Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   1 trojaner gelöscht, 1 "böser" eintrag noch da ... (https://www.trojaner-board.de/10236-1-trojaner-geloescht-1-boeser-eintrag-noch.html)

karel gott 29.11.2004 23:32
1 trojaner gelöscht, 1 "böser" eintrag noch da ...
 
hi,

1 hab eben mal escan wieder durchlaufen lassen. der hat leider auch prompt den trojaner "Trojan-Dropper.Win32.Delf.fl" gefunden und gelöscht.

ich hab auch ein aktuelles hj-logfile erstellt und unten beigefügt. die automatische auswertung gibt unter r3 einen eintrag als "böse" aus der gefixt werden sollte, und unter o14 einen weiteren, der mir suspekt erscheint.

könnte bitte mal jmd einen blick drauf we´rfen und mir sagen, was er davon hält ?

dank im voraus.

gott

Logfile of HijackThis v1.98.2
Scan saved at 23:07:15, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Silberfisch.de - Dein Silberstreif am Horizont ...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Graphics Suite 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=121004 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [RedLine Taskbar] E:\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MOD] E:\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [NBJ] "E:\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [STYLEXP] E:\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: gameutil.lnk = ?
O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = E:\Quicken DELUXE 2004\billmind.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://e:\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - E:\GetRight5\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\GetRight5\GRbrowse.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://e:\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - E:\SMARTW~1\swiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O12 - Plugin for .exe: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for ôå: E:\Opera\PLUGINS\NPFgc1.dll
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101747322890
O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc3.webresponse.one.microso.../TLIEFlash.CAB
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1

Cidre 29.11.2004 23:35
Hallo,
erstelle nochmal ein aktuelles Log-File aus dem "normalen Modus".

karel gott 29.11.2004 23:51
hi, hier nochmal ein logfile aus dem normalen modus:

Logfile of HijackThis v1.98.2
Scan saved at 23:45:44, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\TGTSoft\StyleXP\StyleXPService.exe
E:\Sygate Personal Firewall Platinum\smc.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Autodesk\Autodesk Network License Manager\Lmgrd.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
E:\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
E:\Autodesk\Autodesk Network License Manager\adskflex.exe
E:\Panda Platinum Internet Security\passrv.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
E:\Panda Platinum Internet Security\pavsrv51.exe
C:\WINDOWS\System32\PGPserv.exe
E:\Panda Platinum Internet Security\AVENGINE.EXE
E:\Panda Platinum Internet Security\psimsvc.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
E:\iTouch\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
E:\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\T-DSL SpeedManager\SpeedMgr.exe
E:\RedLine\Taskbar.exe
E:\Winamp5\winampa.exe
E:\Panda Platinum Internet Security\APVXDWIN.EXE
E:\Panda Platinum Internet Security\SRVLOAD.EXE
E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
E:\redline\gameutil.exe
E:\Panda Platinum Internet Security\WebProxy.exe
E:\Borland\INTERB~1\Bin\ibserver.exe
E:\T-DSL SpeedManager\tsmsvc.exe
E:\RegCleaner\RegCleanr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Silberfisch.de - Dein Silberstreif am Horizont ...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Graphics Suite 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=121004 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [RedLine Taskbar] E:\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MOD] E:\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [NBJ] "E:\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [STYLEXP] E:\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: gameutil.lnk = ?
O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = E:\Quicken DELUXE 2004\billmind.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://e:\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - E:\GetRight5\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\GetRight5\GRbrowse.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://e:\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - E:\SMARTW~1\swiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O12 - Plugin for .exe: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for ôå: E:\Opera\PLUGINS\NPFgc1.dll
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101747322890
O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc3.webresponse.one.microso.../TLIEFlash.CAB
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1




// ach nochwas merkwürdiges:

mit dem regcleaner finde ich einen neuen eintrag "winsock2" mit dem schlüssel :



RegCleaner 4.3 by Jouni Vuorio, translation by Andreas Thollarz

Autor : Winsock2
Software : PAV Layered Provider
Alter : Neu

Wenn Sie diesen Eintrag löschen, wird dieser Schlüssel gelöscht
HKEY_LOCAL_MACHINE\Software\Winsock2\PAV Layered Provider



hört sich das nicht merkwürdig an ? ich hab eigentlich nix providermäßiges installiert, da dsl-flat, und geh über das lan und router ins netz ....

Shadowdance 30.11.2004 20:35
@ karel gott

Du hast uns mitgeteilt, dass Du den eScan habest laufen lassen. Kannst Du mir bitte mitteilen, in welchem Ordner sich folgende Dateien befinden: 'kavupd.exe', 'mwXface.log', 'mwav.log' ?

--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

SD

karel gott 01.12.2004 02:19
hi,

sind alle unter c:/bases


war escan 4.4.7 mit frischem signaturupdate.

kg

karel gott 02.12.2004 12:07
haaallllooo,

habt ihr mich vergessen ?

bin nun schon auf seite 3 durchgereicht. oder habe ich was falsch gemacht ?

kg

*Christian* 02.12.2004 20:47
Wo wird der Trojaner denn gefunden?

karel gott 03.12.2004 14:22
der trojaner war hier:

Mon Nov 29 22:29:30 2004 => File F:\Backup\Installierte Programme\Slysoft CloneDVD v2.4.5.4\reg.exe infected by "Trojan-Dropper.Win32.Delf.fl" Virus. Action Taken: File Deleted.

kannst du noch was zu dem winsock-eintrag sagen ?

kannst du dir bitte mal meine hijackthis-log anschaun ?

schonmal danke dafür.

kg

*Christian* 03.12.2004 16:31
Fixe dies:

R3 - Default URLSearchHook is missing
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O16 - DPF: {94B82441-A413-4E43-8422-D49930E69764} (TLIEFlashObj Class) - https://rtc3.webresponse.one.micros...p/TLIEFlash.CAB

Wird denn noch was von eScan gefunden?

karel gott 03.12.2004 18:15
hi,

kannst du mir genau sagen wie ich das "fixen" soll? einfach in hijack auf den button drücken ?

es wird aber glaub ich noch schlimmer:

seit 4-5 tagen kommt bei jedem systemstart popup-fehlermeldungen: 1x von winlogon, und 6x von allen exe des panda internet scurity: bei allen sei das abbild falsch stellt der sfc fest. auch das deinstallieren und neuinstallieren von panda bringt keine hilfe.

zusätzlich jetzt finde ich in ereignisanzeige-sicherheit, das ein advapi seit 22.11 bei jedem systemstart versucht sich anzumelden, aber scheitert. mittlerweile hab ich dazu dies gefunden: http://www.processlibrary.com/directory/files/advapi/

[ich darf doch hier links posten?]

was ist das? ein trojaner?

wie krieg ich das bloss wieder alles hin ??

// seit 22.11. hab ich auch jedesmal eine erfolgreiche anonymous-anmeldung auf dem rechner....

Passat2002 03.12.2004 18:48
hi
machst bitte ein neues hjt logfile und dieser hier posten
anleitung zum fixen, siehe meine signatur

karel gott 08.12.2004 23:48
hi, ich bin nun schon einganzes stück weiter:

die 3 einträge des hjt ->gefixt.
danach escan ok.

windows popup-fehlermeldungen zu winlogon und panda liesen sich auf ein beschädigtes/verändertes sfc.dll zurückführen. -> von der original-cd an der wiederherstellungsconsole nach windows/system32 und dem dllcache kopiert.->ok

escan (mit 2 tage neueren signaturen) bringt überraschenderweise nochmals einen trojaner hervor:
"Trojan.MacOS.Opener.i" Virus.->deleted

winsock2 eintrag konnte ich dem tool "neotrace" zuordnen,(demo schon lange deinstalliert)->registry-einträge per regcleaner entfernt.

jetzt läuft der panda virenscanner nicht mehr.deinstallation. reinstallation bringt einen schweren fehler. danach ist auch die firewall beschädigt und kein i-net mehr verfügbar. also panda wieder raus, deinstallationsroutine schlägt aber fehl (error bei file "lsp2"). der installationsordner lässt sich nicht löschen, ebensowenig eine datei "pavlsp.dll". auch nicht im abgesicherten modus. per umbenennen und wiederherstellungsconsole gings aber raus.
dann ist aber das i-net wieder weg. auch kein lan verfügbar... mit der "pavlsp.dll" wieder zurückkopiert erscheint jetzt bei jedem start des internet-explorer eine "WebExcl.dat" auf dem desktop.

letzendliche diagnose: das löschen des winsock-eintrages oben führte nach der deinstallation von panda zu fehlerhaften lsp einträgen.->mit dem tool ispfix konnte ich den panda eintrag löschen und die probs sind behoben.

jetzt nehm ich kav personal 5 und (schon lange) sygate pfw

könnte plz jmd einen blick auf mein aktuelles hjt-log werfen? thx.

Logfile of HijackThis v1.98.2
Scan saved at 23:32:07, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\TGTSoft\StyleXP\StyleXPService.exe
E:\Sygate Personal Firewall Platinum\smc.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Autodesk\Autodesk Network License Manager\Lmgrd.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
E:\Borland\INTERB~1\Bin\IBGuard.EXE
E:\Autodesk\Autodesk Network License Manager\adskflex.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\PGPserv.exe
C:\WINDOWS\Explorer.EXE
E:\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\htpatch.exe
E:\iTouch\iTouch\iTouch.exe
E:\Mouseware\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\T-DSL SpeedManager\SpeedMgr.exe
E:\RedLine\Taskbar.exe
E:\Winamp5\winampa.exe
E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
E:\redline\gameutil.exe
E:\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Silberfisch.de - Dein Silberstreif am Horizont ...
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - E:\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] E:\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Graphics Suite 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=121004 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [RedLine Taskbar] E:\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Winamp5\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [MOD] E:\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Kaspersky Anti-Virus 5 Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [NBJ] "E:\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [STYLEXP] E:\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe Creative Suite Premium\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: gameutil.lnk = ?
O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = E:\Quicken DELUXE 2004\billmind.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://e:\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - E:\GetRight5\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://e:\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - E:\GetRight5\GRbrowse.htm
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O8 - Extra context menu item: Verweisseiten - res://e:\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://e:\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: SmartWhois - {FD9DE2B4-C926-4460-81C4-FC58C6F1062E} - E:\SMARTW~1\swiehlp.exe
O9 - Extra button: (no name) - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O9 - Extra 'Tools' menuitem: SmartWhois - {FF983118-58C7-4AD4-B5A7-691C39CB7B42} - E:\SMARTW~1\swiehlp.exe
O12 - Plugin for .exe: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for .zip: E:\Opera\PLUGINS\NPFgc1.dll
O12 - Plugin for ôå: E:\Opera\PLUGINS\NPFgc1.dll
O14 - IERESET.INF: SearchAssistant=
O14 - IERESET.INF: CustomizeSearch=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {2ED9BC2B-4DF1-472E-9B5E-55477D2C97F5} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100273698187
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/15008/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{33DBC4B7-6525-4952-BE67-006D97EB093C}: NameServer = 10.212.67.1
O20 - AppInit_DLLs: PAVWAIT.DLL

Cidre 08.12.2004 23:53
Dein Log-File sieht sauber aus. ;)

karel gott 08.12.2004 23:57
cool. & danke für die schnelle antwort.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131