Trojaner-Board - Bitte Helfen! Kenne Mich Mit Trojanern Null Aus!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Helfen! Kenne Mich Mit Trojanern Null Aus! (https://www.trojaner-board.de/16841-bitte-helfen-kenne-mich-trojanern-null.html)

Bitte Helfen! Kenne Mich Mit Trojanern Null Aus!

Hallo Leute !

Ich habe grosse Probleme mit Trojanern und Programmen, die ich eigentlich nie installiert habe :snyper: ! Habe mir Hijack This runtergeladet, habe aber keine Ahnung wie ich das Ergebnis auswerten soll und was ich eigentlich löschen muss :headbang: . Kann mir bitte jemand helfen?

Mein Log lautet :

Logfile of HijackThis v1.99.0
Scan saved at 16:23:04, on 19.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Pamela\pamela.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Winhelp Legal 2004\Winhelp Legal 2004.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Mari\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [wipe cdrom mix grey] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\start more wipe cdrom\basesave.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [pamela.exe] "C:\Programme\Pamela\pamela.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ISSvc - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Odyssey Client - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Danke im voraus!

@marie1

Zitat:

Habe mir Hijack This runtergeladet, habe aber keine Ahnung wie ich das Ergebnis auswerten soll und was ich eigentlich löschen muss

Den Log auswerten kann man auf www.hijackthis.de.

Zitat:

C:\Programme\Pamela\pamela.exe

Die Datei bitte bei http://virusscan.jotti.org/ checken. Ergebnis posten.

Zitat:

Zitat von Rene-gad

@marie1

Den Log auswerten kann man auf www.hijackthis.de.

Die Datei bitte bei http://virusscan.jotti.org/ checken. Ergebnis posten.

danke für deine hilfe! hab alles genauso gemacht, wie du es mir gesagt hast. pamela ist mein skypebeantworter, die datei ist in ordnung. habe mein log ausgewertet und zwei dateien fixiert. nur das hier ist mir unklar :

O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet6_38.dll' missing

Böse

Diese Einträge sollten nicht manuell gelöscht werden! Beste Möglichkeit zur Reparatur bietet LSPFix von Cexx.org. Prüfen Sie Ihre Festplatte mit Spybot S&D von Kolla.de oder LSPFix von Cexx.org!

habe mir das programm von kalla.de runtergeladet und wie geht es jetzt weiter? :o

danke nochmal!

Hi , ich habs geschafft! :party: Hätte aber noch eine Frage- kennst du das Programm Spyware Doctor? Nach diesem Programm hätte ich 28 Infizierungen, aber HiJack This findet nichts...Kannst du mir einen Rat geben? :)

Danke !

@marie1

Zitat:

Hi , ich habs geschafft!

Schön ;).

Zitat:

.... kennst du das Programm Spyware Doctor?

Nicht wirklich

Zitat:

..Kannst du mir einen Rat geben?

Tue bitte Folgendes:
1. Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2.Papierkorb leeren
3. Nur bei Windows ME/XP: Systemwiederherstellung abschalten
4. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig.
Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. Darüber hinaus soll dies manuell erfolgen.
5. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Zitat:

Zitat von Rene-gad

@marie1

Schön ;).

Nicht wirklich

Tue bitte Folgendes:
1. Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2.Papierkorb leeren
3. Nur bei Windows ME/XP: Systemwiederherstellung abschalten
4. Infected-Ordner des Antivirus-Programms, ggf. von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig.
Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. Darüber hinaus soll dies manuell erfolgen.
5. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Hi :o

Hab hoffentlich alles richtig gemacht! Log ist lang ... wirklich sehr sehr lang :teufel1: , deshalb poste ich nur die Virus Log Information. Wenn du doch alles brauchst, kopiere ich es später rein.

Wed Apr 20 09:47:13 2005 => Total Objects Scanned: 41956
Wed Apr 20 09:47:13 2005 => Total Virus(es) Found: 34
Wed Apr 20 09:47:13 2005 => Total Disinfected Files: 0
Wed Apr 20 09:47:13 2005 => Total Files Renamed: 0
Wed Apr 20 09:47:13 2005 => Total Deleted Objects: 0
Wed Apr 20 09:47:13 2005 => Total Errors: 14
Wed Apr 20 09:47:13 2005 => Time Elapsed: 00:29:02
Wed Apr 20 09:47:13 2005 => Virus Database Date: 2005/04/18
Wed Apr 20 09:47:13 2005 => Virus Database Count: 126450

Wed Apr 20 09:47:13 2005 => Scan Completed.

Zitat:

Zitat von marie1

ups :headbang: wie ich sehe hats nicht geklappt... man kann wahrscheinlich gar nichts von dem e-scan kopieren...wie kann ich dir log posten? :(

Lade diese Datei mittels Rechtsklick-> "Ziel speichern unter..." runter und fuehre sie aus. Poste dann den Inhalt der c:\eScan_neu.txt.

Zitat:

Zitat von °Howie°

Lade diese Datei mittels Rechtsklick-> "Ziel speichern unter..." runter und fuehre sie aus. Poste dann den Inhalt der c:\eScan_neu.txt.

hi :o

ich kann die datei zwar speichern, aber nicht ausführen. woran kann es liegen?

Liebe Grüsse

@marie1

Zitat:

ich kann die datei zwar speichern, aber nicht ausführen.

Was möchtest du ausführen? Die Datei soll [dings_bums].txt heißen. Dabei geht die mit dem Windows-Editor, Word (Pad) usw. auf. Markieren-Kopieren- (hier) Einfügen.

Zitat:

Zitat von Rene-gad

@marie1

Was möchtest du ausführen? Die Datei soll [dings_bums].txt heißen. Dabei geht die mit dem Windows-Editor, Word (Pad) usw. auf. Markieren-Kopieren- (hier) Einfügen.

es ist keine textdatei, sondern Stapelverarbeitungsdatei für MS-DOS

Zitat:

Zitat von marie1

es ist keine textdatei, sondern Stapelverarbeitungsdatei für MS-DOS

:lach: muss mich halt entschuldigen.. es gibt wirklich zwei textdateien dazu, aber komischer weise habe ich sie nicht alle in einem ordner gespeichert.. deshalb die verwirrung!

sorry!

Zitat:

Zitat von marie1

:lach: muss mich halt entschuldigen.. es gibt wirklich zwei textdateien dazu, aber komischer weise habe ich sie nicht alle in einem ordner gespeichert.. deshalb die verwirrung!

sorry!

die eine datei (AVPCallback):

[0x00000ea0] 20/04/2005 11:26:31:490 :[C:\DOKUME~1\Mari\LOKALE~1\Temp\vlist.txt]Virus List was Generated Successfully!!!

und die andere (vlist) :

10

das sind die einzigen textdateien... und habe keine ahnung, worum es geht! :(

Zitat:

Zitat von marie1

:eek:

umgekehrt...

vlist sagt: [0x00000ea0] 20/04/2005 11:26:31:490 :[C:\DOKUME~1\Mari\LOKALE~1\Temp\vlist.txt]Virus List was Generated Successfully!!!

und AVPCallback lautet 10

Wenn du eScan richtig ausgeführt hast (eScan wurde nach c:\bases bzw c:\bases_x entpackt), findest du nach dem Doppelklick auf die Stapelverarbeitungsdatei für MS-DOS die Datei c:\eScan_neu.txt auf deiner Festplatte. Den Inhalt dieser Datei brauchen wir.