Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log, Fragen und bitte um Hilfe (https://www.trojaner-board.de/21047-log-fragen-bitte-um-hilfe.html)

Nardoa 21.08.2005 17:06
Log, Fragen und bitte um Hilfe
 
Hallo,

seltsame Dinge gehen auf meinem Rechner vor und ich brauche eure Hilfe.

Aufgefallen ist mir das alles als ich die Windows Firewall öffnen wollte und eine Fehlermeldung erhielt "Augrund eines unbekannten Problems können die Einstellungen der Windows Firewall nicht angezeigt werden". Jetzt ist mir auch erst aufgefallen das das Zeichen unten in der Leiste weg ist.

Aber hier mein Logfile:

Interessant sind die Einträge im oberen Bereich, ich bin mir sicher das ich beim Erscheinen des SP 2 diesen auch geladen habe, darüberhinaus benutze ich nicht den IE sondern Firefox, das ist mir alles sehr schleierhaft aber vieleicht könnt ihr mir helfen.

Logfile of HijackThis v1.99.1
Scan saved at 17:27:07, on 21.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2149)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2005\AVKService.exe
C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SM1BG.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Owner\Desktop\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\Programme\XP-TunerPRO\PopUp-Killer\PopUp-Killer.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKCU\..\Run: [AVKBar] "C:\Programme\AntiVirenKit 2005\AVKBar.exe"
O8 - Extra context menu item: Fotoabzug online bestellen ! - http://fotoup.fotoserver.info/ie2wk.php?hid=gpicture
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - https://cs8b.instantservice.com/jars/customerxsigned41.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4365/mcfscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11EF6398-5340-4545-8D63-1269C24C6AE1}: NameServer = 192.168.4.220
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe

Danke Nardoa
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

felix1 21.08.2005 17:12
Dein System ist veraltet. SP2 installieren und alle Updates und Patches einspielen.

Lasse die Datei
C:\WINDOWS\SM1BG.EXE
hier http://virusscan.jotti.org/de/
prüfen und teile uns das Ergebnis mit.

Nardoa 21.08.2005 17:42
Hallo und danke für die schnelle Antwort, aber wie oben schon geschrieben habe ich SP2 bei Erscheinen installiert und zwischendurch auch mehrmals neue Patchs geladen, zugegeben nicht kontinuierlich und in den letzten zwei bis drei Monaten garnicht mehr aber wieso wird dann SP1 angezeigt bzw. IE als Standartbrowser aufgeführt, ist mein System manipuliert und was geschieht wenn ich jetzt SP2 nochmal installiere?

Danke und Gruß

Nardoa

DEPI 21.08.2005 17:46
zum IE: der wird einfach so angeziegt, des hat nix mit dem Standart-Browser zutun. Meines WIssens baut Windoofs auf dem IE auf, deshalb kann man den auch nciht mal so schnell deinstallieren.

Nardoa 22.08.2005 12:01
Ist es möglich das der IE, trotz das der Firefox als Standartbrowser eingetragen, ist nach draußen eine Verbindung einrichten kann bzw. dieser von diversen Schädlingen benutzt werden kann? Kann man den IE nicht generell entfernen?

Aber wie kann es sein das ich SP2 installiert hatte aber jetzt nur noch SP1 dasteht, Mnipulation?, und wäre es nicht sehr hilfreich erst die Übeltäter zu finden, z.B. im Logfile, diese zu entfernen und anschließend SP2 und die aktuellen Patchs zu installieren.

ach ja Fragen über Fragen, aber hier bin ich leider der Laie.

Danke und Gruß Henry

felix1 22.08.2005 12:16
Ehe wir hier noch lange über ein nichtvorhandenes SP2 diskutieren, mache einen escan, genau nach Anleitung:
http://www.trojaner-board.de/showthread.php?t=17492
Halte Dich genau an die Anleitung und poste das mit der Datei find.bat erzeugte Log.

Nardoa 22.08.2005 21:05
Sorry, ich wollte ja nicht rumdiskutieren aber wenn Fragen bestehen sollten diese doch gestellt werden, oder ist das hier anders? Aber kein Problem, eScan benutzt bzw. basiert doch auf der Kaspersky Scan Engine, genauso wie mein AVK 2005 prof oder gibt es da einen Unterschied, muß ich beim Einsatz von eScan den AVK abschalten?

Danke und Gruß

chaosman 22.08.2005 21:14
@Nardoa
muß ich beim Einsatz von eScan den AVK abschalten?Nein
scanne bitte mit escan http://www.trojaner-board.de/showthread.php?t=17492


den IE zu entfernen bedeutet das du windows nicht mehr updaten kann, dein system dürfte danach recht instabil werden. Am Besten nur mit IE updaten und zum surfen einen anderen browser nehmen.

chaosman

Nardoa 23.08.2005 21:11
So nun hab ich das auch geschaft und hier das Ergebnis aus Find.bat, in der Virus Log Information von eScan waren 176 Einträge, ist es normal das jetzt nur so wenig dasteht?

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 19:01:58 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Aug 23 19:02:00 2005 => System found infected with istbar Spyware/Adware ({d128e6c8-6ae7-4ecd-939e-e2e6ca7d035d})! Action taken: No Action Taken.
Tue Aug 23 19:02:00 2005 => System found infected with istbar Spyware/Adware ({308a04d3-084d-43aa-a3e6-0d12bcca3ce6})! Action taken: No Action Taken.
Tue Aug 23 19:02:45 2005 => System found infected with PurityScan Spyware/Adware (usbmonit.exe)! Action taken: No Action Taken.
Tue Aug 23 20:23:59 2005 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*
Tue Aug 23 20:53:34 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Tue Aug 23 19:02:45 2005 => Offending file found: C:\WINDOWS\System32\usbmonit.exe
Tue Aug 23 20:53:34 2005 => Total Virus(es) Found: 5
Tue Aug 23 20:53:34 2005 => Total Errors: 176
Tue Aug 23 20:53:34 2005 => Time Elapsed: 01:51:48
Tue Aug 23 20:53:34 2005 => Total Objects Scanned: 99671
Tue Aug 23 18:59:04 2005 => Virus Database Date: 2005/08/23
Tue Aug 23 20:53:34 2005 => Virus Database Date: 2005/08/23
Tue Aug 23 21:29:48 2005 => Virus Database Date: 2005/08/23
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Also schaut mal bitte wie es jetzt weiter geht.

Danke und Gruß

Nardoa

Nardoa 25.08.2005 19:08
Hallo,

nun hab ich ja gemacht was ihr gesagt habt, aber ohne eure Hilfe komme ich jetzt nicht weiter.

Danke und Gruß

Henry

chaosman 25.08.2005 19:18
@Nardoa
Total Virus(es) Found: 5die 5 reichen dir nicht? :confused:
lade regseeker
lese dich im programm ein.
deinstalliere unter Systemsteuerung -> Software Istbar oder ähnliches.

Leere diesen Ordner: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*

Lade spybot http://www.safer-networking.org/de/a...-managers.html

update es und wechsle in den abgesicherten modus
lasse spybot scannen. Lösche was es vorschlägt.
Lasse regseeker laufen, achte darauf das das Häkchen bei sichern vor löschen aktiviert ist.
neu booten.
poste danach bitte ein neues HJT logfile

chaosman

Nardoa 25.08.2005 22:48
nene, also die 5 reichen mir völlig aus und ich seh jetzt zu das ich deinen Anweisungen folge und die Sache vom Tisch bekomme.

Gruß Nardoa

Nardoa 25.08.2005 23:00
also rekseeker habe ich geladen und lese mich rein.

deinstalliere unter Systemsteuerung -> Software Istbar oder ähnliches.

Istbar o.ä. war nicht zu finden, sollte das da sein?

Gruß

Chris14 26.08.2005 07:47
hmm dann ist der eintrag schon entfernt..
naja egal dann einfach mit spybot weitermachen


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129