Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Hilfe "Only the best" Pop up (https://www.trojaner-board.de/12481-bitte-um-hilfe-only-the-best-pop-up.html)

Rosas16 20.01.2005 16:37
Bitte um Hilfe "Only the best" Pop up
 
Hallo Mitglieder,

Habe mir wohl auch was eingfangen, kann es aber trotz Eurer Anweisungen nie komplett und langfristig löschen.
Habe Windows ME als Betriebssystem.
Hier mein Hijack This Auszug mit der Bitte um schnelle Hilfe.
Danke im voraus

Logfile of HijackThis v1.99.0
Scan saved at 16:19:26, on 20.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\NETRT.EXE
C:\WINDOWS\NTZA32.EXE
C:\WINDOWS\NTZA32.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SDKYP32.EXE
C:\WINDOWS\NTZA32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SDKYP32.EXE
C:\WINDOWS\JAVAOV32.EXE
C:\WINDOWS\SDKYP32.EXE
C:\PROGRAMME\ARCORONLINE\ARCOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\JAVAOV32.EXE
C:\WINDOWS\SYSTEM\D3KY.EXE
C:\WINDOWS\SYSTEM\D3KY.EXE
C:\WINDOWS\SYSTEM\WINWD32.EXE
C:\WINDOWS\TEMP\MWAVSCAN.COM
C:\WINDOWS\TEMP\KAVSS.EXE
C:\WINDOWS\JAVAOV32.EXE
C:\WINDOWS\SYSTEM\WINWD32.EXE
C:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BE1DB07F-DB34-A204-FC73-DF8C7F8D4FA5} - C:\WINDOWS\SYSTEM\IECE32.DLL
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [NETRT.EXE] C:\WINDOWS\SYSTEM\NETRT.EXE
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service
O4 - HKLM\..\RunServices: [JAVAOV32.EXE] C:\WINDOWS\JAVAOV32.EXE
O4 - HKLM\..\RunServices: [D3KY.EXE] C:\WINDOWS\SYSTEM\D3KY.EXE
O4 - HKLM\..\RunServices: [WINWD32.EXE] C:\WINDOWS\SYSTEM\WINWD32.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\RunServices: [Spyware Doctor] "C:\PROGRAMME\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL (file missing)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (HKCU)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

chaosman 20.01.2005 18:50
@Rosas16
du hast ja escan schon auf dem rechner
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

Chris14 18.02.2005 22:45
@rosas2
wenn du das escanlog gepostet hast, dann:

1.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ypkyz.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {BE1DB07F-DB34-A204-FC73-DF8C7F8D4FA5} - C:\WINDOWS\SYSTEM\IECE32.DLL
O4 - HKLM\..\Run: [NETRT.EXE] C:\WINDOWS\SYSTEM\NETRT.EXE
O4 - HKLM\..\RunServices: [JAVAOV32.EXE] C:\WINDOWS\JAVAOV32.EXE
O4 - HKLM\..\RunServices: [D3KY.EXE] C:\WINDOWS\SYSTEM\D3KY.EXE
O4 - HKLM\..\RunServices: [WINWD32.EXE] C:\WINDOWS\SYSTEM\WINWD32.EXE
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL (file missing)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)

-mach auch das was dort steht um die O15-Einträge zu löschen.

2.dateien löschen
-lösche die dateien NETRT.EXE, D3KY.EXE und WINWD32.EXE im ordner c:\windows\system
-lösche die dateien NTZA32.EXE, SDKYP32.EXE und JAVAOV32.EXE im ordner c:\windows
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

3.ergebnisse
-poste ein neues hijackthis log

to.ller 07.04.2005 17:21
Hatte das gleiche Problem. Die Symptome sind zur Zeit auch verschwunden, aber
zur Sicherheit hab ich nochmal die logfile kopiert. Ich seh nichts verdächtiges mehr. Ihr vielleicht? Danke jedenfalls für die Hilfestellung :daumenhoc


Logfile of HijackThis v1.99.1
Scan saved at 18:04:05, on 07.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme + Treiber\sicherheit\Antivir\AVGUARD.EXE
D:\Programme + Treiber\sicherheit\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme + Treiber\sicherheit\Antivir\AVGNT.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Torsten Müller\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://hsremove.com/done.htm
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme + Treiber\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] D:\Programme + Treiber\Corel\Register\registration.exe /title="Corel Graphics Suite 11" /date=021705 serial=DR11CTG-9999999-DSL
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme + Treiber\sicherheit\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Vanisher] D:\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: ISDN Guard.lnk = C:\Programme\T-Eumex\ISDN Guard\agfguard.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft® JavaScript® Console - {DD4A91A4-2EEA-4E4A-B822-3A45F2CAAAEF} - C:\WINDOWS\System32\jsconsole.dll (file missing)
O9 - Extra 'Tools' menuitem: JavaScript Console - {DD4A91A4-2EEA-4E4A-B822-3A45F2CAAAEF} - C:\WINDOWS\System32\jsconsole.dll (file missing)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - C:\WINDOWS\System32\remove_me.dll (file missing) (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {DD4A91A4-2EEA-4E4A-B822-3A45F2CAAAEF} - C:\WINDOWS\System32\jsconsole.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {DD4A91A4-2EEA-4E4A-B822-3A45F2CAAAEF} - C:\WINDOWS\System32\jsconsole.dll (file missing) (HKCU)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-url.de/Insta...sAssistent.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAC882CC-2641-46E8-9A95-5641E72F40F2}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme + Treiber\sicherheit\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme + Treiber\sicherheit\Antivir\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Programme + Treiber\sicherheit\Kerio\Personal Firewall\persfw.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131