Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe glaub mein rechner ist krank (https://www.trojaner-board.de/26175-hilfe-glaub-rechner-krank.html)

Finnegan 24.01.2006 18:37
Hilfe glaub mein rechner ist krank
 
Hallo mir ist mein notebook zurzeit nicht ganz koscher.

Zuerst gingen teile der tastatur nicht mehr. jetzt ist mein internet ausgefallen.
(Verbindung wird angezeigt empfängt aber nie mehr als 60 datenpakete)

wäre toll wenn sich jemand mal das log ansehen kann ob da was faul ist.
Bin langsam echt mit meinem Latein am ende.

Logfile of HijackThis v1.99.1
Scan saved at 18:28:51, on 24.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\carpserv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Lexmark X125\LEX125SU.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LidPolicy] c:\Programme\Hewlett-Packard\LidSwitch Policy\pwrschem.exe
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\Programme\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Lexmark X125 Einstellungsdienstprogramm.lnk = C:\Programme\Lexmark X125\LEX125SU.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134735882042
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Finnegan 24.01.2006 19:37
Hab auch schon escan drüberlaufen lassen weiß aber nicht was ich damit anfangen soll.

"..... verweist auf ungültiges objekt...."

kann ich die reg. einträge alle löschen?

chaosman 24.01.2006 22:16
@Finnegan
poste doch mal die escan egebnisse wie hier beschrieben wird

chaosman

Finnegan 25.01.2006 11:38
hier das log. Da sind aber die falschen reg einträge (oder was auch immer das sein mag nicht dabei)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jan 24 16:40:08 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Tue Jan 24 16:40:10 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
Tue Jan 24 16:59:34 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
Tue Jan 24 16:59:36 2006 => System found infected with stylexp Spyware/Adware ({c333cf63-767f-4831-94ac-e683d962c63c})! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

hoerni26 25.01.2006 11:39
hallo,

ist das der gesamte log der find.bat??

Finnegan 25.01.2006 11:41
jap.

im log von escan sind allerdings noch 250 einträge aus der registry.

hoerni26 25.01.2006 11:42
na poste doch hier den kompletten log der find.bat

Finnegan 25.01.2006 11:49
erstmal danke für die Hilfe!!

Das ist das komplette log von find.bat

Was beim escanlog zusätzlich auftaucht ist. zeugs wie:

Tue Jan 24 17:00:25 2006 => Entry "HKCR\msbackupfile\shell\open\command" verweist auf das ungültige Objekt "%SystemRoot%\system32\ntbackup.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:25 2006 => Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:25 2006 => Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\ppifile\shell\open\command" verweist auf das ungültige Objekt "%SystemRoot%\System32\msppcnfg.exe /Config %1". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\RealPlayer.AVI.6\shell\open\command" verweist auf das ungültige Objekt "d:\Programme\Real\RealPlayer\RealPlay.exe "%1"". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\WMSServer.Server" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Tue Jan 24 17:00:26 2006 => Entry "HKCR\WMSServer.Server.9" verweist auf das ungültige Objekt "{845FB959-4279-11D2-BF23-00805FBE84A6}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Die tastatur funzt jetzt übrigens wieder nur`s web läuft immer noch nicht.

hoerni26 25.01.2006 11:51
besorg dir über google regseeker..
führe es mit der option registery säubern durch..
lösche alles was er findet..
wiederhole den vorgang solange bis nix mehr gefunden wird..
wichtig: achte darauf das unten links ein haken ist bei sichern vor löschen

Finnegan 25.01.2006 12:18
Hab jetzt regseeker mehrmals drüberlaufen lassen.

bekomm aber zwei einträge nicht runter.

irgendwas von webde smartsurfer.

ist aber von mehr als 400 einträgen schon ein gewaltiger fortschritt. :-)

hoerni26 25.01.2006 12:30
das stimmt..
smart surfer wird das wohl sein..
nun schlate mal die systemwiederherstellung ab,boote neu und dann systemwiederherstellung nochmal anschlaten..

Finnegan 25.01.2006 12:43
Werd das gleich versuchen.

Hab zwischenzeitlich nochmal escan laufen lassen.

Hat jetzt was neues entdeckt.

File C:\WINDOWS\NDNuninstall6_38.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_98.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgefüh

sollte ich damit was bestimmtes machen?

hoerni26 25.01.2006 12:59
also ich bin mir nicht ganz sicher ob es nicht das beste wäre dein system komplett neu aufzusetzen..
denn dieser trojaner speichert passwörter und sonstiges und sendet sie an andere rechner weiter..


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:47 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129