Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mal nachgucken (https://www.trojaner-board.de/18912-mal-nachgucken.html)

sweetychen 13.06.2005 13:43
mal nachgucken
 
hi,

bitte mal durchschauen, ist ne menge mist bestimmt oben.


Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Java\jre1.5.0_02\bin\jusched.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\WebBlock V2.0\Webblock.exe
E:\Programme\Intercafe Client\crestarter.exe
E:\Programme\Intercafe Client\client.exe
E:\WINDOWS\System32\rundll32.exe
E:\Programme\Internet Explorer\iexplore.exe
E:\WINDOWS\explorer.exe
E:\WINDOWS\System32\svchost.exe
C:\icafeex\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0128/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - E:\WINDOWS\System32\SEARCH~1.DLL
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=E:\WINDOWS\system32\userinit.exe,
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WebBlock] "E:\Programme\WebBlock V2.0\starter.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Systems] E:\WINDOWS\System32\itDDD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] E:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] E:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:default.mht!http://www.wearehosters.com/v128/dro...::/dropper.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115296651125
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE20B1ED-6D70-4A70-B46E-E7070B825DD6}: NameServer = 192.168.2.1



danke

sweetychen 13.06.2005 14:20
hi,

also die startseite specialgoods.info ist echt belastend und auch auf dem desktop erscheinen laufend daten wenn ich diese lösche dann sind die gleich wieder da, die hälfte des desktop ist damit voll. habe schon specialgood.info gefixt hilft aber nicht, bitte brauche hilfe.

2blue 14.06.2005 18:29
bin ich mir nicht sicher ob ich mit neuem thema oder doch nicht......
haut mich bitte nicht!!
auch mich bzw. meinen sohn quält diese pöse pöse startseite im IE h**p://www.specialgoods.info/ad/ad0460/

verschiedenste versuche der beseitigung (auch im abgesicherten modus) mit ad aware, antivir und hijackthis sind völlig sinnlos denn nach spätestens 1 minute wartezeit ist (immernoch im abgesicherten modus) ist der ganze desktop wieder mit *peep*zeuchs und anderem müll vollgemüllt
es ist zum junge hunde kriegen....
anbei hijackthis logfile mit bitte um hilfe und auskunft ob durch routerverbindung des rechners mit meinem mein PC auch gefährdet ist durch dieses problem

hier nun die log:

Logfile of HijackThis v1.99.1
Scan saved at 13:53:26, on 13.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\M****n\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.specialgoods.info/ad/ad0460/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - [u*l]h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_EN_XP.cab[/url]
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


PS:
system wurde grad neu wieder gemacht da vor kurzem schon mal so ein problem auftrat

hoffe jemand kann uns (natürlich auch sweetychen mein) weiterhelfen

gruss das plui

dartus 14.06.2005 21:56
Hallo sweetychen und 2blue,

bitte editiert Eure Links in den jeweiligen Logfiles.

Verwendet zum Surfen einen sicheren Browser .

Hier ist eine Anleitung .

@sweetychen,

der "Kopf" Deines Logfile fehlt.

Fixe in abgesicherten Modus bei deaktivierter Systemwiederherstellung (wenn nach der Bereinigung noch vorhanden:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.specialgoods.info/ad/ad0128/
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - E:\WINDOWS\System32\SEARCH~1.DLL
F0 - system.ini: Shell=
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - (no file)
Falls Du dies (06-Einträge) nicht mit einem Programm wie Spybot oder adaware veranlasst hast, ebenfalls:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:default.mht!http://www.wearehosters.com/v128/dr...m::/dropper.exe

Lösche manuell:
E:\WINDOWS\web\related.htm
c:default.mht
E:\WINDOWS\System32\itDDD.exe
E:\WINDOWS\System32\SEARCH~1.DLL

@2blue,

besser wäre es, wenn Du einen eigenen Thread eröffnet hättest.
Update Dein System so schnell wie möglich auf SP 2 und mit alle weiteren Sicherheitspatches.

Fixe im abgesichertem Modus bei deaktivierter Systemwiederherstellung neben den Empfehlungen in der o.g. Anleitung http://www.systemwiederherstellung-d...indows-xp.html (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E} - [u*l]h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1041_EN_XP.cab[/url]

Postet jeweils ein neues Logfile und berichtet

dartus

2blue 15.06.2005 21:20
hallo dartus

danke für den link mit der anleitung
traf genau auf unser problem zu und mit dortiger vorgehensweise hoffe ich das wir das übel beheben konnten
leider kann ich dir kein neues logfile schicken da mein sohn seinen rechner in dauerbeschlag hat vor freude :sword2:

hätte aber gern abschliessend noch auskunft auf meine schon im ersten post erwähnte frage ob durch routerverbindung des rechners mit meinem mein PC auch gefährdet ist (war) durch dieses problem

PS. bin auf hochtouren am bearbeiten meines sohnes in zu überzeugen das sp2 und ein anderer browser vernünftiger bzw. wichtig wären.....
leider bisher ohne erfolg
kein einsehen das kind :headbang:

trotzdem vielen dank für die schnelle hilfe

Yopie 15.06.2005 21:22
Zitat:
Zitat von 2blue
PS. bin auf hochtouren am bearbeiten meines sohnes in zu überzeugen das sp2 und ein anderer browser vernünftiger bzw. wichtig wären.....
leider bisher ohne erfolg
kein einsehen das kind :headbang:
Du solltest es umtauschen. ;)

Gruß :daumenhoc
Yopie

chaosman 15.06.2005 21:39
@2blue
ich würde diese FW "installieren"
http://home.pages.at/heaven/absolut.htm


@Yopie
Du solltest es umtauschen.
OT
Ob sie noch Garantie hat :aplaus:

chaosman :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131