programme\MyQuickSearch\bar\1.bin\MQSBAR.DLL (file missing)

O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...dc9d efbb7eddc

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/sof...nch/alaunch.cab

O20 - AppInit_DLLs: ug8z6xzbl8.dll

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Führe den eScan, online geupdatet, offline im abgesicherten Modus aus. Teile uns das Ergebnis des eScan mit: wieviel Viren/welche Viren wurden auf Deinem Rechner gefunden. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung im abgesicherten Modus - von Hand gelöscht werden, siehe eScan 4.5.1

Poste ein neues Hijack This Logfile.

SD
__________________


Alt 08.10.2004, 03:29   #3
MountainKing
 
Am Ende! - Standard

Am Ende!



Evtl. schon zu spät, aber falls du nicht schon gefixed hast, besorge dir vorher: http://www.cexx.org/lspfix.htm .Falls Probleme mit dem Netz auftauchen kannst du das damit wieder reparieren, die O10 - Hijacked Internet access by New.Net-Einträge sollte man eher damit unschädlich machen als mit HJT.
__________________

Antwort

Themen zu Am Ende!
.pdf, adapter, antivirus, appinit_dlls, bho, explorer, fiese, file missing, hijack, hijackthis, hilfe, icq, internet, internet explorer, log, microsoft, netgear, nvidia, object, programme, rundll, rundll32, software, symantec, system, trojaner, urlsearchhook, windows, windows messenger, windows xp, öffnet



Ähnliche Themen: Am Ende!


  1. IT-Gipfel: De Maizière macht sich für Ende-zu-Ende-Verschlüsselung stark
    Nachrichten - 18.11.2015 (0)
  2. Threema-Audit abgeschlossen: "Ende-zu-Ende-Verschlüsselung ohne Schwächen"
    Nachrichten - 03.11.2015 (0)
  3. Flashplayer am Ende?
    Diskussionsforum - 07.09.2015 (3)
  4. WhatsApp bekommt Ende-zu-Ende-Verschlüsselung
    Nachrichten - 18.11.2014 (0)
  5. NSA-Ausschuss: Experten fordern Ende-zu-Ende-Verschlüsselung ein
    Nachrichten - 26.06.2014 (0)
  6. De Maizière gegen vorgeschriebene Ende-zu-Ende-Verschlüsselung
    Nachrichten - 23.06.2014 (0)
  7. Ich bin am Ende
    Log-Analyse und Auswertung - 16.03.2009 (13)
  8. Ich bin am ende...
    Plagegeister aller Art und deren Bekämpfung - 19.01.2008 (1)
  9. pc zum 4 mal am ende
    Log-Analyse und Auswertung - 21.12.2005 (19)
  10. Ich bin nervlich am Ende!!!
    Log-Analyse und Auswertung - 26.10.2005 (8)
  11. Mit den Nevern am Ende :(
    Plagegeister aller Art und deren Bekämpfung - 16.03.2005 (3)
  12. Mit den Nerven am Ende...
    Log-Analyse und Auswertung - 08.12.2004 (6)
  13. SP2 und kein Ende
    Alles rund um Windows - 10.10.2004 (1)
  14. Das Ende von Diskettenlaufwerken?
    Netzwerk und Hardware - 25.02.2003 (26)
  15. mit den Nerven am ende
    Plagegeister aller Art und deren Bekämpfung - 17.02.2003 (3)

Zum Thema Am Ende! - Hi! Ich bin völlig verzweifelt! ich hab scheinbar einen fiesen Trojaner auf dem rechner namens "troja.download" glaub ich jedenfalls! Seit ich mir den eingefangen habe öffnet er jedesmal im IE - Am Ende!...
Archiv
Du betrachtest: Am Ende! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.