Trojaner-Board - NEWbie braucht hilfe !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - NEWbie braucht hilfe ! (https://www.trojaner-board.de/17660-newbie-braucht-hilfe.html)

NEWbie braucht hilfe !

Hallo die Damen und Herren,

bitte werten sie doch auch mal meine logfiles aus; habe zwar schon ein paar der orte gefunden, wo sich "pferdchen" eingenistet haben, aber sie lassen sich nicht auf die herkömmliche art entfernen....

Vielen Dank im voraus!

1: logfile hijack, 2.: scan-ergebniss malwarescan

Logfile of HijackThis v1.99.1
Scan saved at 18:16:47, on 10.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\WINDOWS\System32\alg.exe
D:\neue_programme\antivir\AVGUARD.EXE
D:\neue_programme\antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\Fast.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\esel\eMule\emule.exe
C:\Dokumente und Einstellungen\bla\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: (no name) - {9E26E7FC-5A21-5C21-9671-D2A0FC11EB84} - C:\DOKUME~1\bla\ANWEND~1\INTERS~1\intrasite.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [programgluesize2] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\antenounprogramglue\corn ford.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WinMX] C:\Programme\WinMX\WinMX.exe -m
O4 - HKCU\..\Run: [name meta] C:\DOKUME~1\bla\ANWEND~1\FREESU~1\settingslog.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\torrent\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\torrent\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{05041E8D-A03A-47C7-9561-E9E085B203A9}: NameServer = 10.0.0.2,10.0.0.11
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\neue_programme\antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\neue_programme\antivir\AVWUPSRV.EXE

2.:

Datei: minime.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPC

AntiVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Downloader.Swizzor.8.K gefunden
BitDefender Trojan.Downloader.Swizzor.CX gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.LopAd gefunden
F-Prot Antivirus W32/Swizzor.DK@dl gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Swizzor.cx gefunden
mks_vir Trojan.Downloader.Swizzor.Cx gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Trojan-Downloader.Win32.Swizzor.cx gefunden

@benny_82

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du musst umgehend entweder eine WindowsXP SP2 CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\WINDOWS\System32\Fast.exe

Bitte die Datei auch bei Jotti checken.

Zitat:

D:\esel\eMule\emule.exe

Verwendung von P2P-Tools erhöht das Risiko, infiziert zu werden, um 300%.

Zitat:

C:\Dokumente und Einstellungen\bla\Lokale Einstellungen\Temp\HijackThis.exe

HJT muss in einem eigenen Ordner laufen.

Folgende Einträge fixen

Code:

O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll

O2 - BHO: (no name) - {9E26E7FC-5A21-5C21-9671-D2A0FC11EB84} - C:\DOKUME~1\bla\ANWEND~1\INTERS~1\intrasite.exe

O4 - HKLM\..\Run: [programgluesize2] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\antenounprogramglue\corn ford.exe

O4 - HKCU\..\Run: [name meta] C:\DOKUME~1\bla\ANWEND~1\FREESU~1\settingslog.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Folgende Dateien

Code:

..\minime.exe

C:\Programme\WS_FTP Pro\wsbho2K0.dll

C:\DOKUME~1\bla\ANWEND~1\INTERS~1\intrasite.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\antenounprogramglue\corn ford.exe

C:\DOKUME~1\bla\ANWEND~1\FREESU~1\settingslog.exe

C:\WINDOWS\web\related.htm

im abgesicherten Modus löschen.

Hallo,

danke für die schnell antwort; werde umgehend so verfahren; mir ist bewusst das die tauschbörsen ein hohes risiko sind, ich versuche schon was geht die eingehenden daten erst zu checken und dann zu öffnen; bzw. lade ich eh nur programme zum testen, um sie dann zu kaufen da man in teufels küche kommt wenn man z.b mit nem gecrackten schnitt-programm arbeitet um geld zu verdienen.

das sp2 habe ich zwar rumliegen, aber aufgrund allgemeinem misstrauen mircosoft gegenüber bisher nicht installiert;

eine frage noch : jedes mal wenn ich hochfahre erscheint ein "license agreement" von WinMX, das ich entweder annehmen muss oder ablehnen. ablehnen natürlich, es startet auch zum glück nicht im hintergrund.(siehe oben log-files) nur krieg ichs auch nicht von der platte!!! die ordner sind zwar im explor.sichtbar, aber angeblich im "papierkorb", was aber nicht stimmt;gibt es ein proggi, das von der wirkung einer art "chemischen keule" gleichkommt, womit ich löschen kann was ich will?

hab den mist vorallem nur einmal benutzt, und jetzt klebts fest

danke nochmal

@benny_82

Zitat:

gibt es ein proggi, das von der wirkung einer art "chemischen keule" gleichkommt, womit ich löschen kann was ich will?

1. Über Systemsteuerung/Software deinstallieren .
2. Guck mal hier: http://www3.ca.com/securityadvisor/p...x?id=453073289
3. Suche dir einen Uninstaller auf : http://www.soft-ware.net/service/qui...uche=Uninstall