Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hijackthis Logfile - Hilfeeeeeeeeeeee !!! (https://www.trojaner-board.de/24328-hijackthis-logfile-hilfeeeeeeeeeeee.html)

fabinom 08.12.2005 08:34
hijackthis Logfile - Hilfeeeeeeeeeeee !!!
 
Hallo zusammen ;)

Auch ich muß jetzt mal Eure Hilfe in Anspruch nehmen :(

Habe mir beim Installieren vom Netpumper was eingefangen.
Beim Starten des IE geht so ein nerviges Werbefenster auf !!
Habe die Programme Ad-Aware und Spybot ausprobiert, haben auch beide was gefunden - Dateien gelöscht, Rechner neu getartet und das gleiche Problem wieder :koch:

Hoffe Ihr könnt mir an Hand des Logfiles weiterhelfen (Danke dafür im Vorraus !!) :

Logfile of HijackThis v1.99.1
Scan saved at 08:08:07, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.####)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.####)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\System32\Ati2evxx.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINXP\System32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Tobit InfoCenter\DVREMIND.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
G:\Programm\Lotus6\organize\easyclip6.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\FCAD32\FCW32.EXE
C:\Programme\FCAD32\FCW32.EXE
C:\PROGRA~1\HEWLET~1\HPDESK~2\HPW8TBX.EXE
C:\WINXP\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.eenet.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {421DFE83-2050-41DC-9C9D-8DD32264BA4E} - C:\WINXP\System32\icaapi32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Lavasoft\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {71476E3F-EA70-86FA-B845-BAEE04A45C64} - C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1\Trans soap.exe (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Memo ford lies window] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford\the close.exe
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe E:\PROGRA~1\ALCATech\BPM-ST~1
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Once32] C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1\BikeName.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Lavasoft\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = Programm\Lotus6\organize\easyclip6.exe
O4 - Global Startup: InfoCenter Notifier.LNK = C:\Programme\Tobit InfoCenter\DVREMIND.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - C:\WINXP\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - WWW. Prefix: http://
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3499D0BE-0910-4897-A662-6952E2EC8A18} (VEKA Profilrecherche 2 Internet) - http://www.fenster-infoline.de/__C1256E8C00321464.nsf/html/vekarechinetctrl.cab/$FILE/vekarechinetctrl.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} (QuestActiveX Class) - http://www.quest3d.com/Quest3D_WebInstall.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0ECDC5-95BA-480D-B66D-E9477410A966}: NameServer = 192.168.126.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)




Gruss fabinom :D

dartus 08.12.2005 11:42
Hallo fabinom,

deinstalliere über Systemsteuerung/Software "netpumper".
Nutze besser Leechget oder Getright.

Downloade Dir clearprog 1.4.1 final.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: (no name) - {421DFE83-2050-41DC-9C9D-8DD32264BA4E} - C:\WINXP\System32\icaapi32.dll
O2 - BHO: (no name) - {71476E3F-EA70-86FA-B845-BAEE04A45C64} - C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1\Trans soap.exe (file missing)
O4 - HKLM\..\Run: [Memo ford lies window] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford\the close.exe
O4 - HKCU\..\Run: [Once32] C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1\BikeNam e.exe
sowie Dir unbekannte 016-Einträge

Lösche manuell folgende Dateien/Ordner:
C:\WINXP\System32\icaapi32.dll
C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford
C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1

Starte "clearprog" --> Häckchen bei Alles Löschen und auf Löschen klicken

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

Hoffentlich beherzigst Du nun die Empfehlungen.

dartus

fabinom 08.12.2005 12:38
Hallo dartus und rechtherzlichen Dank für die schnelle und vorallem ausführliche Hilfe :)

Ich werde die Bereinigung am Wochenende durchführen und dann hier berichten ob alles geklappt hat :crazy:

Danke nochmal und weiter so :party:

Gruss fabinom ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131