Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Scho wieder Ich :( (https://www.trojaner-board.de/23026-scho.html)

jigga86 25.10.2005 16:47
Scho wieder Ich :(
 
Tut mIr leid das ich es nochmal öffne aber es wurde nich beachtet und ich hab echt fette probleme

es öffnen sich ganze zeit pop ups einfach so ich spiele counterstrike und kanns nicht mehr weil es jede minute ausm spiel springt wegen den pop ups ich weiss nemme weiter bitte hilft mir Greetz Jigga

Logfile of HijackThis v1.99.1
Scan saved at 17:45:40, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\U29uZXIA\command.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ***://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ***://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - ***://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - ***://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D46877C8-7CE1-49D4-B030-82A8B7962B99}: NameServer = 217.237.150.141 217.237.150.97
O20 - Winlogon Notify: MS-DOS Emulation - C:\WINDOWS\system32\k644lghq164e.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U29uZXIA\command.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



bitte ich brauch dringende hilfe danke ich bin voll verzweifelt und format will ich nicht machen obwohl ich mit ad aware und spybot gesucht habe er findet was aber die pop ups tauchen trotzdem auf

cacatoa 25.10.2005 18:16
Hi,
mit HJT folgende im abgescihertenMOdus bei deaktivierter Systemwiederherstellung fixen:
R3 - Default URLSearchHook is missing
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U29uZXIA\command.exe

Dann manuell löschen:
C:\WINDOWS\U29uZXIA\command.exe
Dann neu booten, Systemwiederherstellung wieder an und neues Logfile posten.
cacatoa

jigga86 25.10.2005 18:33
neue log
 
so hab die schritte gemacht die du mir geschrieben hattest hier die neue log datei danke dir nocheinmal

Logfile of HijackThis v1.99.1
Scan saved at 19:31:55, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ***://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ***://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - ***://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - ***://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D46877C8-7CE1-49D4-B030-82A8B7962B99}: NameServer = 217.237.150.141 217.237.150.97
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\g0lmla311d.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U29uZXIA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


aber ich muss echt sagen meine firefox seiten changen sich immer noch ayyy ich flipp noch aus eyy habs genauso gemacht wie du es gesagt hast

cacatoa 25.10.2005 19:20
Bitte lass diese Datei:
C:\WINDOWS\system32\g0lmla311d.dll
mal bei Jotti online scannen und berichte das Ergebnis.
cacatoa

jigga86 25.10.2005 19:53
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file<<<kannst net laden

cacatoa 25.10.2005 19:57
Probier mal einen (oder alle) dieser online-scanner.
cacatoa

jigga86 25.10.2005 20:54
hab alle nichts gefunden geht nicht verdammt was soll ich machen soll ich mal systemwiederherstellung machen weil mir ist aufgefallen das die pop ups nur bei mozilla kommen

cacatoa 25.10.2005 21:05
Fixe mal mit HiJackThis diesen Eintrag:
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\g0lmla311d.dll
Berichte dann neu.
cacatoa
P.S.: Ganz ruhig bleiben...

jigga86 25.10.2005 21:25
den eintrag gibts nich mehr hier ne neue log datei ich verpacks echt nicht mehr scheiss pop ups eyyy ich weiss nicht was ich machen soll

Logfile of HijackThis v1.99.1
Scan saved at 22:24:34, on 25.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\***\Desktop\pes5demo_no_vo\pes5demo_no_VO.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ***://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ***://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - ***://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - ***://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D46877C8-7CE1-49D4-B030-82A8B7962B99}: NameServer = 217.237.150.141 217.237.150.97
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\en20l1fm1.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U29uZXIA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

cacatoa 25.10.2005 21:39
Jetzt heißt der Eintrag:
O20 - Winlogon Notify: URL - C:\WINDOWS\system32\en20l1fm1.dll
mit HJT fixen.
Solltest Du HJT schon wieder geschlossen haben, dann mach ein neues Logfile und fixe auf jeden Fall den O20 Winlogon Notify-Eintrag!
cacatoa

Wildone 25.10.2005 21:50
Hallo,
wenn ich mich kurz einmischen darf, ich spekuliere jetzt mal, und behaupte das es sich hier um eine look2me Variante handelt, die ist mit fixen nicht zu entfernen. Du kannst es mal mit diesem Tool versuchen, erst Option zwei dann Option 4. Dann solltest du noch mal Ewido drüber laufen lassen und ein neues HijackThis Log hier her posten.


Grüße Wildone

cacatoa 25.10.2005 21:58
@ Wildone:
Servus. Denke mal, das werden wir gleich wissen, wenn er den Eintrag nicht wegkriegt.
Danke für die Unterstützung.
cacatoa

jigga86 26.10.2005 00:24
habs so gemacht wie der wildone beschrieben hatte und muss sagen meine firefox seiten ändern sich immer noch ahhhh
Ich habe was von Look2me gelesen und alles gelöscht als zusatz poste ich noch den report von ewido


hier der neue HJT report

Logfile of HijackThis v1.99.1
Scan saved at 01:20:12, on 26.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - ***://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ***://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - ***://f012.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - ***://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D46877C8-7CE1-49D4-B030-82A8B7962B99}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U29uZXIA\command.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

_________________________________________________________________

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 01:18:18, 26.10.2005
+ Report-Checksumme: FFE29F69

+ Scanergebnis:

[1568] C:\WINDOWS\system32\mlmdd.dll -> Spyware.Look2Me : Gesäubert ohne Backup
[1936] C:\WINDOWS\system32\mgisam11.dll -> Spyware.Look2Me : Fehler beim Säubern
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@2o7[2].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@ad.adition[1].txt -> Spyware.Cookie.Adition : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@ad.yieldmanager[2].txt -> Spyware.Cookie.Yieldmanager : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@axa.addcontrol[1].txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@pay4klick[2].txt -> Spyware.Cookie.Pay4klick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@tfag[2].txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\Cookies\****@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\WINDOWS\system32\dnl6013se.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\system32\ltcalspl.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\system32\vfs_ps.dll -> Spyware.Look2Me : Gesäubert mit Backup
C:\WINDOWS\system32\__delete_on_reboot__mgisam11.dll -> Spyware.Look2Me : Gesäubert mit Backup


::Report Ende

hab die cookies rauseditiert weil finde nicht das sie wichtig sind oder also ich verzweifle grad richtig aber will echt nicht formatieren

Wildone 26.10.2005 00:49
Hallo,
hmm, im HijackThis Logfile ist jetzt nichts mehr zu erkennen. Deinstalliere mal den MessengerPlus! 3, der ist häufig mit Spy/Adware belastet.
Sonst fällt mir noch dieser Eintrag bei Ewido auf:
[1936] C:\WINDOWS\system32\mgisam11.dll -> Spyware.Look2Me : Fehler beim Säubern
Du kannst mal versuchen den Eintrag manuell mit Killbox (delete file on reboot) löschen.
Dann wieder einen Lagebericht.
[EDIT]
Sehe gerade das Ewido den Eintrag wohl doch gelöscht hat:
C:\WINDOWS\system32\__delete_on_reboot__mgisam11.d ll -> Spyware.Look2Me : Gesäubert mit Backup
[/EDIT]


Grüße Wildone

jigga86 26.10.2005 00:59
Hab Messenger Plus deinstalliert

also es ist folgendes es ändern sich immer nur firefox seiten

und es öffnen sich immer wieder die selben pop ups das nervt brutal
da bist auf ner seite unterwegs und plötzlich ändert sie sich

no sorry digga sie sind immer noch da ich bin echt wütend aber ich will nicht den internet explodierer benützen :lach: was soll ich denn noch machen
danke trotzdem für deine hilfe ich weiss echt net was ich noch machen kann

Wildone 26.10.2005 01:03
Hallo,
erstmal kannst du die fette Schrift ändern, weil das nervt wiederum mich.
Jetzt geht langsam das gestochere los, untersuche mal dein System mit Escan (Anleitung sorgfältig lesen!) und poste dann das Logfile, wie in der Anleitung beschrieben.



Grüße Wildone

jigga86 26.10.2005 02:19
So habs gemacht

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 26 02:22:38 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Wed Oct 26 02:22:40 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Wed Oct 26 02:22:45 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Oct 26 02:22:46 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Oct 26 02:22:46 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Wed Oct 26 02:22:48 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:48 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:48 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Wed Oct 26 02:22:49 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:50 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Wed Oct 26 02:22:53 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:54 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:54 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Wed Oct 26 02:22:54 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:54 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.
Wed Oct 26 02:22:54 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.
Wed Oct 26 02:22:55 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Oct 26 02:22:55 2005 => System found infected with cydoor.topicks.a Spyware/Adware (settings.dat)! Action taken: No Action Taken.
Wed Oct 26 02:29:41 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\7Q0JTLDN\send_car_int[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus! Action Taken: No Action Taken.
Wed Oct 26 02:32:04 2005 => File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLHQZU90\113_dollarrevenue_4_0_3_9[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.j" Virus! Action Taken: No Action Taken.
Wed Oct 26 03:11:47 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 26 02:21:58 2005 => File C:\WINDOWS\system32\njwrscs.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
Wed Oct 26 02:56:44 2005 => File C:\WINDOWS\system32\njwrscs.dll tagged as "not-a-virus:AdWare.Win32.Look2Me.ab". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\ares !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\Software\limewire !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\Software\sacc !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKCU\Software\ares !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\ares !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\limewire !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\ares !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\ares !!!
Wed Oct 26 02:22:39 2005 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\limewire !!!
Wed Oct 26 02:22:40 2005 => Offending Folder found: C:\Programme\ares
Wed Oct 26 02:22:40 2005 => Offending Folder found: C:\Programme\limewire
Wed Oct 26 02:22:40 2005 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\insthelp.dll
Wed Oct 26 02:22:45 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\konami\pro evolution soccer 5 demo 2\settings.dat
Wed Oct 26 02:22:46 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 06\settings\settings.dat
Wed Oct 26 02:22:46 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\programme\ares
Wed Oct 26 02:22:46 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\programme\limewire
Wed Oct 26 02:22:46 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\ares
Wed Oct 26 02:22:46 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\limewire
Wed Oct 26 02:22:46 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\insthelp.dll
Wed Oct 26 02:22:48 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temporary internet files\content.ie5\7q0jtldn\adsend[1].js
Wed Oct 26 02:22:48 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temporary internet files\content.ie5\7q0jtldn\adswrapper[1].js
Wed Oct 26 02:22:48 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temporary internet files\content.ie5\7q0jtldn\formie[1].css
Wed Oct 26 02:22:49 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temporary internet files\content.ie5\8r1bu45x\common[1].js
Wed Oct 26 02:22:50 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\temporary internet files\content.ie5\xgklp52b\formie[1].css
Wed Oct 26 02:22:53 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\kfrycbth\adswrapper[1].js
Wed Oct 26 02:22:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\ylhqzu90\adsend[1].js
Wed Oct 26 02:22:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temporary internet files\content.ie5\ylhqzu90\formie[1].css
Wed Oct 26 02:22:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\kfrycbth\adswrapper[1].js
Wed Oct 26 02:22:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\ylhqzu90\adsend[1].js
Wed Oct 26 02:22:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\content.ie5\ylhqzu90\formie[1].css
Wed Oct 26 02:22:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\konami\pro evolution soccer 5 demo 2\settings.dat
Wed Oct 26 02:22:55 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Eigene Dateien\nba live 06\settings\settings.dat
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Oct 26 03:11:47 2005 => Total Virus(es) Found: 39
Wed Oct 26 03:11:47 2005 => Total Errors: 138
Wed Oct 26 03:11:47 2005 => Time Elapsed: 00:49:57
Wed Oct 26 03:11:47 2005 => Total Objects Scanned: 73760
Wed Oct 26 02:21:22 2005 => Virus Database Date: 2005/10/26
Wed Oct 26 03:11:48 2005 => Virus Database Date: 2005/10/26
Wed Oct 26 03:12:21 2005 => Virus Database Date: 2005/10/26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Wildone 26.10.2005 12:35
Hallo,
lösche mal folgende Datei, wie oben beschrieben mit killbox:
C:\WINDOWS\system32\njwrscs.dll
dann löschst du noch deine temporären Internetdateien (im IE auf Extras>>Internetoptionen)
Wenn dann das Problem immernoch besteht kannst du es mal damit versuchen.


Grüße Wildone

jigga86 26.10.2005 12:56
danke ich probier es jetzt mal mit dem spysweeper weiss du was mir aufgefallen ist jeden neustart kommt von ewido ne neue meldung das ne neue dll infiziert ist wenns so weitergeht dann lösch ich noch alle dll´s oder generiert er sich neu oder sind das die system dll´s???

Wildone 26.10.2005 12:59
Hallo,
laß bloß die Finger von den normalen dll Dateien, sonst kannst du gleich dein System neu aufsetzen, und mach bitte nichts von dem du keine Ahnung hast.


Grüße Wildone

jigga86 26.10.2005 13:03
Ok Danke dir Spy Sweeper hat alles hinbekommen echt grandios die hilfe hier und das programm vor allem wildone du werd dich empfehlen danke dir wirklich boah^^ bin so erleichtert danke danke danke kannst net oft genug sagen aber hmm eine empfehlung hast dir verdient danke


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55