Trojaner-Board - bitte mal schauen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - bitte mal schauen (https://www.trojaner-board.de/21060-bitte-mal-schauen.html)

bitte mal schauen

Logfile of HijackThis v1.99.1

Scan saved at 21:35:11, on 21.08.2005
hey schaut euch das mal an hab nen trojaner drauf

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ALLENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
R3 - URLSearchHook: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: ToolHelper - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O9 - Extra 'Tools' menuitem: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

ich hoffe mir kann da einer von euch helfen mit irgend welchen Entfernerprogammen

Also ich sehe keinen aktiven Trojaner. bitte poste von welchem programm er gefunden wurde und in welchem pfad er sich befindet.

Hallo,
und schau mal ob du einen Eintrag unter Start>>Einstellungen>>Systemsteurung>>Software findest der Ashampoo oder olado, dieses Programm ist Spyware/Adware falls du es trotzdem nutzen willst drauf lassen, falls nicht deinstallieren.

Grüße Wildone

das ist jetzt vom trojanhunter

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream)
Warning: Executable file with double extensions found: C:\Programme\Mozilla Firefox\Firefox_Setup_1.0.3de.exe
Warning: Unable to unpack UPX-packed file C:\Programme\TrojanHunter 4.2\InstTimeUpdater.exe (Add to ignore list)
Warning: Unable to unpack UPX-packed file C:\WINDOWS\$NtServicePackUninstall$\usbuhci.sys (Add to ignore list)
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_f4f618ec\System.Xml.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.chs.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.cht.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.ger.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.kor.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.xml.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.chs.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.cht.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.ger.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.kor.dll
Found possible trojan file: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\file.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream)
Error: Directory not found: D:\
2 possible trojan files found

Zitat:

Zitat von Wildone

super danke olado hab ich entfernt :huepp:

Zunächst einmal solltest du deinen FireFox auf die neuste Version updaten.
Mittlerweile ist diese Version aktuell.
Lösche mit Clean-Up den ganzen Müll, der sich in den temporären Dateien angesammelt hat.
Scanne dein System abschließend mit Escan und teile uns die Ergebnisse mit.

Hallo,
lass mal bitte diese Datei (wenn aktiv, über den Taskmanager den Prozess beenden):
C:\WINDOWS\system32\file.exe
hier überprüfen und poste dann das Ergebnis.

Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
lass mal bitte diese Datei (wenn aktiv, über den Taskmanager den Prozess beenden):
C:\WINDOWS\system32\file.exe
hier überprüfen und poste dann das Ergebnis.

Grüße Wildone

so ergebnis lautet
Zu überprüfende Datei: file.exe
file.exe Infiziert: Trojan-Proxy.Win32.Agent.cu

Statistiken:
Bekannte Viren: 144932 Updated: 21-08-2005
Größe der Datei (Kb): 27 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

so mache jetzt mal den escan bis gleich

so habe escan nun durchlaufen lassen, kapiere aber absolut nicht
wie ich das in diesen find.bat ordner entpacken muss. wenn ich infected eingebe
dann zeigt er mir nur eine zeile da sind aber mehrere die infiziert sein müssten?????????????!!!!!!!!!
hilfe!!!!!!!!!!!!

Zitat:

Zitat von schwedin

so habe escan nun durchlaufen lassen, kapiere aber absolut nicht
wie ich das in diesen find.bat ordner entpacken muss.

du musst überhaupt nichts in den Ordner entpacken. Wenn du eScann richtig ausgeführt hast (im Verzeichnis C:\Bases_X) Dann lädst du dir die find.rar (siehe Anleitung) und entpackst sie z. B. auf dein Desktop. Dann befindet sich dort die Datei find.bat
Doppelklick drauf und schon hast du eine neue Datei auf C:\
mit Namen eScan_neu.txt, den Inhalt posten :daumenhoc

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:34:09 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 00:48:06 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 22 01:23:07 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:51:25 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:54:26 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:57:27 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 00:36:02 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:26:16 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:54:25 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:54:29 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:34:13 2005 => Offending Folder found: C:\PROGRA~1\powerstrip
Mon Aug 22 01:57:27 2005 => Total Virus(es) Found: 15
Mon Aug 22 01:57:27 2005 => Total Errors: 368
Mon Aug 22 01:57:27 2005 => Time Elapsed: 01:23:58
Mon Aug 22 01:57:27 2005 => Total Objects Scanned: 66229
Mon Aug 22 00:32:27 2005 => Virus Database Date: 2005/08/22
Mon Aug 22 01:57:27 2005 => Virus Database Date: 2005/08/22
Mon Aug 22 01:59:00 2005 => Virus Database Date: 2005/08/22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

nun lösche doch bitte die von escan als infected und tagged markierten dateien im abgesicherten modus.

falls sie nicht angezeigt werden:
-extras,ordneroptionen,ansicht
"geschützte systemdateien ausblenden" haken weg
"inhalte von systemordnern anzeigen" haken hin
"alle dateien und ordner anzeigen" selektieren
OK

und poste auch danach mal ein HJT-Logfile

wo sollen die denn markiert sein. bitte ganz genau erklären
bin nich wirklich profi

äh ja, die sind nicht "markiert"
es is eigentlich ne art "redewendung", denn er hat sie ja als einen in einen log geschrieben. und damit sind für mich dateien als solche "markiert"
zugegeben das passt nicht ins deutsche aber das passt ja vieles nicht^^
also einfach nur die dateien die unter infected und tagged stehen löschen ;)