Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Totaler Laie! (https://www.trojaner-board.de/22711-totaler-laie.html)

Nana 12.10.2005 19:39
Totaler Laie!
 
Hallo!
Ich bin leider totaler Laie :( , und habe die SW von Euch von einem Freund empfohlen bekommen. Ich verstehe leider Eure Abkürzungen nicht, aber ich hätte gerne jemanden, der mir sagen kann wie ich die "bösen" Dateien aus meinem PC entfernen kann. Lt. eurem soeben durchgescanntem Programm, habe ich einige solcher "Bösen" :teufel3: !

Bitte wer kann mir helfen?!?!? Was muß ich genau tun, damit ihr mir helfen könnt? ich habe nur eine irre Liste von dem Scannnen, welche ich einmal im Word Dokument abgespeichert habe!

Folgendes hier unten- ändere ich bevor ich den Scann durchführe?!?!

Beispiel:
C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\hijackthis\HijackThis.exe
ändern in
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.exe


es tut mir leid, aber ich fühle mich im Moment mehr als hilflos und eher wie ein Dummerchen, als alles andere.... :confused: :confused:

Vielleicht kann sich ja wer meiner erbarmen, bevor mein Trojana :teufel3: , welcher im rechten Eck meines Bildschirmes immer wieder 3 giftgrüne WWW öffnet und dann unendlich viele Explorer Fenster wieder aufwacht.

DANKE!!!!

chaosman 12.10.2005 19:45
@Nana
poste bitte ein HJT Logfile
HJT Anleitung

habe die SW von Euch
Welche?

Folgendes hier unten- ändere ich bevor ich den Scann durchführe?!?!

Beispiel:
C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\hijackthis\HijackThis.exe
ändern in
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

Nein, das Logfile (also das ergebnis) editieren, auch die aktive links(wie steht in meine Signatur)editieren.

chaosman

Nana 12.10.2005 20:01
Oh danke! Das geht ja flott.
Also ich habe eine ZIP Datei bekommen welche da heißt Logfile of HijackThis v1.99.1
Scan saved at 19:52:57, on 12.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

und das hat mir das Programm dann ausgespuckt.


Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\PL15Co2K.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\windows\system32\rk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\L****l\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFERAT23\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tplus.at:8080
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_90.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Hoffe ich hab das richtig gemacht und du kannst damit etwas anfangen.

DANKE Nana

[edit]
links entfernt
[/edit]

dartus 12.10.2005 20:57
Hallo Nana,

editiere bitte auch alle Links in Deinem Logfile.

downloade Dir Adaware , Spybot S&D und lspfix . Adaware und Spybot installieren und updaten.

Deinstalliere über Systemsteuerung/Software "Newdotnet oder Newnet", " MarketScore (oder ähnliches --> Infos , "SearchUpgrader" sowie weitere Dir unbekannte Software.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_90.dll
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h..p://216.249.24.143/code/PWActiveXImgCtl.CAB

Manuell löschen (Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken):
C:\PROGRA~1\NEWDOT~1 (Ordner)
C:\Programme\Common files\SearchUpgrade (Ordner)
c:\windows\system32\rk.exe

Papierkorb leeren

Lspfix starten --> Häcken bei I know what I'm doing --> sämtliche New.net auf die linke Seite removen --> finish klicken

Mit Adaware und Spybot scannen und alle Fund löschen.

Neustart --> Systemweiderherstellung kann wieder aktiviert werden

Neues Logfile

dartus

Nana 12.10.2005 21:09
Danke Dartus!

Sorry wegen den Links, ich werde versuchen diese zu löschen...da muß aber der Admin. erst sein ok geben oder so....

nun adaware hab ich auf meinem PC,der hat leider nichts gefunden :crazy: , und die anderen Programme werde ich mir nun runterladen und mein bestes geben :) .

Herzlichen Dank für Deine Bemühungen!!!!!!!

Nana

dartus 12.10.2005 21:13
Hallo Nana,

Zitat:
da muß aber der Admin. erst sein ok geben oder so....
Nein!
Du musst dies selbständig machen, z.B. http in h..p.

dartus

Nana 12.10.2005 21:38
Wie ich auf editieren rechts unten im beitrag gedrückt habe und die links zu **** umfunktioniert hatte, schrieb da ein Fenster, ich könne nur innerhalb der ersten 60 sek. nach dem gesendetem beitrag editieren..ich solle mich doch an den Admin. wenden.

jetzt versteh ich gar nix mehr, ich kann das geänderte nicht merh "abschicken".... :(

dartus 12.10.2005 22:00
Hallo Nana,

stimmt hatte ich nicht bedacht. :(

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:46 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28