Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Pc wird immer komischer (https://www.trojaner-board.de/22646-pc-immer-komischer.html)

Sethx1 11.10.2005 04:29
Pc wird immer komischer
 
Hi leute ich hab keime Ahnung ob ich was drauf habe aber mein pc spinnt nur er will beim windoof starten immer die festplatte scannen und ich sag mal mein 500 arbeitspeicher läuft wie ein unter 256 ^^ :kloppen:
Ich weiss net ob es richtig ist wie ich es geamcht habe aber hier der LOg thx for Help :bussi:


Logfile of HijackThis v1.99.1
Scan saved at 05:24:18, on 11.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Program Files\mIRC\mirc.exe
C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE
C:\DOKUME~1\SETH~1.YOU\LOKALE~1\Temp\Rar$EX00.742\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ***google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page ***radio-outside.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {0830B16B-890C-4BE9-8B8F-14A7A9957C1F} - C:\DOKUME~1\SETH~1.YOU\ANWEND~1\64Warn\lieseggs.exe
O2 - BHO: (no name) - {53F344CD-14D2-4FB1-DDB6-0F416D40E4D3} - C:\DOKUME~1\SETH~1.YOU\ANWEND~1\64Warn\lieseggs.exe
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll
O2 - BHO: (no name) - {A7C8D3D7-1CD2-A37C-EBF9-6ACE426C233D} - C:\DOKUME~1\SETH~1.YOU\ANWEND~1\64Warn\lieseggs.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cool Shim First Exit] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\soft license cool shim\RuleLink.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [frag body city each] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\else bat frag body\Trans obj.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] i:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [warn body meet admin] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\StoreSpamWarnBody\IDOL GREY.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [License Ante] C:\DOKUME~1\SETH~1.YOU\ANWEND~1\UPLOAD~1\bone city data.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {8CA93D42-D7CF-442C-B172-124093659714} - C:\Programme\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ****messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

stupormundi 11.10.2005 07:02
Servus, sethx1!

Zitat:
er will beim windoof starten immer die festplatte scannen
Wer ist er?
Diese Einträge bwz. Dateien
Zitat:
O4 - HKLM\..\Run: [Cool Shim First Exit] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\soft license cool shim\RuleLink.exe
...
O4 - HKLM\..\Run: [frag body city each] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\else bat frag body\Trans obj.exe
...
O4 - HKLM\..\Run: [warn body meet admin] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\StoreSpamWarnBody\ID OL GREY.exe
...
O4 - HKCU\..\Run: [License Ante] C:\DOKUME~1\SETH~1.YOU\ANWEND~1\UPLOAD~1\bone city data.exe
kann ich überhaupt nicht einordnen!
Kennst Du diese Dateien?
Lass´mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen. Halte Dich genau an die Anleitung (vorher ganz lesen!) und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist ebenfalls beschrieben) hier im board.
Bis dann, stupormundi

Sethx1 11.10.2005 11:23
wHi er ist mein Pc aber irgend wie kann ich den Escan net reinsätzen weil er zu lang ist was ist wichtig ?! damit ich das kürzen kann


????bitte um schnelle antwort weil ich nicht weiss wie lang mein pc überhaupt noch hochfährt :heulen: :lach:

Wildone 11.10.2005 11:49
Hallo,
suche in dem Log (bearbeiten>>suchen) nach den Wörtern "infected" "tagged" und "offending" und poste die jeweiligen Einträge. Aber dein Problem könnte auch durchaus ein Hardwareproblem sein, also wenn du wichtige Daten auf deiner Festplatte hast, wäre jetzt die Zeit diese zu sichern.


Grüße Wildone

Sethx1 12.10.2005 01:12
Ne hab jezt auch schon Antivir meldungen von einem Wurm den ich gelöscht habe jezt und einen Trojaner ok 2 verschiedene also hardware kann es deswegen glaub ich net sein aber erst mal den bearbeiteten escan


Tue Oct 11 11:46:00 2005 => System found infected with webdir parasite variant Spyware/Adware ({58f07dd3-924d-4141-bc74-299f523a95f1})! Action taken: No Action Taken.
Tue Oct 11 11:46:00 2005 => System found infected with webdir parasite variant Spyware/Adware ({58f07dd3-924d-4141-bc74-299f523a95f1})! Action taken: No Action Taken.

Tue Oct 11 11:56:53 2005 => Total Disinfected Files: 0


Tue Oct 11 11:45:30 2005 => File C:\WINDOWS\pxwma.dll tagged as "not-a-virus:AdWare.Win32.Webdir.b". Action Taken: No Action Taken.


Und jezt das Fin ding ^^


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 11:46:00 2005 => System found infected with webdir parasite variant Spyware/Adware ({58f07dd3-924d-4141-bc74-299f523a95f1})! Action taken: No Action Taken.
Tue Oct 11 11:46:00 2005 => System found infected with webdir parasite variant Spyware/Adware ({58f07dd3-924d-4141-bc74-299f523a95f1})! Action taken: No Action Taken.
Tue Oct 11 11:56:53 2005 => Total Disinfected Files: 0

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 11:45:30 2005 => File C:\WINDOWS\pxwma.dll tagged as "not-a-virus:AdWare.Win32.Webdir.b". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Oct 11 11:56:53 2005 => Total Virus(es) Found: 3
Tue Oct 11 11:56:53 2005 => Total Errors: 295
Tue Oct 11 11:56:53 2005 => Time Elapsed: 00:11:08
Tue Oct 11 11:56:53 2005 => Total Objects Scanned: 20086
Tue Oct 11 11:44:41 2005 => Virus Database Date: 2005/10/11
Tue Oct 11 11:56:51 2005 => Virus Database Date: 2005/10/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


ich danke jezt schon mal um schnelle hielfe

und hoffe das es so richtig sei

Sethx1 14.10.2005 00:45
kann mir den nun keiner mehr helfen ? och mann ey heeeeelllllllp
es gibt auch frei bier :p

cronos 14.10.2005 00:50
Knapp 11 Minuten für einen kompletten Escan sind wohl ein bißchen wenig.
Hast du tatsächlich die Einstellungen wie im nachfolgendem Bild gesetzt?

http://www.cidres-security.de/picture/eScan-lic-6.jpg

raman 14.10.2005 03:52
Wenn es um diese Eintraege geht:
...
O4 - HKLM\..\Run: [frag body city each] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\else bat frag body\Trans obj.exe
...
O4 - HKLM\..\Run: [warn body meet admin] C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\StoreSpamWarnBody\ID OL GREY.exe

Das ist eine Lop Variante, die du dir mit dem Messenger Plus installiert hast. Deinstalliere ihn und der Lop ist weg! Man kann den Messenger auch ohne diese Adware Komponenne installieren.

Sethx1 14.10.2005 08:21
@cronos ja die einstellungen wahren richtig.
@raman was ist ein lop ? und sind das die schädlichen daten ?
weil ich habe jezt durch mein antivir mitbekommen das ich einen swizor trojaner habe und noch einen den namen hab ich leider vergessen : :sleepy:
also meine frage währe jezt wo die dinger(Trojaner ) sind .

raman 14.10.2005 11:41
Ja, das ist Spy/Adware, sprich sie sorg dafuer, das dir ab und zu ein Werbefenster angezeigt wird. Wenn du den Messenger plus deinstallierst, wird dieser Lop(Antivir und KAV nennen Teile davon Trojan-Downloader.Win32.Swizzor). Eine aeltere Beschreibung dazu findest du hier: http://www.doxdesk.com/parasite/lop.html

Sethx1 14.10.2005 11:57
ah ok thx for help :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19