Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Problem (https://www.trojaner-board.de/24739-trojaner-problem.html)

mr.fish 20.12.2005 21:12
Trojaner Problem
 
Hallo,

habe folgendes Problem mit folgendem HiJack Log

Logfile of HijackThis v1.99.1
Scan saved at 21:10:43, on 20.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\PROGRA~1\MOZILL~2\FIREFOX.EXE
C:\Dokumente und Einstellungen\Christian\Desktop\Anti-Virus\HijackThis.exe
C:\Dokumente und Einstellungen\Christian\Desktop\Anti-Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule.de\emule.exe -AutoStart
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122760782481
O17 - HKLM\System\CCS\Services\Tcpip\..\{716ADC04-9B26-43DD-A920-816C6BDEBD07}: NameServer = 195.71.243.67 193.189.244.205
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\l6l60g3se6.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Bekomme trotz Anti Vir XP, Stinger, Spybot und Ad-aware folgendes Trojanische Pferd weg:

Meldung Anti Vir XP
C:\WINDOWS\SYSTEM32\YAWIQC.EXE

Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2

Spybot log
18.12.2005 10:35:49 Verweigert value "winsync" (new data: "C:\WINDOWS\system32\yawiqc.exe reg_run") hinzugefügt in System Startup global entry!

-> hier kann ich die exe auch nicht finden

Anti Vir log
18.12.2005,15:33:34 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:34:36 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
18.12.2005,15:35:39 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:36:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:37:43 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:38:46 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:39:48 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE
[INFO] Die Datei wurde gelöscht!
18.12.2005,15:40:51 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Qoologic.AT.2!
C:\WINDOWS\SYSTEM32\YAWIQC.EXE

usw....

kann mir jemand bitte helfen? Vielen Dank!

Grüße
mrfish

dartus 21.12.2005 00:24
Hallo mr.fish,

hast Du schon mal versucht die Datei im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html manuell zu löschen?
Falls dies nicht klappt, benutze die Killbox (Anleitung zur Anwendung --> HIER .

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131