Trojaner-Board - Ist hier alles in Ordnung??

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Ist hier alles in Ordnung?? (https://www.trojaner-board.de/14606-alles-ordnung.html)

Ist hier alles in Ordnung??

Logfile of HijackThis v1.99.1
Scan saved at 20:57:47, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SIS630_V1.01B.02\UTILITY\3D\KHOOKER.EXE
C:\WINDOWS\SYSTEM\HPZTSB03.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TWAIN_32\600CU\WATCH.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\DOWNLOADS PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as.../info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as...om/search?p=%s
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\CERBMOD.DLL (file missing)
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SiS KHooker] C:\Programme\SiS630_V1.01b.02\utility\3d\khooker.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb03.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [uptojpq] c:\windows\system\uptojpq.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\600CU\WATCH.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

@mops1980
bleibe bitte in einem thread
http://www.trojaner-board.de/showthread.php?t=14574

lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

hallo

du hast den netsky.p auf deimem rechner

scanne mit eScan und poste hier die funde

Zitat:

Zitat von The Don - D.R.

hallo

du hast den netsky.p auf deimem rechner

scanne mit eScan und poste hier die funde

Mal neugierig ist: an welchem Eintrag erkennt man den?

an: C:\WINDOWS\FVProtect.exe
achja ich poste gleich mal was noch alles getan werden sollte:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\CERBMOD.DLL (file missing)
O2 - BHO: CeresObj Class - {00000049-8F91-4D9C-9573-F016E7626484} - C:\WINDOWS\CERES.DLL
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [clfmon] C:\WINDOWS\clfmon.exe
O4 - HKLM\..\Run: [uptojpq] c:\windows\system\uptojpq.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

3.dateien löschen
-lösche die dateien ceres.dll, FVProtect.exe und clfmon.exe im ordner
c:\windows
-lösche die datei uptojpq.exe im ordner c:\windows\system
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

Zitat:

Zitat von chaosman

@mops1980
bleibe bitte in einem thread
http://www.trojaner-board.de/showthread.php?t=14574

@chaosman:
Was meinst du damit?? Ich bin nicht Mops0815 sonder Mops1980.

Das andere werde ich mal ausprobieren und mich dann melden. Danke!

@mops1980

Ups :eek: Entschüldigung
hatte ich übersehen ;)

chaosman

So, der escan hat wohl einiges ans Licht gebracht. Schaut sich das mal einer an? Danke!

File C:\WINDOWS\TEMP\DrTemp\farmmext.cab infected by "Trojan-Downloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\8XYV4HMN\d01[1].enc infected by "Backdoor.Win32.Webdor.o" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\GIN68H9K\5a2[1].enc infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\8H0J8303\lasse[1].htm infected by "Trojan-Clicker.JS.Linker.h" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\HG03XXSL\eied_s7[1].chm infected by "Trojan-Downloader.JS.Small.al" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CP8TE3WX\tibbs[1].enc infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\MLED85MB\eied_s7_77[1].cab infected by "Trojan-Downloader.Win32.Mediket.q" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CTOXAFSP\farmmext[1].cab infected by "Trojan-Downloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\SHIZCP27\c[1].jar infected by "Trojan.Java.ClassLoader.o" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\A9XABAH8\ds-205-1[1].txt infected by "Trojan-Downloader.Win32.Small.ajk" Virus. Action Taken: No Action Taken.

C:\WINDOWS\TEMPOR~1\CONTENT.IE5\CN9FU6JH\anm2[1].txt infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP\DrTemp\farmmext.cab infected by "Trojan-Downloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\8XYV4HMN\d01[1].enc infected by "Backdoor.Win32.Webdor.o" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\GIN68H9K\5a2[1].enc infected by "Trojan-Downloader.Win32.Agent.is" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\8H0J8303\lasse[1].htm infected by "Trojan-Clicker.JS.Linker.h" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\HG03XXSL\eied_s7[1].chm infected by "Trojan-Downloader.JS.Small.al" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\CP8TE3WX\tibbs[1].enc infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\MLED85MB\eied_s7_77[1].cab infected by "Trojan-Downloader.Win32.Mediket.q" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\CTOXAFSP\farmmext[1].cab infected by "Trojan-Downloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\SHIZCP27\c[1].jar infected by "Trojan.Java.ClassLoader.o" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\A9XABAH8\ds-205-1[1].txt infected by "Trojan-Downloader.Win32.Small.ajk" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Temporary Internet Files\Content.IE5\CN9FU6JH\anm2[1].txt infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action Taken: No Action Taken.

File C:\eied_s7.cab infected by "Trojan-Downloader.Win32.Mediket.q" Virus. Action Taken: No Action Taken.

Hallo?? :heulen:

Kann bitte mal jemand antworten?? Was soll ich jetzt machen?? :headbang:

Warum antwortet denn keiner?? :koch: :(

vielleicht ist einfach grad keiner der helfenden regulars online. kann schon mal sein, dass da keiner kommt.
achja:
du hast einen backdoor auf dem system;
dein system ist kompromittiert;
es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

Okay, das werde ich dann wohl machen. Danke für deine Hilfe, chris14.