Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe, Übler Trojaner (https://www.trojaner-board.de/12162-hilfe-ubler-trojaner.html)

heptli 14.01.2005 20:47
Hilfe, Übler Trojaner
 
Hallo zusammen, ich bin neu hier und habe wenig ahnung von viren und trojanern.
irgendwas will andauernd meine IE startseite verändern.
habe mit hijackthis einen scan gemacht und in der automatischen auswertung eingegeben.
hier wurden einige einträge als sehr gefaehrlich eingestuft. habe versucht diese zu fixen aber beim erneuten scan waren sie wieder da.
kann mir jemand helfen, und sagen wie ich den mist wieder los werde?
wäre sehr dankbar.
anbei noch der logfile.

Logfile of HijackThis v1.99.0
Scan saved at 20:40:47, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\DOKUME~1\werner\LOKALE~1\Temp\bundle.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\werner\Eigene Dateien\Sicherheit\Hijackthis-1\HijackThis199.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IE Privacy KeeperT] "C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe" -cleanup
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\werner\LOKALE~1\Temp\bundle.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [MSMSGS] REM "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE31B069-F3A9-4D6E-8EE0-FF45F223EA50}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

Chris14 14.01.2005 20:57
ahja..
ich weiß nicht um welche trojaner es sich handelt also gehe so vor:

1.escan
-lade dir clearprog runter und installiere es
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\werner\LOKALE~1\Temp\bundle.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)


3.dateien löschen
starte clearprog, setze einen haken bei "alles löschen" und klicke auf löschen


4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

heptli 02.02.2005 17:23
Hallo
Entschuldigung erstmal, dass ich mich so lange nicht gemeldet habe.
Habe den anweisungen entsprechend clearprog und escan eingesetzt.
Hat bei den meisten der gefährlichen sachen auch funktioniert.
Ausser vier mal die 015-trusted Zone...
das lässt sich mit Hijack nicht entfernen, bzw es ist nach dem Fixen immer wieder da.
Hier nochmal der aktuelle logfile.

Logfile of HijackThis v1.99.0
Scan saved at 17:21:01, on 02.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Opera\opera.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\werner\Eigene Dateien\Sicherheit\Hijackthis-1\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\werner\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE31B069-F3A9-4D6E-8EE0-FF45F223EA50}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Viele Dank schonmal.

[edit]
links entfernt
[/edit]

Chris14 02.02.2005 17:45
ok die O15 kriegste mit dieser Anleitung weg.

heptli 08.02.2005 07:59
Hallo
Vielen Dank für die Anleitung, hat prima funktioniert.
Leider habe ich schon wieder irgend einen Eindringling auf meinem Computer.
Anbei meinen Logfile.
Ich bekomme folgende zeilen nicht weg.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: h**p://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O13 - WWW Prefix: h**p://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=

Könnt ihr mir mal eine Tip geben?

Logfile of HijackThis v1.99.0
Scan saved at 07:52:47, on 08.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\werner\Eigene Dateien\Sicherheit\Hijackthis-1\HijackThis199.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.searchdom.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.searchdom.net/?re= (obfuscated)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\werner\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O9 - Extra 'Tools' menuitem: IE Privacy Keeper - {D799B0E4-BEDE-41d2-AEE0-1E3A1C4EF918} - C:\Programme\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O13 - DefaultPrefix: h**p://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O13 - WWW Prefix: h**p://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O16 - DPF: ppctlcab - h**p://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE31B069-F3A9-4D6E-8EE0-FF45F223EA50}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[edit]
links entfernt
[/edit]

dartus 08.02.2005 09:50
Hi Heptli,

schau mal hier.

dartus

heptli 26.02.2005 14:21
Besten Dank, hat funktioniert.
Aber ich habe schon wieder was eingefangen, was meinen Computer fürchterlich langsam macht und sich nicht löschen läßt.
Habe mit Hijackthis gescannt und das ergebniss in die automatische Logfile auswertung eingegeben.
Konnte die als gefährlich angezeigten einträge aber nicht fixen bzw. sie waren beim folgenden scann wieder da.
Hier mein scann:

ogfile of HijackThis v1.99.1
Scan saved at 14:20:27, on 26.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Q92194.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Dokumente und Einstellungen\werner\Eigene Dateien\Sicherheit\Hijackthis-1\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://kon4ay.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://kon4ay.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://kon4ay.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://kon4ay.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kon4ay.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://kon4ay.biz/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\werner\EIGENE~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SearchAssistant] "C:\Q92194.exe "
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MSMSGS] REM "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE31B069-F3A9-4D6E-8EE0-FF45F223EA50}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Kannmir jemand helfen?

[edit]
links entfernt
[/edit]

dartus 26.02.2005 15:25
Hi,

benutze zum Surfen bitte einen anderen Browser. Der von T-online ist ein IExplorer-Abklatsch:

http://www.trojaner-board.de/showthread.php?t=8251

Uploade bitte diese Datei:
C:\Q92194.exe
hier:
http://www.malwareupload.com

Wechsel bitte in den abgesicherten Modus bei deaktivierter Systemherstellung und fixe:

C:\Q92194.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://kon4ay.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://kon4ay.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kon4ay.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://kon4ay.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://kon4ay.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://kon4ay.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://kon4ay.biz/

Manuell löschen:

C:\Q92194.exe

Lass Escan laufen (hast Du ja noch) und alle als infected ebenfalls löschen.

Papierkorb leeren.

Neustart-->Systemwiederherstellung aktivieren.

Lesenswertes:

http://www.trojaner-board.de/showthread.php?t=12154

dartus

[edit]
links entfernt
[/edit]

heptli 29.11.2005 08:29
Hallo
Hatte dank eurer Hilfe seit Feb.05 Ruhe.
Aber jetzt habe ich, wie es aussieht, wieder was eingefangen.
Um was könnte es sich bei 017 im HJT scan handeln?
Habe schon mehrmals gefixt, aber nach neustart ist die 017 immer wieder da.
Vielen Dank im Voraus
Gruß
Heptli

Logfile of HijackThis v1.99.1
Scan saved at 07:41:56, on 29.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\PROGRA~1\FRNDSL\FRNDSL.exe
C:\Programme\Opera\opera.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\werner\Eigene Dateien\Sicherheit\Hijackthis-1\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\werner\EIGENE~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Antivir] C:\Programme\AVPersonal\AVGNT.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [AutoStart-Manager] C:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123745876789
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133197757765
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE31B069-F3A9-4D6E-8EE0-FF45F223EA50}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

stupormundi 29.11.2005 08:33
Servus!
Zitat:
Um was könnte es sich bei 017 im HJT scan handeln?
Etwa Dein ISP?!
Zitat:
inetnum: 194.97.172.0 - 194.97.173.255
netname: FCL-NET
descr: freenet Cityline GmbH
descr: Willstaetterstrasse 13
descr: 40549 Duesseldorf
descr: Germany
country: DE
admin-c: FCL-RIPE
tech-c: NMC-RIPE
status: ASSIGNED PA
mnt-by: ROKA-MNT
source: RIPE # Filtered
role: freenet Cityline Network Management
address: freenet Cityline GmbH
address: Hamburger Chaussee 2-4
address: 24114 Kiel
address: Germany
e-mail: tech-c@mcbone.net
admin-c: FCL-RIPE
tech-c: JR1741-RIPE
tech-c: KRD2
tech-c: SH-RIPE
tech-c: SW817-RIPE
nic-hdl: FCL-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
source: RIPE # Filtered
role: Network Management
address: freenet Cityline GmbH
address: Network Managment Center
address: Juri Gagarin Ring 88
address: 99084 Erfurt
address: Germany
phone: +49 361 594 2961
fax-no: +49 361 594 2266
e-mail: nmc@freenet-ag.de
admin-c: NMC-RIPE
tech-c: FN507-RIPE
tech-c: RH6905-RIPE
tech-c: SR902-RIPE
tech-c: JP1259-RIPE
nic-hdl: NMC-RIPE
remarks: ****************************************************
remarks: * please report spam/abuse mailto:abuse@pppool.de *
remarks: * reports to other addresses will not be processed *
remarks: ****************************************************
mnt-by: ROKA-MNT
source: RIPE # Filtered
% Information related to '194.97.0.0/16AS5430'
cu, stupormundi


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131