Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hijackthis Logfile - Hilfeeeeeeeeeeee !!! (https://www.trojaner-board.de/24328-hijackthis-logfile-hilfeeeeeeeeeeee.html)

fabinom 08.12.2005 08:34
hijackthis Logfile - Hilfeeeeeeeeeeee !!!
 
Hallo zusammen ;)

Auch ich muß jetzt mal Eure Hilfe in Anspruch nehmen :(

Habe mir beim Installieren vom Netpumper was eingefangen.
Beim Starten des IE geht so ein nerviges Werbefenster auf !!
Habe die Programme Ad-Aware und Spybot ausprobiert, haben auch beide was gefunden - Dateien gelöscht, Rechner neu getartet und das gleiche Problem wieder :koch:

Hoffe Ihr könnt mir an Hand des Logfiles weiterhelfen (Danke dafür im Vorraus !!) :

Logfile of HijackThis v1.99.1
Scan saved at 08:08:07, on 08.12.2005
Platform: Windows XP SP2 (WinNT 5.01.####)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.####)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\System32\Ati2evxx.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINXP\System32\svchost.exe
C:\Programme\TightVNC\WinVNC.exe
C:\WINXP\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Tobit InfoCenter\DVREMIND.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
G:\Programm\Lotus6\organize\easyclip6.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\FCAD32\FCW32.EXE
C:\Programme\FCAD32\FCW32.EXE
C:\PROGRA~1\HEWLET~1\HPDESK~2\HPW8TBX.EXE
C:\WINXP\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.eenet.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {421DFE83-2050-41DC-9C9D-8DD32264BA4E} - C:\WINXP\System32\icaapi32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Lavasoft\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {71476E3F-EA70-86FA-B845-BAEE04A45C64} - C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1\Trans soap.exe (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINXP\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [HPWNTOOLBOX] C:\Programme\Hewlett-Packard\hp business inkjet 1200 series\Toolbox\HPWNTBX.exe "-i"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Memo ford lies window] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford\the close.exe
O4 - HKCU\..\Run: [BPMInit] BpmInit.exe E:\PROGRA~1\ALCATech\BPM-ST~1
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Once32] C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1\BikeName.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Lavasoft\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = Programm\Lotus6\organize\easyclip6.exe
O4 - Global Startup: InfoCenter Notifier.LNK = C:\Programme\Tobit InfoCenter\DVREMIND.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Web-Eintrag - {B4E30F61-16D9-11D3-85D1-005004229569} - C:\WINXP\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - WWW. Prefix: http://
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {3499D0BE-0910-4897-A662-6952E2EC8A18} (VEKA Profilrecherche 2 Internet) - http://www.fenster-infoline.de/__C1256E8C00321464.nsf/html/vekarechinetctrl.cab/$FILE/vekarechinetctrl.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9E214F45-89C2-4DE3-94A9-530EB1D05F7E} (QuestActiveX Class) - http://www.quest3d.com/Quest3D_WebInstall.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0ECDC5-95BA-480D-B66D-E9477410A966}: NameServer = 192.168.126.254
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINXP\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe" -service (file missing)




Gruss fabinom :D

dartus 08.12.2005 11:42
Hallo fabinom,

deinstalliere über Systemsteuerung/Software "netpumper".
Nutze besser Leechget oder Getright.

Downloade Dir clearprog 1.4.1 final.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: (no name) - {421DFE83-2050-41DC-9C9D-8DD32264BA4E} - C:\WINXP\System32\icaapi32.dll
O2 - BHO: (no name) - {71476E3F-EA70-86FA-B845-BAEE04A45C64} - C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1\Trans soap.exe (file missing)
O4 - HKLM\..\Run: [Memo ford lies window] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford\the close.exe
O4 - HKCU\..\Run: [Once32] C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1\BikeNam e.exe
sowie Dir unbekannte 016-Einträge

Lösche manuell folgende Dateien/Ordner:
C:\WINXP\System32\icaapi32.dll
C:\DOKUME~1\FA###~1.HAR\ANWEND~1\1OOZEF~1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Keepsignmemoford
C:\DOKUME~1\FA####~1.HAR\ANWEND~1\SETTIN~1

Starte "clearprog" --> Häckchen bei Alles Löschen und auf Löschen klicken

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

Hoffentlich beherzigst Du nun die Empfehlungen.

dartus

fabinom 08.12.2005 12:38
Hallo dartus und rechtherzlichen Dank für die schnelle und vorallem ausführliche Hilfe :)

Ich werde die Bereinigung am Wochenende durchführen und dann hier berichten ob alles geklappt hat :crazy:

Danke nochmal und weiter so :party:

Gruss fabinom ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:28 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27