Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein hijack log (https://www.trojaner-board.de/21324-hijack-log.html)

frank48465 29.08.2005 12:01

Mein hijack log
 
Hallo Leute,
ich habe Probleme. Mein Bildschirmhintergrund ist schwarz und mit Werbung für Anti-Spy- Software beschrieben. Ich bekomme pop-ups von Glücksspiel und Partnerschaftsseiten, hin- u. wieder blinkt in der Task-Leiste ein gelbes Dreieck mit Rufzeichen auf. Wenn ich das anklicke, kann ich Software kaufen. Der Eintrag meiner Startseite ist gelöscht und ich kann auch keine neue einrichten, der Eintrag wird irgendwie nicht gespeichert. Außerdem Norton Virensuche gibt "trojan.stwoyle" an. Die angegebene Datei kann allerdings nicht gelöscht werden.
Kann mir jemand helfen??
Im folgenden der Log von hijack-this.

Logfile of HijackThis v1.99.1
Scan saved at 11:48:17, on 29.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\NAV 2002\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msole32.exe
C:\WINNT\popuper.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\intmonp.exe
D:\NAV200~1\navapw32.exe
C:\WINNT\system32\intmon.exe
D:\0190WA~1\WARN0190.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\D-Link\Air USB Utility\AirCFG.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
D:\DICAD\strauti\numplus.exe
D:\Programme\Caplio RR30\RGateL.exe
D:\Programme\Avant Browser\avant.exe
D:\Office_XP_install\Office10\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\WINNT\explorer.exe
D:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hp4BC9.tmp
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - d:\NAV 2002\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] d:\NAV200~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [0190 Warner] D:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] d:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [] C:\WINNT\system32\myproxy.exe
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - Global Startup: NumPlus.lnk = D:\DICAD\strauti\numplus.exe
O4 - Global Startup: RICOH Gate L.lnk = D:\Programme\Caplio RR30\RGateL.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: pin - h**p://load.stardialer.de/itx23.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h**p://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFF3C167-09C7-4985-8E09-1254BABD782A}: NameServer = 192.168.0.1
O20 - Winlogon Notify: style2 - C:\WINNT\q139680890_disk.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - d:\NAV 2002\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

Platzregen 29.08.2005 12:26

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1

Das hast du nicht festgelegt denke ich mal oder :)

Ich bin kein Experte, aber scanne mal dein System zusätzlich mit dem Escan durch, die Anleitung müsste oben (mit den Pinnadeln) stehen.
Vielleicht findet er noch etwas was dein Norten übersehen hat.

Donni
----------------

Muss mich korrigieren...Anleitung findest du hier:
Escan

Chris14 29.08.2005 12:29

corrected text

Sabina 29.08.2005 15:14

Hallo@frank48465

einzelne "exe" ueberpruefen
http://www.virustotal.com/flash/index_en.html

C:\WINNT\system32\myproxy.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.bestwebslinks.com/
O2 - BHO: (no name) - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hp4BC9.tmp

O4 - HKLM\..\Run: [] C:\WINNT\system32\myproxy.exe (nicht fixen, falls es keine malware ist)
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe

PC neustarten

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\msole32.exe
C:\WINNT\popuper.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\intmonp.exe
C:\WINNT\system32\hp4BC9.tmp
C:\WINNT\system32\intmon.exe
C:\WINNT\system32\myproxy.exe
C:\WINNT\system32\msmsgs.exe

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://nikita.eddys-domain.de/IE.html

smitRem TOOL (Entfernungstool)--> poste mir den Report vom Scan
Download: http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

*reg-Datei
oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

dann erscheint eine smitfraud.reg auf dem Desktop

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

---------------------------------------------------------------------------------

Lade Ewido von dieser Seite -- poste mir das Log vom SCan
http://nikita.eddys-domain.de/Ewido.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

frank48465 30.08.2005 13:46

Hallo Sabina,
vielen Dank für die Tips.
Der Rechner läuft wieder richtig, soweit ich das bis jetzt beurteilen kann.
Ich bin total begeistert, eine solch umfangreiche Hilfe hätte ich gar nicht erwartet.
Ich habe myproxy.exe mal durchlaufen lassen, das Ergebnis aber leider nicht gespeichert. In 2-3 Einträgen stand aber das Wort "malware", so habe ich die entsprechende Zeile bei Hijackthis angehakt.

smitfiles.txt:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ShudderLTD key present! Running LTDFix!

ShudderLTD key was successfully removed! :)


Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll
ole32vbs.exe
hhk.dll
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

oleext.dll
ole32vbs.exe
hhk.dll
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~

sites.ini


~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! :)


Scan von EWIDO:
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:45:14, 30.08.2005
+ Report-Checksumme: F7711F81

+ Scanergebnis:

C:\Programme\Windows Media Player\wmplayer.exe -> TrojanProxy.Small.co : Gesäubert mit Backup
C:\WINNT\Esel-Film.de[esel-film-de,de,1].exe -> Dialer.Generic : Gesäubert mit Backup
C:\WINNT\freenet.de.exe -> Heuristic.Win32.Dialer : Gesäubert mit Backup
C:\WINNT\system32\myproxy.exe -> TrojanProxy.Small.co : Gesäubert mit Backup
C:\WINNT\system32\oleext.dll -> Trojan.Small.ev : Gesäubert mit Backup
D:\Programme\hijackthis\backups\backup-20050830-104806-283.dll -> Trojan.Puper.g : Gesäubert mit Backup
D:\Programme\hijackthis\backups\backup-20050830-121033-820.dll -> Trojan.Puper.g : Gesäubert mit Backup


::Report Ende



Grüße
Frank48465

Sabina 30.08.2005 22:41

Hallo@frank48465

arbeite das bitte ab (posten, alles mit Pfadangabe) ;)
http://nikita.eddys-domain.de/datfindbat.html

myproxy.exe war nicht nur anzuhaken, sondern auch zu loeschen, (ich habe es vergessen zu sagen...)....aber das hat nun ewido fuer dich erledigt ;)
C:\WINNT\system32\myproxy.exe -> TrojanProxy.Small.co : Gesäubert mit Backup

frank48465 31.08.2005 13:06

Hallo, hier das Ergebnis von datfind.bat

Gruß
Frank48465


Verzeichnis von C:\WINNT\system32

30.08.2005 23:15 705 trapi12.exe
30.08.2005 12:13 6.656 hhk.dll
29.08.2005 14:49 600 AUTOEXEC.NT
29.08.2005 01:03 1.536 TrueSoft.dat
28.08.2005 23:15 16.896 checkIn.dll
28.08.2005 23:15 593.408 wininet.dll
28.08.2005 23:14 1.561 ole32vbs.exe
07.08.2005 18:42 3.799 jupdate-1.5.0_04-b05.log



Verzeichnis von C:\

31.08.2005 13:32 0 systemtemp.txt
31.08.2005 13:29 105.879 system32.txt
31.08.2005 09:14 402.653.184 pagefile.sys
30.08.2005 13:29 879 smitfiles.txt
29.08.2005 13:47 2 AVPCallback.log
24.08.2005 20:49 780 mblog.txt
07.04.2005 22:28 13.030 PDOXUSRS.NET


Verzeichnis von C:\WINNT

31.08.2005 13:06 6.400 balloon.wav
31.08.2005 00:12 32.400 SchedLgU.Txt
31.08.2005 00:10 301.880 ShellIconCache
30.08.2005 23:19 4.517 rdt.ini
30.08.2005 14:04 41.640 ntbtlog.txt
30.08.2005 11:18 49 NeroDigital.ini
29.08.2005 14:49 250 system.ini
29.08.2005 01:03 1.843 ModemLog_HSP56 MR (SIS).txt
28.08.2005 23:33 2.359.350 ACD Wallpaper.bmp
28.08.2005 23:14 2.040 sites.ini
08.08.2005 19:00 392 Sew_view.ini
08.08.2005 18:34 228 Sew_glob.ini



Verzeichnis von C:\

31.08.2005 13:34 0 sys.txt
31.08.2005 13:33 7.201 system.txt
31.08.2005 13:32 1.407 systemtemp.txt
31.08.2005 13:29 105.879 system32.txt
31.08.2005 09:14 402.653.184 pagefile.sys
30.08.2005 13:29 879 smitfiles.txt
29.08.2005 13:47 2 AVPCallback.log
24.08.2005 20:49 780 mblog.txt
07.04.2005 22:28 13.030 PDOXUSRS.NET

Sabina 31.08.2005 14:33

•KillBox
http://bilder.informationsarchiv.net...ls/KillBox.zip
Anleitung: (bebildert)
http://nikita.eddys-domain.de/killbox.html

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

•Delete File on Reboot <--anhaken

C:\WINNT\system32\trapi12.exe
C:\WINNT\system32\hhk.dll
C:\WINNT\system32\checkIn.dll
C:\WINNT\system32\ole32vbs.exe
C:\WINNT\balloon.wav
C:\WINNT\rdt.ini
C:\WINNT\sites.ini

PC neustarten

FindT
http://bilder.informationsarchiv.net...ools/FindT.zip
in C:\ entpacken -- öffne "FindT" folder -- klicke (runthis.bat) -- poste die txt (Textdatei) in den Thread

scanne noch einmal mit:
smitRem log file und poste das Log

frank48465 01.09.2005 11:46

Hi, hier sind die logs. Sieht doch ganz gut aus, oder?

Gruß
Frank48465

Log von Findt:
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

Log von smitRem:

smitRem log file
version 2.3

by noahdfear


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Post-run Files Present


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Wininet.dll ~~~

CLEAN! :)

Sabina 01.09.2005 12:16

Hallo@frank48465

ueberpruefe bitte, ob du folgendes findest:

C:\WINDOWS\system32\LogFiles
wenn ja, loeschen ;)


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
poste das neue Log vom Hijackthis ;)

frank48465 01.09.2005 17:08

Hallo,
die Datei logfiles konnte ich nicht finden.
Ich habe aber zwei Trojaner gefunden:
C:\winnt\system32\hclean32.exe und
C:\winnt\system32\logo_big.exe
Ich konnte diese Datei zwar nicht löschen (Zugriff verweigert), im Explorer waren sie auch gar nicht zu sehen, habe sie aber mit Norton Antivirus isoliert.
Beim nochmaligen Durchlauf von Norton Antivirus wurden keine Fehler mehr angegeben.

Nochmals besten Dank für die Antworten
Frank 48465


Hier mein neues Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:05:48, on 01.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\ewido\security suite\ewidoctrl.exe
D:\Programme\ewido\security suite\ewidoguard.exe
d:\NAV 2002\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINNT\Explorer.EXE
D:\NAV200~1\navapw32.exe
D:\0190WA~1\WARN0190.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
D:\Programme\D-Link\Air USB Utility\AirCFG.exe
D:\DICAD\strauti\numplus.exe
D:\Programme\Caplio RR30\RGateL.exe
D:\Programme\Avant Browser\avant.exe
C:\WINNT\explorer.exe
D:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.focus.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - d:\NAV 2002\NavShExt.dll
O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] d:\NAV200~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [0190 Warner] D:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [D-Link Air USB Utility] d:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: NumPlus.lnk = D:\DICAD\strauti\numplus.exe
O4 - Global Startup: RICOH Gate L.lnk = D:\Programme\Caplio RR30\RGateL.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: pin - http://load.stardialer.de/itx23.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFF3C167-09C7-4985-8E09-1254BABD782A}: NameServer = 69.50.161.132,85.255.112.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE93865C-5722-4EC2-9564-DDF82FB902F3}: NameServer = 69.50.161.132,85.255.112.15
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - d:\NAV 2002\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: WZCBDL Service (WZCBDLService) - D-Link - C:\Programme\WZCBDL Service\WZCBDLS.exe

HerrKautz 01.09.2005 17:17

Hi,

lasse die von dir angesprochenen Dateien:

C:\winnt\system32\hclean32.exe

C:\winnt\system32\logo_big.exe

bei Jotti scannen:http://virusscan.jotti.org/de/

Poste dann das Ergebnis hier her!

Gruss

frank48465 01.09.2005 18:57

Da erscheint bei beiden Dateien folgende Nachricht:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ist das gut oder schlecht??

HerrKautz 01.09.2005 19:01

Zitat:

Zitat von frank48465
Da erscheint bei beiden Dateien folgende Nachricht:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

ist das gut oder schlecht??

Mach bitte einen escan genau nach Anleitung zu finden>http://www.trojaner-board.de/showthread.php?t=17492

Sabina 01.09.2005 19:31

Hallo@frank48465

Gehe in die Registry
Start -->Ausfuehren--> regedit

-HKEY_LOCAL_MACHINE\Software\CLASSES\HCLEAN32.EXE<--loeschen

Fixe mit dem HijackThis:
O16 - DPF: pin - http://load.stardialer.de/itx23.cab

neustarten

brauchst du nicht zu scannen, ist Malware.
HCLEAN32.EXE,TROJAN downloader/installer! :snyper:
http://nikita.eddys-domain.de/Artike.../hclean32.html
C:\winnt\system32\hclean32.exe
C:\winnt\system32\logo_big.exe

ich hatte dir doch schon die Killbox geschickt, warum loeschst du die 2 exe nicht mit der Killbox ????

Onlinescan (Kaspersky und panda) + berichte bitte
http://nikita.eddys-domain.de/onlinescan.html

silentrunners
http://nikita.eddys-domain.de/silentrunner.html
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132