Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mich hat's auch wohl erwischt...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.10.2004, 17:34   #1
hundebuecher
 
Mich hat's auch wohl erwischt... - Frage

Mich hat's auch wohl erwischt...



Mich hat's dann wohl auch erwischt...

Ich habe eine neue Startseite, mein Favoritenmenue enthaelt lauter Schrott und ich bekomme laufend Fehlermeldungen, dass das was seii.

Das ist meine Startseite: about:blank



Das ist mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:22:49, on 2004/10/28
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\SpamPal\spampal.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\ie4unit.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {A32B13F4-0250-432B-8248-52015665D57A} - C:\WINDOWS\System32\rpcnt4.dll
O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/mms/activex/upload_1118.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FF9586-DAE0-4B78-A148-55A497D29A81}: NameServer = 194.65.100.117
O18 - Filter: text/html - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O21 - SSODL: Web Event Logger - {7CFEFEF1-ED03-1337-ABCD-526492F5D679} - C:\WINDOWS\System32\Jlconi32.dll


Ueber Hilfe wuerde ich mich freuen,
bin aber Laie.

Alt 28.10.2004, 17:53   #2
Bob2003
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Du solltest Deinen IE 6 updaten (über Microsoft update)

Ansonsten jage die logdatei mal durch die automatische hijack-auswertung.

http://www.hijackthis.de/index.php

Dort gibt es dann Hinweise und Anweisungen zum fixen mit hijack
__________________


Alt 28.10.2004, 18:00   #3
cacatoa
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Hallo, Mitrasch
Du hast recht, da stimmt so einiges nicht:
Die folgenden einträge solltest Du im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx
O18 - Filter: text/html - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {621C396B-F3A3-4AC9-808D-63433060ADA3} - C:\WINDOWS\System32\rpcnt4.dll

Wenn du folgende Einträge nicht kennst, dann ebenfalls fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8FF9586-DAE0-4B78-A148-55A497D29A81}: NameServer = 194.65.100.117
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/mms/activex/upload_1118.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O15 - Trusted Zone: http://*.63.219.181.7

Lösche die Dateien:
C:\WINDOWS\web\related.htm
C:\WINDOWS\System32\rpcnt4.dll
C:\WINDOWS\System32\rpcnt4.dll/sp.html

Poste anschließend ein neues Logfile.
Lade Dir die Updates für Dein System runter!!
__________________
__________________

Alt 28.10.2004, 18:03   #4
Haui45
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Scanne mal deinen PC mit eScan im abgesicherten Modus. Du hast wahrscheinlich einen aktiven Backdoortrojaner drauf.

Alt 28.10.2004, 18:11   #5
Cidre
Administrator, a.D.
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Zitat:
O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe
Aktiver W32/Forbot-J
Zitat:
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Installiert sich in der Registrierung

Sobald der Wurm installiert ist, verbindet er sich mit einem vorkonfigurierten IRC-Server und wartet auf weitere Anweisungen. Aufgrund dieser Anweisungen kann der Wurm die folgenden Aktionen ausführen:

* Überfluten eines anderen Computers
* Umleiten von Ports
* Start eines HTTP-Proxyservers
* Start eines FTP-Proxyservers
* Start eines SOCKS4-Proxyservers
* Übertragen von Dateien
* Stehlen von CD-Schlüsseln
* Suchen nach weiteren infizierbaren Computern


W32/Forbot-J versucht, sich auf andere Computer verbreiten, die entweder für die LSASS-Schwachstelle anfällig sind (siehe MS04-011) oder mit der Troj/Optix Backdoor infiziert sind.
Quelle: http://www.sophos.de/virusinfo/analyses/w32forbotj.html

Daraus resultiert diese logische Konsequenz: http://www.trojaner-board.de/showpos...28&postcount=2

btw: Der Grund allen Übels ist dein nicht gepatchtes System!

__________________
Gruß, Cidre


Alt 28.10.2004, 18:29   #6
cacatoa
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



@ cidre:
Den [Win32 USB2 Driver] svchosting.exe hab´ich schon mal behandelt und im vorigen Post schlichtweg überlesen.
Danke für die Hinweise
__________________
--> Mich hat's auch wohl erwischt...

Alt 28.10.2004, 18:30   #7
hundebuecher
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Erst einmal vielen Dank...

Wo fange ich denn nur an?
Was ist ein gepatchtes System?
Und was ist mit meinem nicht registriertem IE und einem Update bei MS?



Erschuetterte Gruesse aus dem verregneten Portugal,

Christian!

Alt 28.10.2004, 19:36   #8
*Christian*
Gast
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Patchen bedeutet soviel wie alle nachträglichen Updates installieren.

Es tauchen immerwieder neue Sicherheitslöcher auf.
Daraufhin stelle MS (oder auch nicht) Updates zur Verfügung.

Diese Updates solltest du stets bei www.windowsupdate.com herunterladen und installieren.

Alt 28.10.2004, 19:47   #9
michiman
 
Mich hat's auch wohl erwischt... - Standard

Mich hat's auch wohl erwischt...



Ich wüßte nicht, dass man sich für den IE registrieen lassen müßte. Aber sicher bin ich mir da nicht.
Ich würde Dir zudem raten auf andere Browser wie Opera oder Firefox umzusteigen. Bin auch kein Experte auf dem Gebiet, aber auf anraten von Usern hier im Board, bin ich auf Firefox umgestiegen und bin für diesen Tip noch sehr dankbar. Firefox ist wesentlich sicherer.

Gruß
Mitschi

Zudem kann ich Dir nur raten mal ein ppar Themen in diesem Board durchzugehen. Du findest hier zahlreiche Tips, welche Dir das Leben mit deinem Rechner wesentlich erleichetren.

Antwort

Themen zu Mich hat's auch wohl erwischt...
adobe, avg, bho, desktop, diagnostics, einstellungen, excel, explorer, hijack, hijackthis, hilfe, internet, internet explorer, log, logfile, mein log, microsoft, nvcpl.dll, obfuscated, programme, rundll, software, sun java, system, tcpip, temp, thomson, usb, windows, windows xp, yahoo



Ähnliche Themen: Mich hat's auch wohl erwischt...


  1. Auch mich hat es erwischt.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (26)
  2. Clickcompare hat wohl nun auch meinen PC erwischt...
    Log-Analyse und Auswertung - 20.04.2013 (16)
  3. GVU - hat mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 18.12.2012 (7)
  4. Auch mich hat der AKM Virus erwischt!
    Mülltonne - 17.05.2012 (1)
  5. Mich hats erwischt... wohl etwas mit windows recovery
    Log-Analyse und Auswertung - 04.05.2012 (1)
  6. BKA hat mich nun auch erwischt
    Log-Analyse und Auswertung - 17.08.2011 (7)
  7. mich wohl oder übel auch...(TR/Kazy.mekml.1)
    Log-Analyse und Auswertung - 06.05.2011 (1)
  8. TR/Kazy.mekml.1 - Mich hat es wohl auch erwischt!
    Plagegeister aller Art und deren Bekämpfung - 01.05.2011 (13)
  9. HDD LOW hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (19)
  10. hacked by computername-da hats mich wohl auch erwischt
    Log-Analyse und Auswertung - 13.10.2010 (35)
  11. Nun hat es mich auch erwischt
    Log-Analyse und Auswertung - 21.03.2010 (10)
  12. Jetzt hat's mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (14)
  13. Mich hat es wohl erwischt
    Log-Analyse und Auswertung - 01.12.2005 (1)
  14. auch mich hat es erwischt!
    Log-Analyse und Auswertung - 05.03.2005 (2)
  15. Jetzt hat es mich wohl auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  16. Auch mich hat es erwischt !
    Log-Analyse und Auswertung - 07.11.2004 (3)
  17. Auch mich hats wohl erwischt. :-(
    Log-Analyse und Auswertung - 23.10.2004 (21)

Zum Thema Mich hat's auch wohl erwischt... - Mich hat's dann wohl auch erwischt... Ich habe eine neue Startseite, mein Favoritenmenue enthaelt lauter Schrott und ich bekomme laufend Fehlermeldungen, dass das was seii. Das ist meine Startseite: about - Mich hat's auch wohl erwischt......
Archiv
Du betrachtest: Mich hat's auch wohl erwischt... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.