Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner (https://www.trojaner-board.de/25534-trojaner.html)

44richardson 07.01.2006 18:58
Trojaner
 
Hallo!
Ich habe schon mit a² Scanner und Spyboot versucht meinen Trojaner loszuwerden - keinen Erfolg! Könnt Ihr mir helfen? Danke!
Hier meine Log-File:
Logfile of HijackThis v1.99.1
...
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpos...57&postcount=1

danke
GUA
[/edit]

44richardson 07.01.2006 19:23
Es handelt sich um folgende Trojaner
 
Hatte ich vergessen zu erwähnen, dass sind meine Trojaner:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfiziert
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] Kopieren
[X] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen

Zusammenfassung:

C:\WINDOWS\qvehou.dat Infiziert GenPack:Trojan.Agent.BI
C:\WINDOWS\qvehou.dat Desinfizierung nicht durchgeführt
C:\WINDOWS\qvehou.dat Verschoben
C:\WINDOWS\knffrl.txt Infiziert GenPack:Trojan.Agent.BI
C:\WINDOWS\knffrl.txt Desinfizierung nicht durchgeführt
C:\WINDOWS\knffrl.txt Verschoben
C:\WINDOWS\anplhs.dat Infiziert GenPack:Trojan.Agent.BI
C:\WINDOWS\anplhs.dat Desinfizierung nicht durchgeführt
C:\WINDOWS\anplhs.dat Verschoben
C:\WINDOWS\qjswpm.dat Infiziert GenPack:Trojan.Downloader.Agent.TD
C:\WINDOWS\qjswpm.dat Desinfizierung nicht durchgeführt
C:\WINDOWS\qjswpm.dat Verschoben
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp Infiziert GenPack:Trojan.Click.E
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp Verschoben
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp.exe Infiziert GenPack:Trojan.Click.E
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp.exe Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\1F2.tmp.exe Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR00 Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR00 Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR00 Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR01 Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR01 Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR01 Verschoben
C:\Programme\AVPersonal\INFECTED\MSYN.EXE.VIR Infiziert GenPack:Trojan.Downloader.Agent.TD
C:\Programme\AVPersonal\INFECTED\MSYN.EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\MSYN.EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR02 Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR02 Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR02 Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR03 Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR03 Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR03 Verschoben
C:\Programme\AVPersonal\INFECTED\ms.VIR04 Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\ms.VIR04 Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ms.VIR04 Verschoben
C:\Programme\AVPersonal\INFECTED\PPKACHND.EXE.VIR Infiziert Trojan.Dialer.EE
C:\Programme\AVPersonal\INFECTED\PPKACHND.EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\PPKACHND.EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\MMJHCHND.EXE.VIR Infiziert Trojan.Dialer.EE
C:\Programme\AVPersonal\INFECTED\MMJHCHND.EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\MMJHCHND.EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\1EA.TMP.EXE.VIR Infiziert Trojan.Agent.AXC
C:\Programme\AVPersonal\INFECTED\1EA.TMP.EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\1EA.TMP.EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\START[1].EXE.VIR Verdächtig GenPack:Generic.Malware.Sdld.15F25DB3
C:\Programme\AVPersonal\INFECTED\START[1].EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\START[1].EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\GDNDE217[1].EXE.VIR Infiziert Trojan.Downloader.Small.AYL
C:\Programme\AVPersonal\INFECTED\GDNDE217[1].EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\GDNDE217[1].EXE.VIR Verschoben
C:\Programme\AVPersonal\INFECTED\ATLVV32.EXE.VIR Infiziert GenPack:Trojan.Agent.BI
C:\Programme\AVPersonal\INFECTED\ATLVV32.EXE.VIR Desinfizierung nicht durchgeführt
C:\Programme\AVPersonal\INFECTED\ATLVV32.EXE.VIR Verschoben
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\60B02CD2 Infiziert Win32.Raleka.A.dr
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\60B02CD2 Desinfizierung nicht durchgeführt
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\60B02CD2 Verschoben
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\613B62C2=>(Quarantine-2) Infiziert Win32.Bugbear.A@mm.Dam.2
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\613B62C2=>(Quarantine-2) Desinfizierung nicht durchgeführt
D:\RECYCLER\S-1-5-21-1859439266-3941404534-40101653-1007\Dd3\Quarantine\613B62C2 Verschoben

felix1 07.01.2006 20:21
Lösche mal den Quarantäneordner Deines AV-Programmes.
Poste ein neues HJT-Log. Beachte dazu die Anweisungen von Gua.

44richardson 07.01.2006 22:46
Habe ich gemacht! Was sind die Anweisungen von Gua?!?
Danke für die Hilfe,
David


Logfile of HijackThis v1.99.1
Scan saved at 22:44:32, on 07.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
d:\programme\atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
D:\PROGRA~1\atguard\iamapp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Creative\Mouse Optical\mouse_2k.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\MD40323\ICON.EXE
C:\Programme\Internet Explorer\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ozorr.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ozorr.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozorr.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ozorr.dll/sp.html#53142%resultposition.net
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {7FD58EC4-B55E-2A44-DFAB-99005B7E4071} - C:\WINDOWS\crrt32.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Class - {D9DE2FBC-3AD0-A195-EB77-7913F493B121} - C:\WINDOWS\system32\appzx32.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iamapp] d:\PROGRA~1\atguard\iamapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programme\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [msyn.exe] C:\WINDOWS\msyn.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [1F2.tmp] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F2.tmp.exe
O4 - HKLM\..\Run: [1F3.tmp] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F3.tmp.exe
O4 - HKLM\..\Run: [1F2.tmp.exe] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F2.tmp.exe
O4 - HKLM\..\Run: [1F3.tmp.exe] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F3.tmp.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/254e0d9dc812f8d03705/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122121866211
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - d:\programme\atguard\iamserv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

felix1 07.01.2006 23:32
Lade Dir mal die 14-Tage-Version von Ewido, update sie:
http://www.ewido.net/de/download/
Lasse Ewido das System scannen und bereinigen.
Poste das Ergebnis des Scans mit ewido.
Lade und update Ad-aware sowie Spybot S&D und lasse die Programme laufen.
Mit Spybot immunisieren
http://www.comsafe.de/download.html
Installiere Clearprog, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
http://www.clearprog.de/

Lade RegSeeker

Sichern vor Löschen anhaken und nur die grünen Funde entfernen!
Gehe mal in die Systemsteuerung->Software und entferne Dir unbekannte Programme.

44richardson 08.01.2006 01:03
Anbei der Ewido Scan Report.
Das ClearProg braucht ziemlich lang und das RegSeeker Programm verstehe ich nicht.
Vielen Dank

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 00:58:30, 08.01.2006
+ Report-Checksumme: FD5EE6A8

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{4D1C4E89-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{4D1C4E8B-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{630D6140-04C5-4db0-B27A-020D766FF09B} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4D1C4E8A-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4D1C4E8C-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin\CLSID -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin\CurVer -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.SettingsPlugin.1 -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin\CLSID -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin\CurVer -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Need2FindBar.ToolbarPlugin.1 -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Need2FindBar Uninstall -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Need2FindBar Uninstall -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Need2Find -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Need2Find\bar -> Spyware.Need2Find : Gesäubert mit Backup
HKLM\SOFTWARE\Need2Find\bar\Partner -> Spyware.Need2Find : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-152049171-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-152049171-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0} -> Spyware.RXToolbar : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-152049171-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4D1C4E81-A32A-416B-BCDB-33B3EF3617D3} -> Spyware.Need2Find : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-152049171-1957994488-1003\Software\Need2Find -> Spyware.Need2Find : Gesäubert mit Backup
HKU\S-1-5-21-1993962763-152049171-1957994488-1003\Software\Need2Find\bar -> Spyware.Need2Find : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D1-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
C:\WINDOWS\system32\intercept.dll -> Adware.Spyaxe : Gesäubert mit Backup
C:\WINDOWS\ozorrk.dat -> Downloader.Agent.bc : Gesäubert mit Backup
C:\WINDOWS\qcyneq.dat -> Downloader.Agent.bc : Gesäubert mit Backup
C:\WINDOWS\intercept.dll -> Adware.Spyaxe : Gesäubert mit Backup
C:\Programme\Gemeinsame Dateien\Sony Shared\Visualizer\ExlGen.dll -> Dialer.Generic : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\JAVABW.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\WINMA.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\APPZX32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\JAVATV.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\APIIZ.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\IEEL32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\CRDK.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\CRDF32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\SYSFF32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\NETJM.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\NETEG32.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\AVPersonal\INFECTED\ADDXE.DLL.VIR -> Downloader.Agent.bc : Gesäubert mit Backup
C:\Programme\Need2Find -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\1.bin -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\1.bin\N2FFXTBR.JAR -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\1.bin\N2NTSTBR.JAR -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\1.bin\PARTNER.DAT -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\Cache -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\Cache\files.ini -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\Cache\00016649 -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\Settings -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\Settings\prevcfg.htm -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\History -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\Need2Find\bar\History\search -> Spyware.Need2Find : Gesäubert mit Backup
C:\Programme\MyWay\myBar\1.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay : Gesäubert mit Backup
C:\System Volume Information\_restore{7869AA2A-A6C4-4E2F-9999-08D7773B459C}\RP556\A0287916.exe -> Not-A-Virus.Hoax.Win32.SpyWare.a : Gesäubert mit Backup


::Report Ende

felix1 08.01.2006 17:36
Poste nochmals ein HJT-Log. Was sagt Dein AV-Programm, welche Ergebnisse brachten ad-adaware?

44richardson 08.01.2006 22:47
Hallo,
also Ad-Aware findet beim Vollen Systemcheck keine critical objects mehr - stürzt allerdings bei der selben Datei immer ab: C:\\Windows\Installer\{115B69C2-4BF6-4EDO-9D17-A4273943CB24}
Meine AV Programm findet mittlerweile keine Viren/Trojaner mehr.
Was nun?


Logfile of HijackThis v1.99.1
Scan saved at 22:01:29, on 08.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
d:\programme\atguard\iamserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\PRISMSTA.EXE
D:\PROGRA~1\atguard\iamapp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Creative\Mouse Optical\mouse_2k.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\MD40323\ICON.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Class - {7FD58EC4-B55E-2A44-DFAB-99005B7E4071} - C:\WINDOWS\crrt32.dll (file missing)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: Class - {D9DE2FBC-3AD0-A195-EB77-7913F493B121} - C:\WINDOWS\system32\appzx32.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [iamapp] d:\PROGRA~1\atguard\iamapp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CreativeMouse ] C:\Programme\Creative\Mouse Optical\mouse_2k.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [msyn.exe] C:\WINDOWS\msyn.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [1F2.tmp] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F2.tmp.exe
O4 - HKLM\..\Run: [1F3.tmp] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F3.tmp.exe
O4 - HKLM\..\Run: [1F2.tmp.exe] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F2.tmp.exe
O4 - HKLM\..\Run: [1F3.tmp.exe] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\1F3.tmp.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/254e0d9dc812f8d03705/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122121866211
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - d:\programme\atguard\iamserv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

44richardson 10.01.2006 20:57
Hilfe!
 
Hallo,
kann mir jemand mit den Informationen weiterhelfen?
Merkmal meines Trojaner ist es, dass mein Bildschirmhintergrund unveränderlich "Warning!Sypware detected on your computer!...." anzeigt. Außerdem erkennt ewido jedes Mal, wenn ich den PC anmache Windows starte, dass eine Winhount-Datei (oder ähnlich) versucht Zugriff zu erhalten

44richardson 14.01.2006 23:51
Nochmalige Bitte um Hilfe
 
Kann mir jemand mit den geschilderten Problemen helfen?!
Danke!


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131