Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mein Bruder hat die Pest

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.11.2004, 15:27   #1
twmemphis
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Hallo!

Ich werde heute mal für den verseuchten Rechner meines Bruders aktiv. Er hat Windows ME laufen und selbst die Installation von Antivir bricht ab.
Würdet Ihr bitte mal über sein Log schauen (ich ahne schrecklichstes, es sieht wirklich heiß aus)

Logfile of HijackThis v1.97.7
Scan saved at 15:26:42, on 03.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\CRUJ.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\OEMCFOS2\CFOSINST.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\WINNG32.EXE
C:\PROGRAMME\ACCESSMANAGER\CLIENT\ACCESSMGR.EXE
C:\WINDOWS\ANWENDUNGSDATEN\NOUP.EXE
C:\WINDOWS\SYSTEM\IGL.EXE
C:\AOL 6.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\WZSE5.TMP\DISK_1\SETUP.EXE
D:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\evogj.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\evogj.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {87ED4484-67AC-6172-0910-23077C45430B} - C:\WINDOWS\APISG.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WINNG32.EXE] C:\WINDOWS\WINNG32.EXE
O4 - HKLM\..\Run: [AccessManager] C:\Programme\AccessManager\Client\AccessMgr.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [CRUJ.EXE] C:\WINDOWS\SYSTEM\CRUJ.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [Nsan] C:\WINDOWS\Anwendungsdaten\noup.exe
O4 - HKCU\..\Run: [Rlspl] C:\WINDOWS\SYSTEM\igl.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\AOL 6.0\aoltray.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe

Gruß,
Thorsten

Alt 03.11.2004, 17:10   #2
Haui45
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Bitte poste ein Log mit der aktuellen Version von HijackThis (1.98.2)

[edit]und führe bitte eScan im abgesicherten Modus aus und poste welche Viren gefunden wurden[/edit]
__________________


Alt 03.11.2004, 17:42   #3
twmemphis
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Hier erstmal das Log. EScan folgt sogleich (ich hänge die Kiste nicht hier ans Netz und somit muss ich ne CD brennen)
Logfile of HijackThis v1.98.2
Scan saved at 17:40:10, on 03.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CRUJ.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\WINNG32.EXE
C:\PROGRAMME\ACCESSMANAGER\CLIENT\ACCESSMGR.EXE
C:\WINDOWS\ANWENDUNGSDATEN\NOUP.EXE
C:\WINDOWS\SYSTEM\IGL.EXE
C:\AOL 6.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
A:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\evogj.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\evogj.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\evogj.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\evogj.dll/sp.html#29126
R3 - Default URLSearchHook is missing
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {87ED4484-67AC-6172-0910-23077C45430B} - C:\WINDOWS\APISG.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [cFosInst_Check] C:\WINDOWS\OEMCFOS2\CFOSINST.EXE -install -loud
O4 - HKLM\..\Run: [WINNG32.EXE] C:\WINDOWS\WINNG32.EXE
O4 - HKLM\..\Run: [AccessManager] C:\Programme\AccessManager\Client\AccessMgr.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [CRUJ.EXE] C:\WINDOWS\SYSTEM\CRUJ.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [Nsan] C:\WINDOWS\Anwendungsdaten\noup.exe
O4 - HKCU\..\Run: [Rlspl] C:\WINDOWS\SYSTEM\igl.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: AOL 6.0 Tray Icon.lnk = C:\AOL 6.0\aoltray.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
__________________

Alt 03.11.2004, 18:06   #4
twmemphis
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



EScan läuft und findet auch schon die ersten Trojaner. Es dauert wohl noch etwas. Leider löscht er sie nur, wenn man das Programm kauft. Welche Gründe kann es denn geben, warum AntiVir nicht laufen will?
Gruß,
Thorsten

Alt 03.11.2004, 18:20   #5
Cidre
Administrator, a.D.
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Hallo,

Zitat:
Leider löscht er sie nur, wenn man das Programm kauft.
Das ist seit einiger Zeit normal, darum müssen diese Malware Dateien, wie im Link beschrieben, manuell gelöscht werden.

Zitat:
Welche Gründe kann es denn geben, warum AntiVir nicht laufen will?
Möglicherweise wird die Installation von einer aktiven Malware unterbunden.

__________________
Gruß, Cidre


Alt 03.11.2004, 18:32   #6
twmemphis
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Das mit EScan war wohl nichts. Er brachte plötzlich nur noch Fehlermeldungen im Log anstatt weiter zu scannen.
Habe jetzt mal einen Free Anti Virus Guard gefunden.
http://free.grisoft.com/freeweb.php

Alt 03.11.2004, 18:59   #7
charlie1
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Hallo, „Mein Bruder hat die Pest“ ja, richtig erkannt, den die heißt OS ME!!!
Ich würde folgendermaßen vorgehen, formatieren, win 98 SE oder XP aufsetzen, ich kenne deinen PC nicht und dann alles so machen wie hier schon zig mal beschrieben.
Wirst du sowieso irgendwann mal machen müssen, denn ME zerlegt sich nach einer gewissen Zeit von selbst, ob du nun was falsch gemacht hast oder nicht.
Also, warum erst basteln, ist nur verlorene Zeit.
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 03.11.2004, 19:08   #8
twmemphis
 
Mein Bruder hat die Pest - Standard

Mein Bruder hat die Pest



Zitat:
Zitat von charlie1
Ich würde folgendermaßen vorgehen, formatieren, win 98 SE oder XP aufsetzen...
Soll ich Dir was sagen? Du hast RECHT! So sage ich es ihm! Die Kiste ist echt Schrott

Antwort

Themen zu Mein Bruder hat die Pest
.pdf, adobe, antivir, bho, button, check, explorer, hijack, hijackthis, installation, internet, internet explorer, log, messenger, microsoft, msn, msn messenger, object, programme, realplayer, rundll, rundll32.exe, shockwave, software, system, temp, windows, windows\temp



Ähnliche Themen: Mein Bruder hat die Pest


  1. Vielen Dank an das Board hier und heute speziell an den Bruder von Sinus, der zugleich auch der Vetter von Tangens ist
    Lob, Kritik und Wünsche - 06.11.2015 (1)
  2. PC vom Bruder nach Trojaner Befall, geht Netzwerk nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (28)
  3. Mein Computer wurde Ferngesteuert und somit mein Steam Account hijacked
    Plagegeister aller Art und deren Bekämpfung - 17.07.2014 (3)
  4. BKA Trojaner vom Bruder entfernen
    Log-Analyse und Auswertung - 22.08.2012 (6)
  5. Malwarebytes und hijackthis - mein System wird immer langsamer + mein ESET mag nicht mehr
    Log-Analyse und Auswertung - 07.06.2012 (8)
  6. Mein GMX-Account versendet Spam-Mails ohne mein zutun
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (0)
  7. Mein Hotmail Konto verschickt automatisch Spam-Mails an mein Adressbuch =/
    Plagegeister aller Art und deren Bekämpfung - 16.02.2011 (7)
  8. [Gehackt]Gehackt dank nem kleinen Bruder
    Plagegeister aller Art und deren Bekämpfung - 03.02.2011 (2)
  9. Pest Detector 4.1 entfernen
    Anleitungen, FAQs & Links - 24.08.2010 (2)
  10. Mein HijackThis log, wie bekomm ich mein System sauber?
    Log-Analyse und Auswertung - 29.07.2010 (6)
  11. Oje, mein PC hängt, nachdem mein Sohn dran war...
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (21)
  12. Mein Computer arbeitet im Hintergrund mein internet ist auch nicht gerade schnell
    Log-Analyse und Auswertung - 21.03.2008 (0)
  13. Findet Pest Patrol nur falsches?
    Plagegeister aller Art und deren Bekämpfung - 12.02.2006 (2)
  14. Ich hab die Pest an Board...
    Plagegeister aller Art und deren Bekämpfung - 01.12.2005 (5)
  15. Pest Patrol Scan - Was kann ich löschen?
    Plagegeister aller Art und deren Bekämpfung - 23.07.2005 (3)
  16. ich liege vor magagaska und habe die Pest ....
    Log-Analyse und Auswertung - 02.03.2005 (4)
  17. Mein hijackthis log mein pc spinnt schon seit 2 wochen alles ist langsam bitte help
    Log-Analyse und Auswertung - 14.12.2004 (2)

Zum Thema Mein Bruder hat die Pest - Hallo! Ich werde heute mal für den verseuchten Rechner meines Bruders aktiv. Er hat Windows ME laufen und selbst die Installation von Antivir bricht ab. Würdet Ihr bitte mal über - Mein Bruder hat die Pest...
Archiv
Du betrachtest: Mein Bruder hat die Pest auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.