Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Überprüfem meines log-files bitte (https://www.trojaner-board.de/25591-uberpruefem-meines-log-files-bitte.html)

little-man 09.01.2006 09:46
Überprüfem meines log-files bitte
 
Hallo an alle,
Habe folgendes Problem.
Werde jeden Tag mit Mails zugeschüttet ( 1000 Stück )
Allerdings keine richtigen Spams, sondern Meldungen, dass meine EMails nicht angekommen sind ( Mail Demon )
Meine EMail Add ist name@xxx.de
Verschickt wurden die Mails mit name2@xxx.de, name3 usw
Nehme an, dass ich mir da was eingefangen habe, was heimlich EMails verschickt, vielleicht könnt ihr mir ja mit dem log-file weiterhelfen.
Vielen Dank schon mal im voraus
little man
Log File
Logfile of HijackThis v1.99.1
Scan saved at 14:55:29, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\windows\SOUNDMAN.EXE
C:\windows\system32\SerExt.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\FREEDO~1\fdm.exe
C:\Programme\Opera\Opera.exe
C:\Downloads\test\hijack\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IE5BarLauncherBHO Class - {1ADBCCE8-CF84-441E-9B38-AFC7A19C06A4} - C:\Programme\e-zshopper\BarLcher.dll (file missing)
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\system32\hlwin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: e-zshopper 1.200 - {3D782BB3-F2A5-11D3-BF4C-000000000000} - C:\Programme\e-zshopper\BarLcher.dll (file missing)
O3 - Toolbar: Big Fish Games Toolbar - {4E7BD74F-2B8D-469E-86BD-FD60BB9AAE3A} - C:\Programme\bfgtoolbar\bfgtoolbar.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eZshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O9 - Extra 'Tools' menuitem: e-zshopper - {BFA03761-5565-41b3-93D9-82B354C0A8EC} - SHDOCVW.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset\talk&surf 5.1\xControlCOM.exe

Sabina 09.01.2006 12:03
Hallo little-man

schreibe bitte, welche dll du findest.

LSPfix
http://www.spychecker.com/program/lspfix.html

danach:
ueberpruefe, ob du folgende Dateien findest:
Zitat:
C:\WINDOWS\system32\hlwin.dll
C:\WINDOWS\system32\lmdv.bin
C:\WINDOWS\system32\lmf32v.dll
C:\WINDOWS\system32\PreUninstall.exe
C:\WINDOWS\system32\uninst.exe
C:\WINDOWS\system32\Uninst.log
C:\WINDOWS\system32\HyperLinker3.exe
http://securityresponse.symantec.com...linkmaker.html

Princ_of_Galaxy 09.01.2006 12:11
hm also http://www.hijackthis.de sagt
das du
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll

und alle 5
O10 - Hijacked Internet access by New.Net

fixen solltest.
natürlich ist die automatische auswertung net perfekt aber vieleicht löst das dein problem.

auserdem gibt es hinweise das die einträge von h**p//www.themexp.org
stammen sollte.

kennst du die seite?

little-man 09.01.2006 12:22
thx schonmal.
Problem ist, dass ich mit dem Rechner nicht mehr ins INet komme :(
Praktischerweise der Rechner meiner Mutter, deswegen kann das schon sein, dass die mal auf themexp.org war ( weil auch noch andere mit diesem PC 'arbeiten' )
@Sabina
Was hast denn da für einen Verdacht?

little-man 09.01.2006 13:28
So, ich nochmal :)
Hab jetzt einiges nochmal durchgelesen, und denke dass die TCP/IP Kette unterbrochen wurde, durch Malware Entfernung ( komme darauf, weil mein Bruder sagte, dass er mit Spybot was entfernt hat )
Scheinbar kann man das ja recht schnell wieder mit LSPFix beheben, leider kann ich es nicht downloaden, da 'You don't have permission to access /lspfix.zip on this server.' kommt.
Habe noch keine funktionierenden Download gefunden, wie gross ist denn das File, und besteht die Möglichkeit dass per EMail zu bekommen?
Sry wenn ichh nerve, ist aber nicht einfach einen Rechner ohne INet zu reparieren, wenn man dazu das INet bräuchte :)
little man

Sabina 09.01.2006 13:39
Princ_of_Galaxy
soweit mir bekannt ist, ist es hier nicht erwuenscht, sich ungefragt in Thread reinzuhaengen und dann noch falsche Ratschlaege zu geben.................
------------------------------------------------------------------------

little-man

bringe dieses Tool auf deinen PC (mit Diskette zum Beispiel)
WinsockFix (Fuer alle Betriebssysteme)
http://www.winsockfix.nl/

wahrscheinlich hast du die newnet...dll schon geloescht oder die 010-Eintraege im HijackThis gefixt (was man nicht darf)

winsockfix bringt das wieder in Ordnung.

dann sehen wir weiter, was die Reinigung betrifft

little-man 09.01.2006 13:55
ok, danke,
Newnet habe ich noch nicht gefixt , weil ich ja zu dem Zeitpunkt noch nicht wusste, was das ist.
Kann sein, das Bruder mit Spybot was rausgehauen hat ( wahrscheinlich )
Noch eine kurze Frage, auf dieser Seite konnte ich auch LSP Fix downloaden, soll ich trotzdem WinSock benutzen?
Bin dann ne Zeitlang nicht da, hab nämlich 8 km zum infizierten Rechner zu fahren :)
Werde dich schon mal für mein Nachtgebet vormerken :)
little man

Sabina 09.01.2006 14:06
lade beides, aber WinSockfix wird dir den Winsock wieder reparieren. Es gibt sogar eine deutsche Anleitung, die haben wir den Entwicklern vom Tool zukommen lassen ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:35 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129