Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Das sieht nicht gut aus .... (https://www.trojaner-board.de/20039-sieht-gut.html)

Martinez 21.07.2005 14:06
Das sieht nicht gut aus ....
 
Moin,

ich habe mich gerade mit 'AltNet' herumgeplagt. AdAware findet nichst mehr, mit RegSeeker hatte ich die Regsitry aufgeräumt, aber SpyBot findet Altanet noch :heulen:

Mein Logfile sieht auch nicht gerade prächtig aus:

Logfile of HijackThis v1.99.1
Scan saved at 14:57:22, on 21.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\fritz!dsl\IGDCTRL.EXE
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
d:\Logitech\Maus\MouseWare\system\em_exec.exe
D:\FRITZ!DSL\FwebProt.exe
d:\fritz!dsl\StCenter.EXE
D:\DATEN\Meins\Downloads\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1.3\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Spybot 1.3\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Startup: FRITZ!DSL Protect.lnk = D:\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119988861781
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - d:\YAMAHA\MidRadio Player\midradio.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\fritz!dsl\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - d:\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Was gibt's zu tun ???

Martinez 21.07.2005 16:08
Nachtrag: Wenn ich Spybot nutze, bekomme ich immer noch den Hinweis, dass 'AltNet' läuft. Wenn Spybot mit dem System startet, bekomme ich dann den Hinweis, dass Spybot 'Altanet' nicht entfernen könne :koch:

Martinez 21.07.2005 18:33
eScan habe ich jetzt auch im Abgesicherten Modus laufen lassen, wie auch SpyBot. AltNet lässt sich einfach nicht von der Platte kratzen :heulen:

Hat denn niemand einen Tipp und wie sieht es mit meinem Log-File aus ?

Rene-gad 21.07.2005 18:40
@Martinez
Bitte antworte auf deine Fragen selbst nicht. Wenn du etwas nachtragen möchtest, editiere deinen vorigen Beitrag.
Zitat:
D:\Spybot 1.3\Spybot - Search & Destroy
Es gibt schon seit Langem Version 1.4.
Bitte finde heraus (mit AdAware oder SpybotS&D) wo genau den AltNet-Eintrag gefunden wurde.

Martinez 21.07.2005 23:42
Neuer Logfile: Bin ich clean ?
 
Ja, mit Version 1.4 war das kein Problem :crazy: Spybot konnte die Einträge ohne Probleme entfernen :)

Hier mein neuer File:

Logfile of HijackThis v1.99.1
Scan saved at 00:33:52, on 22.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
d:\fritz!dsl\IGDCTRL.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\CTHELPER.EXE
d:\Logitech\Maus\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\FRITZ!DSL\StCenter.exe
D:\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\wuauclt.exe
D:\DATEN\Meins\Downloads\Software\System\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\adobe\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Spybot 1.4\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Kaspersky Anti-Virus\kav.exe" /minimize
O4 - Startup: FRITZ!DSL Protect.lnk = D:\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: d:\fritz!dsl\sarah.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119988861781
O18 - Filter: text/x-mrml - {C51721BE-858B-4A66-A8BF-D2882FF49820} - d:\YAMAHA\MidRadio Player\midradio.ocx
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\fritz!dsl\IGDCTRL.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - d:\Kaspersky Anti-Virus\kavsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Es wäre nett, wenn mir jemand sagen könnte, ob es hier noch Probleme gibt :confused:

Cidre 22.07.2005 00:05
Hallo Martinez,

dein Log-File ist soweit in Ordnung.

Lediglich diese unnötigen Einträge könntest du noch fixen:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

Martinez 22.07.2005 00:27
Beides gefixt und futsch, danke :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131