Trojaner-Board - Könnt ihr bitte meine Log ansehen?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Könnt ihr bitte meine Log ansehen? (https://www.trojaner-board.de/14226-bitte-log-ansehen.html)

Könnt ihr bitte meine Log ansehen?

Hallo,
ich bekomme schon seit ein paar wochen immer Fehlermeldungen z.B.: das Launch Application 2.exe nicht gestartet werden kann oder das ein Trojaner( die genaue Bezeichnung kann ich jetzt leider nicht sagen) gefunden wurde. Ich habe Antivir schon öfter laufen lasse aber er findet nicht wirklich etwas. Ich hoffe ihr könnt mir helfen. Die hijackthis.log ist:

Logfile of HijackThis v1.99.1
Scan saved at 09:15:08, on 21.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\AdStatus Service\AdStatServ.exe
C:\Program Files\AdStatus Service\AdStatKeep.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Mobile Master\MMAgent.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Mobile Master\MMScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Wolfi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Cl...bridge-c18.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097267753438
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

mfg
Wolfgang

hallo,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.

dartus

So, ich hoffe ich hab alles richtig gemacht. Die Files:

Tue Feb 22 15:33:12 2005 => File C:\PROGRA~2\ADSTAT~1\ADSTAT~2.EXE infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Tue Feb 22 15:33:12 2005 => File C:\PROGRA~2\ADSTAT~1\ADSTAT~1.DLL infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Tue Feb 22 15:33:13 2005 => File C:\PROGRA~2\ADSTAT~1\ADSTAT~1.EXE infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.

Tue Feb 22 15:33:43 2005 => File C:\PROGRA~2\ADSTAT~1\ADSTAT~2.EXE infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Tue Feb 22 15:51:52 2005 => Scanning File C:\DOKUME~1\Wolfi\LOKALE~1\TEMPOR~1\Content.IE5\O39J2U35\infected6xz[1].gif

Tue Feb 22 16:19:56 2005 => File C:\WINDOWS\Downloaded Program Files\AdStatServX.dll infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.

Tue Feb 22 16:49:18 2005 => Scanning File C:\Dokumente und Einstellungen\Wolfi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O39J2U35\infected6xz[1].gif

Tue Feb 22 16:58:48 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Tue Feb 22 17:16:14 2005 => File C:\System Volume Information\_restore{CC29BE77-0BDA-4297-800B-BF5D0C257017}\RP86\A0075513.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:16:15 2005 => File C:\System Volume Information\_restore{CC29BE77-0BDA-4297-800B-BF5D0C257017}\RP86\A0075514.exe infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:16:25 2005 => File C:\System Volume Information\_restore{CC29BE77-0BDA-4297-800B-BF5D0C257017}\RP87\A0075567.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:19:53 2005 => File C:\System Volume Information\_restore{CC29BE77-0BDA-4297-800B-BF5D0C257017}\RP106\A0082158.exe infected by "not-a-virus:AdWare.Relevance.b" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:24:30 2005 => File C:\Program Files\AdStatus Service\AdStatKeep.exe infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:24:31 2005 => File C:\Program Files\AdStatus Service\AdStatComm.dll infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Tue Feb 22 17:28:20 2005 => ***** Checking for specific ITW Viruses *****
Tue Feb 22 17:28:21 2005 => Checking for Welchia Virus...
Tue Feb 22 17:28:21 2005 => Checking for LovGate Virus...
Tue Feb 22 17:28:21 2005 => Checking for CodeRed Virus...
Tue Feb 22 17:28:21 2005 => Checking for OpaServ Virus...
Tue Feb 22 17:28:21 2005 => Checking for Sobig.e Virus...
Tue Feb 22 17:28:22 2005 => Checking for Winupie Virus...
Tue Feb 22 17:28:22 2005 => Checking for Swen Virus...
Tue Feb 22 17:28:22 2005 => Checking for JS.Fortnight Virus...
Tue Feb 22 17:28:22 2005 => Checking for Novarg Virus...
Tue Feb 22 17:28:22 2005 => Checking for Pagabot Virus...
Tue Feb 22 17:28:22 2005 => Checking for Parite.b Virus...
Tue Feb 22 17:28:22 2005 => Checking for Parite.a Virus...

Tue Feb 22 17:28:22 2005 => ***** Scanning complete. *****

Tue Feb 22 17:28:22 2005 => Total Files Scanned: 81509
Tue Feb 22 17:28:22 2005 => Total Virus(es) Found: 15
Tue Feb 22 17:28:22 2005 => Total Disinfected Files: 0
Tue Feb 22 17:28:22 2005 => Total Files Renamed: 0
Tue Feb 22 17:28:22 2005 => Total Deleted Files: 0
Tue Feb 22 17:28:22 2005 => Total Errors: 132
Tue Feb 22 17:28:22 2005 => Time Elapsed: 01:56:11
Tue Feb 22 17:28:22 2005 => Virus Database Date: 2005/02/22
Tue Feb 22 17:28:22 2005 => Virus Database Count: 119132

Tue Feb 22 17:28:22 2005 => Scan Completed.

mfg
Wolfgang

Hallo,

lade Dir folgende Prgramme:

clearprog (beseitigt Datenmüll mit zwei Klicks, sprich leert den Inhalt temporärer Ornder),

adaware
und SpybotS&D
(beide Programme scannen das System nach Spyware).

Adaware und spybot installieren und updaten.

Clearprog starten-->"Alles Löschen" Häckchen und "Löschen" anklicken".

Systemwiederherstellung deaktivieren und in den abgesicherten Modus starten. http://www.systemwiederherstellung-d...indows-xp.html

Im abgesicherten Modus mit Hijackthis scannen und vor folgenden Einträgen ein Häckchen setzen:

O4 - HKLM\..\Run: [AdStatus Service] C:\Program Files\AdStatus Service\AdStatServ.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C.../bridge-c18.cab

dann auf "Fix checked" klicken

Folgendes Ordner manuell löschen:

C:\Program Files\AdStatus Service

Falls Du den Ordner nicht findest, Explorer öffnen -> Extras -> Ansicht -> Systemdateien ausblenden "Häckchen entfernen" und "Alle Dateien und Ordner anzeigen" anklicken.

Dann Adaware und Spybot nacheinander Scannen lassen und alle aufgeführten Einträge löschen.

Neustart -->Systemwiederherstellung aktivieren.

Bitte noch ein neues Logfile posten.

dartus

Hallo,
ich hab das so gemacht wie Du es beschrieben hast. Leider bekomm ich noch immer eine Virusmeldung.

Wed Feb 23 11:50:00 2005 => File C:\WINDOWS\Downloaded Program Files\AdStatServX.dll infected by "not-a-virus:AdWare.WinAD.p" Virus. Action Taken: No Action Taken.

Wed Feb 23 12:15:25 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Wed Feb 23 12:24:58 2005 => File C:\Recycled\Dc1\AdStatKeep.exe infected by "not-a-virus:AdWare.WinAD.k" Virus. Action Taken: No Action Taken.

Wed Feb 23 12:24:58 2005 => File C:\Recycled\Dc1\AdStatComm.dll infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Wed Feb 23 12:24:58 2005 => File C:\Recycled\Dc1\AdStatServ.exe infected by "not-a-virus:AdWare.WinAD.s" Virus. Action Taken: No Action Taken.

Wed Feb 23 12:28:41 2005 => ***** Checking for specific ITW Viruses *****
Wed Feb 23 12:28:41 2005 => Checking for Welchia Virus...
Wed Feb 23 12:28:41 2005 => Checking for LovGate Virus...
Wed Feb 23 12:28:41 2005 => Checking for CodeRed Virus...
Wed Feb 23 12:28:42 2005 => Checking for OpaServ Virus...
Wed Feb 23 12:28:42 2005 => Checking for Sobig.e Virus...
Wed Feb 23 12:28:42 2005 => Checking for Winupie Virus...
Wed Feb 23 12:28:42 2005 => Checking for Swen Virus...
Wed Feb 23 12:28:42 2005 => Checking for JS.Fortnight Virus...
Wed Feb 23 12:28:42 2005 => Checking for Novarg Virus...
Wed Feb 23 12:28:42 2005 => Checking for Pagabot Virus...
Wed Feb 23 12:28:42 2005 => Checking for Parite.b Virus...
Wed Feb 23 12:28:42 2005 => Checking for Parite.a Virus...

Wed Feb 23 12:28:42 2005 => ***** Scanning complete. *****

Wed Feb 23 12:28:42 2005 => Total Files Scanned: 43931
Wed Feb 23 12:28:42 2005 => Total Virus(es) Found: 4
Wed Feb 23 12:28:42 2005 => Total Disinfected Files: 0
Wed Feb 23 12:28:42 2005 => Total Files Renamed: 0
Wed Feb 23 12:28:42 2005 => Total Deleted Files: 0
Wed Feb 23 12:28:42 2005 => Total Errors: 134
Wed Feb 23 12:28:42 2005 => Time Elapsed: 01:14:08
Wed Feb 23 12:28:42 2005 => Virus Database Date: 2005/02/22
Wed Feb 23 12:28:42 2005 => Virus Database Count: 119132

Wed Feb 23 12:28:43 2005 => Scan Completed.

Ich hoffe wir bekommen das hin.

mfg
Bauerl

Hallo,

manuell löschen ggf. im abgesicherten Modus:

C:\WINDOWS\Downloaded Program Files\AdStatServX.dll

Das ist die Antivir-Quarantäne:

C:\Programme\AVPersonal\INFECTED\*.*

Papierkorb leeren:

C:\Recycled\Dc1\AdStatKeep.exe

dartus

Hallo,
ich hab das wieder so gemacht wie Du es beschrieben hast. Leider hilft es nicht viel. Wenn ich das System neu starte bekomme ich vom Norton die Viruswarnung vom "Bloodhound" oder so. Ich hab nachgelesen das Bloodhound nur ein sporatischer Name ist weil es den Virus nich idendifizieren kann. Ich kann mich aber erinnern das Antivir hat mir einmal einen Namen "Npackage" oder so gemeldet. Vielleicht kannst Du damit was anfangen. Ich hoffe es.

mfg
Bauerl

Hallo,

es muss nicht unbedingt ein Virus sein.
Wenn Du weisst, welche Datei es ist und wo sie steckt,
kannst sie hier von mehreren Online-Scannern checken lassen:

http://virusscan.jotti.dhs.org

dartus

Hallo,

ich kann die Datei leider nicht überprüfen weil ich sie nicht finde.

Das Norton spuckt diesen Pfad aus:

C:\WINDOWS\Downloaded Program Files\AdStatServX.dll ist infiziert mit Adware.WinTaskAd

und wenn ich den Ordner durchsuche finde ich ihn nicht. Das ist schon etwas kurios oder? Ich bitte um Hilfe.

mfg
Bauerl

Versuch's mal so:

Zitat:

Zitat von Cidre

Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandete Datei.

Ja,

das klappt garantiert, wollte das auch vorschlagen.

dartus

Juuuuuuuuuuubel!!!!!!!! Es hat funktioniert.

Ich danke Euch!!!!!!!!

mfg
Bauerl