Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte mal schauen (https://www.trojaner-board.de/21060-bitte-mal-schauen.html)

schwedin 21.08.2005 21:49
bitte mal schauen
 
Logfile of HijackThis v1.99.1

Scan saved at 21:35:11, on 21.08.2005
hey schaut euch das mal an hab nen trojaner drauf

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ALLENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
R3 - URLSearchHook: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: ToolHelper - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file)
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O9 - Extra 'Tools' menuitem: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

schwedin 21.08.2005 21:51
ich hoffe mir kann da einer von euch helfen mit irgend welchen Entfernerprogammen

Chris14 21.08.2005 21:58
Also ich sehe keinen aktiven Trojaner. bitte poste von welchem programm er gefunden wurde und in welchem pfad er sich befindet.

Wildone 21.08.2005 22:04
Hallo,
und schau mal ob du einen Eintrag unter Start>>Einstellungen>>Systemsteurung>>Software findest der Ashampoo oder olado, dieses Programm ist Spyware/Adware falls du es trotzdem nutzen willst drauf lassen, falls nicht deinstallieren.


Grüße Wildone

schwedin 21.08.2005 22:22
das ist jetzt vom trojanhunter

Registry scan
No suspicious entries found
Inifile scan
No suspicious entries found
Port scan
No suspicious open ports found
Memory scan
No trojans found in memory
File scan (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream)
Warning: Executable file with double extensions found: C:\Programme\Mozilla Firefox\Firefox_Setup_1.0.3de.exe
Warning: Unable to unpack UPX-packed file C:\Programme\TrojanHunter 4.2\InstTimeUpdater.exe (Add to ignore list)
Warning: Unable to unpack UPX-packed file C:\WINDOWS\$NtServicePackUninstall$\usbuhci.sys (Add to ignore list)
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll
Warning: Executable file with double extensions found: C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_f4f618ec\System.Xml.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.chs.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.cht.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.ger.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.kor.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.web.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.xml.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.chs.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.cht.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.ger.dll
Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.kor.dll
Found possible trojan file: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list)
Found possible trojan file: C:\WINDOWS\system32\file.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream)
Error: Directory not found: D:\
2 possible trojan files found

schwedin 21.08.2005 22:27
Zitat:
Zitat von Wildone
Hallo,
und schau mal ob du einen Eintrag unter Start>>Einstellungen>>Systemsteurung>>Software findest der Ashampoo oder olado, dieses Programm ist Spyware/Adware falls du es trotzdem nutzen willst drauf lassen, falls nicht deinstallieren.


Grüße Wildone
super danke olado hab ich entfernt :huepp:

cronos 21.08.2005 22:28
Zunächst einmal solltest du deinen FireFox auf die neuste Version updaten.
Mittlerweile ist diese Version aktuell.
Lösche mit Clean-Up den ganzen Müll, der sich in den temporären Dateien angesammelt hat.
Scanne dein System abschließend mit Escan und teile uns die Ergebnisse mit.

Wildone 21.08.2005 22:30
Hallo,
lass mal bitte diese Datei (wenn aktiv, über den Taskmanager den Prozess beenden):
C:\WINDOWS\system32\file.exe
hier überprüfen und poste dann das Ergebnis.


Grüße Wildone

schwedin 21.08.2005 22:49
Zitat:
Zitat von Wildone
Hallo,
lass mal bitte diese Datei (wenn aktiv, über den Taskmanager den Prozess beenden):
C:\WINDOWS\system32\file.exe
hier überprüfen und poste dann das Ergebnis.


Grüße Wildone

so ergebnis lautet
Zu überprüfende Datei: file.exe
file.exe Infiziert: Trojan-Proxy.Win32.Agent.cu

Statistiken:
Bekannte Viren: 144932 Updated: 21-08-2005
Größe der Datei (Kb): 27 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

so mache jetzt mal den escan bis gleich

schwedin 22.08.2005 18:40
so habe escan nun durchlaufen lassen, kapiere aber absolut nicht
wie ich das in diesen find.bat ordner entpacken muss. wenn ich infected eingebe
dann zeigt er mir nur eine zeile da sind aber mehrere die infiziert sein müssten?????????????!!!!!!!!!
hilfe!!!!!!!!!!!!

Gigamail 22.08.2005 20:35
Zitat:
Zitat von schwedin
so habe escan nun durchlaufen lassen, kapiere aber absolut nicht
wie ich das in diesen find.bat ordner entpacken muss.
du musst überhaupt nichts in den Ordner entpacken. Wenn du eScann richtig ausgeführt hast (im Verzeichnis C:\Bases_X) Dann lädst du dir die find.rar (siehe Anleitung) und entpackst sie z. B. auf dein Desktop. Dann befindet sich dort die Datei find.bat
Doppelklick drauf und schon hast du eine neue Datei auf C:\
mit Namen eScan_neu.txt, den Inhalt posten :daumenhoc

schwedin 22.08.2005 20:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:34:09 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 00:48:06 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon Aug 22 01:23:07 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:51:25 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:54:26 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken.
Mon Aug 22 01:57:27 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 00:36:02 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:26:16 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:54:25 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
Mon Aug 22 01:54:29 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Mon Aug 22 00:34:13 2005 => Offending Folder found: C:\PROGRA~1\powerstrip
Mon Aug 22 01:57:27 2005 => Total Virus(es) Found: 15
Mon Aug 22 01:57:27 2005 => Total Errors: 368
Mon Aug 22 01:57:27 2005 => Time Elapsed: 01:23:58
Mon Aug 22 01:57:27 2005 => Total Objects Scanned: 66229
Mon Aug 22 00:32:27 2005 => Virus Database Date: 2005/08/22
Mon Aug 22 01:57:27 2005 => Virus Database Date: 2005/08/22
Mon Aug 22 01:59:00 2005 => Virus Database Date: 2005/08/22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Chris14 22.08.2005 20:59
nun lösche doch bitte die von escan als infected und tagged markierten dateien im abgesicherten modus.

falls sie nicht angezeigt werden:
-extras,ordneroptionen,ansicht
"geschützte systemdateien ausblenden" haken weg
"inhalte von systemordnern anzeigen" haken hin
"alle dateien und ordner anzeigen" selektieren
OK

und poste auch danach mal ein HJT-Logfile

schwedin 22.08.2005 21:05
wo sollen die denn markiert sein. bitte ganz genau erklären
bin nich wirklich profi

Chris14 22.08.2005 21:08
äh ja, die sind nicht "markiert"
es is eigentlich ne art "redewendung", denn er hat sie ja als einen in einen log geschrieben. und damit sind für mich dateien als solche "markiert"
zugegeben das passt nicht ins deutsche aber das passt ja vieles nicht^^
also einfach nur die dateien die unter infected und tagged stehen löschen ;)

Gigamail 22.08.2005 21:16
Lade Dir Spybot-S&D und Ad-Aware und update beide Programme.Boote in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und scanne nacheinander mit Spybot und Ad-aware und lösche was gefunden wurden.
Ansosten hat Chris14 schon seinen Teil erwähnt.:daumenhoc
Boote danach neu und poste ein aktuelles HJT

schwedin 22.08.2005 22:08
so hier nun die logfile von hijack
Logfile of HijackThis v1.99.1
Scan saved at 23:05:55, on 22.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\ALLENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://security.kolla.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://security.kolla.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gigamail 22.08.2005 22:34
@ Schwedin

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.

Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe



C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
lasse mal die Datei hier scannen und teile das Ergebnis mit,

Diese Einträge solltest du noch fixen :

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispirat en2ie.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

das sollte noch gelöscht werden
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

diesen Eintrag kenne ich nicht, wenn er dir auch nicht bekannt ist solltest du in auch fixen und die Datei/Ordner löschen

O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.2\THGuard.exe"

sonst sehe ich keine Auffälligkeiten mehr. Hoffe dein Problem ist damit gelöst :daumenhoc

schwedin 25.08.2005 20:33
hallo
habe alles gemacht wie gesagt.
wenn ich jedoch den spybot scannen lasse zeigt er mir das Problem
"log" an in dem verzeichnis finde ich dann eine datei mit dem
namen uinst001 die ich nicht löschen kann sowie
schedlgutxt und unvise32qt
was ist das????? ist der pc total verseucht???????????

chaosman 25.08.2005 21:01
@schwedin

C:\WINDOWS\unvise32qt.exe <- uninstaller von quicktime
C:\WINDOWS\System32\QuickTime\Uninstall.log <- file und registry einträge, die beim installieren erstellt worden sind und beim deinstallieren gelöscht werden müssen.
beide dateien müssen für einen deinstallation vorhanden sein.
der deinstallationsstring lautet:
C:\WINDOWS\unvise32qt.exe C:\WINDOWS\System32\QuickTime\Uninstall.log

btw: dein ? bleibt hängen ;)

chaosman

Gigamail 25.08.2005 21:04
Zitat:
Zitat von Schwedin
was ist das????? ist der pc total verseucht???????????
was das ist kann ich dir so auch nicht sagen, wenn du die Dateien nicht löschen kannst sind sie vielleicht schreibgeschützt, oder werden von einem anderen Programm verwendet. Versuch es im abgesicherten Modus. Was meldet eigentlich Spybot oder Ad-aware zu diesen Dateien?
Dein PC ist IMHO nach dem letzten Log nicht mehr sehr stark belastet

BTW: was ist eigentlich mit dem Ergebnis?
Zitat:
Zitat von Gigamail
C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
lasse mal die Datei hier scannen und teile das Ergebnis mit,

schwedin 25.08.2005 21:11
die datei die ich geprüft habe war ok.
spyware sagt das ich keine spione habe. zeigt mir jedoch probleme
an. ich setze die ergebnisse mal hier rein bis gleich

schwedin 25.08.2005 21:54
soooooo
 
das sagt ad aware

MRU LIST
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name
obj[1]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\search assistant\acmru\5603
obj[3]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\*
obj[5]=MRU RegReference : .DEFAULT\software\microsoft\windows media\wmsdk\general computername
obj[6]=MRU RegReference : S-1-5-18\software\microsoft\windows media\wmsdk\general computername
obj[7]=MRU RegReference : S-1-5-21-790525478-842925246-1343024091-1003\software\microsoft\windows media\wmsdk\general computername

das sagt spybot
Log: Activity: SchedLgU.Txt (Datei sichern, fixing failed)
C:\WINDOWS\SchedLgU.Txt

Log: Shutdown: System32\wbem\logs\wbemess.log (Datei sichern, fixed)
C:\WINDOWS\System32\wbem\logs\wbemess.log

MS Media Player: Anonymous ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\MediaPlayer\Preferences\SendUserGUID!=B=0

MS Search Assistant: Typed search terms history (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Search Assistant\ACMru

Windows Explorer: User Assistant history IE (4 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count

Windows Explorer: User Assistant history files (10 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count

Windows Explorer: Last visited history (2 Dateien) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU

Windows Explorer: Recent file global history (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-790525478-842925246-1343024091-1003\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Windows Media SDK: Computer name (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows Media\WMSDK\General\ComputerName!=ComputerName

Gratulation!: Es wurden keine Spione gefunden. ()



--- Spybot - Search & Destroy version: 1.4 (build: 20050523) ---

2005-05-31 blindman.exe (1.0.0.1)
2005-05-31 SpybotSD.exe (1.4.0.3)
2005-05-31 TeaTimer.exe (1.4.0.2)
2005-07-19 unins000.exe (51.41.0.0)
2005-05-31 Update.exe (1.4.0.0)
2005-05-31 advcheck.dll (1.0.2.0)
2005-05-31 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2005-05-31 SDHelper.dll (1.4.0.0)
2005-05-31 Tools.dll (2.0.0.2)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2005-04-26 Includes\Cookies.sbi (*)
2005-08-19 Includes\Dialer.sbi (*)
2005-08-19 Includes\Hijackers.sbi (*)
2005-08-16 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2005-08-19 Includes\Malware.sbi (*)
2005-08-12 Includes\PUPS.sbi (*)
2005-04-27 Includes\Revision.sbi (*)
2005-08-19 Includes\Security.sbi (*)
2005-08-16 Includes\Spybots.sbi (*)
2005-02-17 Includes\Tracks.uti (*)
2005-08-19 Includes\Trojans.sbi (*)

schwedin 26.08.2005 22:36
hallo
 
antwortet doch mal bitte

Wildone 27.08.2005 10:55
Hallo,
also im großen und ganzen kann ich eigentlich nichts mehr wirklich schädliches auf deinem System erkennen, falls du das noch nicht gemacht hast, solltest du in den abgesicherten Modus gehen und die von Escan angezeigten Dateien löschen(vorher im Explorer unter Techtsklick auf Arbeitsplatz>>Eigenschaften die Systemwiederherstellung abschalten(danach wieder einschalten!) :
File C:\WINDOWS\system32\file.exe
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll
C:\WINDOWS\system32\fadcbav.dll
C:\WINDOWS\system32\gtwgihz.dll

Ansonsten könntest du mal noch dein System aufräumen z.B. mit cleanup! und die Registry entrümpeln(Benutzung auf eigene Gefahr) z.B. mit Regseeker.
Die Einträge, die Spybot und Adaware anzeigen sind aber imo harmlos.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131