Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich verzweifel noch | Need HelP :( (https://www.trojaner-board.de/18884-verzweifel-noch-need-help.html)

SilverRider 12.06.2005 19:15
Ich verzweifel noch | Need HelP :(
 
:headbang: Ich habe schon zich sachen versucht.. adaware fand immer eine malware die löschte ich aber sie war kurz danach schon wieder da.
Hijackthis fand auch was was ich als nich so nett identifizieren konnte und löschte es
Aber es bringt alles irgendwie nix... ich hoffe ihr könnt mir helfen!

hier mal n log


Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Programme\ICQLite\ICQLite.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
F:\Mousometer\mousometer.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Der Ritter\Desktop\hijackthis_1991\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bgkveefogteiuvy.com/vhVcNopXihDvYLbZ1jhdkXKo4D3_QB7ATWVxkah95yAkNIDC8sqZkHEJHJYww7I_.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.futuremark.com/products/3dmark05/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {834ABB9E-B5C2-5CDE-A290-9E79016F7C9D} - C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\Support help.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] F:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ABOUT FRAG] C:\DOKUME~1\DERRIT~1\ANWEND~1\INFODU~1\testthat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = F:\Mousometer\mousometer.exe
O4 - Global Startup: Ulead Kalendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11b Wireless CardBus & PCI Adapter HW.11 V1.10\WlanCU.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


bei adaware...

Vendor: LOP
Category: Malware
Object Type: Process
Size: -
Location: c:\dokume~1\derrit~1\lokale~1\temp\gjsfmdhu.exe
Risk Level: High
Tac Rating: 7
Comment: (CSI MATCH)

Description:
Browser Hijacker. No uninstaller. May cause system instability. Auto updates. Operates in stealth.

wenn ich den entferne kommt ein anderer wieder.. ne andre exe...

da ich mich in diesem bereich nun gar nid auskenne bin ich auf euch angewiesen.
Wäre echt froh wenn ihr mich "retten" könntet.
Surfen tu ich momentan mitm Mozilla Firefox und mit meiner Firewall (Zonealarm) habe ich dem IE die verbindung zum netz gekappt (nicht erlaubt)

MfG

Silver

P.S: THX :daumenhoc

felix1 12.06.2005 19:29
Lade Dir den Clearprog, installire ihn und starte Ihn. Setze den Haken bei alles löschen und betätige den Botton alles löschen.
Dann update Dein System auf SP2. Update auch den IE.
Zur Sicherheit mache das:
http://www.trojaner-board.de/showthread.php?t=17492

SilverRider 12.06.2005 19:35
Zitat:
Zitat von felix1
Lade Dir den Clearprog,
was wie wo? :confused:

SilverRider 12.06.2005 19:47
sry 4 doppelpost

so dieses clean teil hab ich jetzt gemacht aber wie bekomme ich SP2?
und wenn ich immer wieder cleane dann is da immernoch 1 datei also immer wieder wird 1 datei geloescht...

felix1 12.06.2005 19:51
Dann fahre den PC mal im abgesicherten Modus hoch und lösche den Inhalt des Verzeichnisses:
c:\dokume~1\derrit~1\lokale~1\temp\

SilverRider 12.06.2005 19:58
so war im abgesicherten modus
aber ab derrit gabs das verzeichnis nicht mehr...
deswegen konnte ich den inhalt nicht löschen...

felix1 12.06.2005 20:05
Du solltest Dein System regelmäßig updaten!
Logfile of HijackThis v1.99.1
Scan saved at 20:10:13, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Dann muss weitergesucht werden. Deshalb mache genau nach Cidres Anleitung und poste das Ergebnis hier:
http://www.trojaner-board.de/showthread.php?t=17492

SilverRider 12.06.2005 20:09
danke für die Hilfe
Werde das morgen nach der Schule machen!!
Jetzt ist es ein bisschen spät da ich ja um 10 den pc ausmachen soll :schrei:

SilverRider 14.06.2005 13:56
Hier mein eScann.. ich hoffe ihr könnt mir Helfen :crazy:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 13:41:12 2005 => File C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\SUPPOR~1.EXE infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Sectdvdmail.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Soap send inter peak.exe infected by "Trojan-Downloader.Win32.Swizzor.ca" Virus! Action Taken: No Action Taken.
Tue Jun 14 13:57:04 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Jun 14 14:36:13 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 13:41:26 2005 => File C:\DOKUME~1\DERRIT~1\ANWEND~1\INFODU~1\testthat.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:43:34 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Tue Jun 14 13:45:33 2005 => File C:\DOKUME~1\DERRIT~1\LOKALE~1\Temp\simxmqca.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:46:15 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dvd For Heck City\TRUSTFREE.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.
Tue Jun 14 13:46:48 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\piardgnu.exe tagged as "not-a-virus:AdWare.Lop.p". Action Taken: No Action Taken.
Tue Jun 14 13:51:00 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Eigene Dateien\Meine empfangenen Dateien\click.exe tagged as not-a-virus:Effect.Win16.Click. No Action Taken.
Tue Jun 14 13:51:02 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Eigene Dateien\Meine empfangenen Dateien\Geschenk.exe tagged as not-a-virus:Joke.Win32.Coke. No Action Taken.
Tue Jun 14 13:55:22 2005 => File C:\Dokumente und Einstellungen\Der Ritter\Lokale Einstellungen\Temp\simxmqca.exe tagged as "not-a-virus:AdWare.Lop.m". Action Taken: No Action Taken.
Tue Jun 14 13:56:57 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:56:57 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:56:58 2005 => File C:\Programme\AIDA32 - Enterprise System Information\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken.
Tue Jun 14 13:57:11 2005 => File C:\Programme\C2Media\Setup.exe tagged as "not-a-virus:AdWare.Lop". Action Taken: No Action Taken.
Tue Jun 14 14:26:30 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Jun 14 14:36:13 2005 => Total Virus(es) Found: 16
Tue Jun 14 14:36:13 2005 => Total Errors: 32
Tue Jun 14 14:36:13 2005 => Time Elapsed: 00:55:29
Tue Jun 14 14:36:13 2005 => Total Objects Scanned: 50307
Tue Jun 14 13:39:33 2005 => Virus Database Date: 2005/06/13
Tue Jun 14 14:36:13 2005 => Virus Database Date: 2005/06/13
Tue Jun 14 14:45:23 2005 => Virus Database Date: 2005/06/13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

felix1 14.06.2005 14:29
Mache das:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
und
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Dann versuche nochmals:

Zitat:
Zitat von felix1
Dann fahre den PC mal im abgesicherten Modus hoch und lösche den Inhalt des Verzeichnisses:
c:\dokume~1\derrit~1\lokale~1\temp\
Lösche weiterhin im abgesicherten Modus:
C:\DOKUME~1\DERRIT~1\ANWEND~1\INTRAA~1\SUPPOR~1.EX E
C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Sectdvdmail.exe
C:\Dokumente und Einstellungen\Der Ritter\Anwendungsdaten\Info dumb\Soap send inter peak.exe

Leere den Quarantäne-Ordner des Antivirusprogrammes.

Lade im normalen Modus Spybot, update ihn und lasse das Programm laufen.

SilverRider 14.06.2005 14:50
gesagt getan...

falls noch was kommt sag ich bescheid

thx erstmal :)

und da issa wieder

adaware sagt ihn mal wieder an... :mad:

nicht genug gelöscht? ich bekomm die krise

felix1 14.06.2005 14:57
Deaktiviere mal die Systemwiederherstellung und starte den PC mal neu.
http://www.systemwiederherstellung-d...indows-xp.html

SilverRider 14.06.2005 15:16
hab ich getan... tut sich aber nichts.. vielleicht hast du ja eine datei übersehen? kannst den log ja nochmal ansehen

übrigens bei dem Hijackthis log war ja so eine suchseite (wo ich find das die bööööse is ;)) die is immernoch da...

felix1 14.06.2005 15:22
Jetzt mache nochmal ein HJT.

SilverRider 14.06.2005 15:22
Zitat:
Zitat von felix1
Jetzt mache nochmal ein HJT.
:confused: wos?


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:23 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131