Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Spyware und Trojaner am System (https://www.trojaner-board.de/21908-spyware-trojaner-system.html)

PhilippH 17.09.2005 15:36
Spyware und Trojaner am System
 
Hallo!

+ Habe massive Probleme beim Internetsurfen mit dem Internet Explorer. Kann manche Seiten garnicht oeffnen, u.a. die microsoft update Seite.

+ beim Explorer habe ich oben so eine komische Leiste mit Links und Suchoption die ich nicht wegbekomme.

+ Dauernd wird versucht Eintraege in der Registrierungsdatenbank zu aendern.

+ Wenn ich auf die y taste druecke kommt ein z raus und vice versa. Auch ander Symbole sind vertauscht so wie auf einer britischen Tastatur.

+ Habe AdAware, Antivir und Spybot im abgesicherten modus laufen lassen, es wurde nichts gefunden.

+ jetzt habe ich eScan im abgesicherten Modus und mit deaktivierter systemwiederherstellung laufen lassen, und hier ist die Virus Log Information:

Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\msxml3a.dll". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HPQ\Safety and Comfort Guide\PchCabInstall.vbs". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HPQ\Safety and Comfort Guide\ahpregw.cab". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Easy-WebPrint" refers to invalid object "C:\Programme\Canon\Easy-WebPrint\Easy-WebPrint". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ORUN32.EXE" refers to invalid object "C:\WINDOWS\ORUN32.EXE". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\WINDOWS\yourapp.Exe". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporary File Cache\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Hewlett-Packard\Memories Disc\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB822603". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824146". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q331958". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810400". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813347". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q815485". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q816500". Action Taken: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q817357". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{00020906-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{00020907-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{000209FE-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{000209FF-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0006F033-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0006F03A-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{06290BD5-48AA-11D2-8432-006008C3FBFC}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{78D80080-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{78D80081-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{78D80082-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{78D80083-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll". Action Taken: No Action Taken.
Entry "HKCR\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken.
Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken.
Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken.
Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken.
Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken.
Entry "HKCR\msbackupfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\ntbackup.exe". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken.
Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken.
Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken.
File C:\WINDOWS\Austria.exe infected by "Trojan.Win32.Dialer.jr" Virus! Action Taken: No Action Taken.
File C:\WINDOWS\Austria.exe infected by "Trojan.Win32.Dialer.jr" Virus! Action Taken: No Action Taken.

Ich weiss nicht was ich weiter machen soll!
Koennt ihr mir vielleicht erklaeren wie ich die Sachen jetzt am besten wegbekomme

Vielen Dank im voraus!

P.H.

chaosman 17.09.2005 20:18
@PhilippH
Ups, langes logfile

falls du nicht mit reinem DSL unterwegs bist, dann diese datei
C:\WINDOWS\Austria.exe infected speichern auf Diskette oder CD oder Stick zwecks Beweismittel gegen hohe Telefonrechnungen.
Danach in den abgesicherten modus löschen.

Object "RedV Spyware/Adware" found in File System!
lade spybot
programm updaten und scannen lassen, lösche was vorgeschlagen wird.

lade Regseeker
und clearprog
bei clearprog alle häkchen setzen bei windows und IE, löschen.

Mit regseeker diese "refers to invalid object"einträge loswerden.

chaosman

PhilippH 18.09.2005 18:03
Hallo Chaosman,

erstmals vielen Dank für Deine Tipps!

- den Trojaner habe ich bereits manuell löschen können
- spybot findet leider nichts
- jetzt werde ich dann noch regseeker und clearprog probieren, ich hoffe es bringt was.
- ist es nicht vielleicht doch besser windows neuaufzusetzen bei so vielen verseuchten dateien? naja, die 2 programme probiere ich sicher noch!

..bis bald
P.H.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:37 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28