|
Cansew.ca Könnte jemand mal nachsehen wo der Trojaner versteckt ist. |
Jaja, gerne - und wo? Wie wäre es mit einem HJT Logfile und einer ausführlichen Problembeschreibung? stupormundi |
Logfile of HijackThis v1.99.1 Scan saved at 10:28:08, on 18.1.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\NavNT\vptray.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\anti_troj.exe C:\WINNT\system32\anti_troj.exe C:\Programme\NetCommy\NetCommy.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\WINNT\explorer.exe C:\Programme\lotus\notes\NLNOTES.EXE C:\Programme\lotus\notes\ntaskldr.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE \File-server\Daten\Laudensack\Eigene Dateien\HiJack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {46577142-1D10-457D-9EE7-570DABDF8A0E} - C:\WINNT\system32\COMCAT32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe O4 - HKLM\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe O4 - HKLM\..\Run: [key2] C:\WINNT\system32\winlog.exe O4 - HKCU\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe O4 - Startup: Lotus Notes 6 (2).lnk = C:\Programme\lotus\notes\notes.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NetCommy-Autostart.lnk = C:\Programme\NetCommy\NetCommy.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .pl: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: OracleOraHome817ClientCache - Unknown owner - C:\Oracle8Client\BIN\ONRSD.EXE |
Servus wieder! So ist es übersichtlicher! Du hast Dir ja einiges eingefangen! Den und den und den und wahrscheinlich einiges anderes, was von diesen Böslingen nachgeladen worden ist, aber hier im Logfile nicht aufscheint, auch noch! Um eine genaueres Bild zu bekommen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! Und nicht wieder einen neuen thread eröffnen! Und zuletzt: Falls es ein Firmenrechner ist, bitte mit Deinem IT-Admin Kontakt aufnehmen - das ist dann dessen Bier und wir sind hier raus! stupormundi |
kurz einmisch: @Drehteil, das sieht nach einem Firmenrechner aus. Falls ja, solltest Du Dich mit dem zuständigen IT-Spezie in Verbindung setzen. dartus Hi stupermondi. Querposting! :D Anm. ------------------- Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974 Gruß Cidre Admin TB |
Hi dartus! Zitat:
:blabla: @drehteil: 1 ein thread für ein Problem! außerdem was dartus' Vermutung wegen des Firmenrechners angeht: Wenn es wirklich einer ist (wie es tatsächlich scheint) sind wir hier draußen, denn das ist alleine Sache Deiner IT-Admins (bei dieser Verseuchung umso mehr) stupormundi Anm. ------------------- Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974 Gruß Cidre Admin TB |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board