Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte helft mir mal (https://www.trojaner-board.de/26441-bitte-helft-mir-mal.html)

MOON 03.02.2006 05:08
Bitte helft mir mal
 
Logfile of HijackThis v1.99.1
Scan saved at 04:50:01, on 03.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\INCRED~2\bin\IMApp.exe
D:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Kleine Mü\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgsoft.it/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114976260108
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7ABC06A5-8E95-4F35-8BCB-107D75B370C3}: NameServer = 192.168.0.1
O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\lvr6099se.dll (file missing)
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\i4600ejmehoa0.dll (file missing)
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\j4j60e1seh.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\install\WinStylerThemeSvc.exe


--------------------------------------------------------------------------


* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

C:\WINDOWS\SYSTEM32\e602lg~1.dll Fri 3 Feb 2006 3:45:04 ..S.R 236.271 230,73 K
C:\WINDOWS\SYSTEM32\g4400e~1.dll Thu 2 Feb 2006 17:46:02 ..S.R 235.911 230,38 K
C:\WINDOWS\SYSTEM32\j4j60e~1.dll Fri 3 Feb 2006 4:15:08 ..S.R 235.867 230,34 K
C:\WINDOWS\SYSTEM32\ksdic.dll Fri 3 Feb 2006 4:30:34 ..S.R 236.271 230,73 K
________________________________________________

2.095 items found: 2.094 files (4 H/S), 1 directory.
Total of file sizes: 453.608.279 bytes 432,59 M

Administrator Account = Wahr

--------------------End log---------------------


So hier das Prob !!!!

Ich hab Opera und dll Compare drüber laufen lassen ich kann die Ausgegebenen datein im abgesichertn Modus Nicht löschen..
Mein Opera und mein IE sowie Mozilla öffnen in regelmässigen abständen immer neue Inet - Seiten .
Dieses Problem ist weder durch Ad - Adware , Spybot, Vir - IT noch durch irgendein Virenscanner zu lösen auch die Firewall lies diese Mal- Ware durch
Bitte helft mir mal im voraus danke

stupormundi 03.02.2006 07:48
Servus!
Diese Adware ist zumindest bei Dir zugange!

Um einen Überblick über mögliche weitere Böslinge zu bekommen, lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

MOON 03.02.2006 11:07
Fri Feb 03 09:56:57 2006 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Fri Feb 03 09:56:57 2006 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Fri Feb 03 09:56:58 2006 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken.
Fri Feb 03 09:56:58 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken.
Fri Feb 03 09:56:59 2006 => Offending Key found: HKCU\appevents\eventlabels\bearsharechatnotifymsg !!!
Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:56:59 2006 => Offending Key found: HKCU\appevents\schemes\apps\bearshare !!!
Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:56:59 2006 => Offending Key found: HKLM\Software\magnet\handlers\bearshare !!!
Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:56:59 2006 => Offending Key found: HKLM\Software\bearshare !!!
Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:57:00 2006 => Offending value found in HKLM\Software\Licenses: {i56b3cf0d9ab991e1} !!!
Fri Feb 03 09:57:00 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:57:00 2006 => Offending value found in HKLM\Software\Licenses: {056b3cf0d9ab991e1} !!!
Fri Feb 03 09:57:00 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 03 09:57:01 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Fri Feb 03 09:57:01 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Fri Feb 03 09:57:03 2006 => Offending file found: C:\WINDOWS\system32\objsafe.tlb
Fri Feb 03 09:57:03 2006 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.
Fri Feb 03 09:57:22 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.*
Fri Feb 03 10:45:52 2006 => File C:\WINDOWS\winsysban4.exe infected by "Trojan-Clicker.Win32.VB.kc" Virus! Action Taken: No Action Taken.

Ich hoffe so ist es richtig und ihr könnt damit was anfangen........

Thx Moon

MOON 04.02.2006 11:11
Könnte sich das mal bitte einer angucken die probleme sind immer noch dieselben der Lookme2 Virus is noch aktiv ich find aber leider keine datei zum löschen der Escan gibt zwar welche aus als ich aber mit Kill bill diese gelöscht habe is der Virus immer noch aktiv ich weiss leider nicht mehr weiter.


Thx MOON

Wildone 04.02.2006 11:25
Hallo,
besorge dir mal folgendes Tool, entpacke es in einen eigenen Ordner, und führe es mit der Option "2" aus. Nach dem Neustart sollte ein Log erscheinen, poste es.

Außerdem machst du mal folgendes und postest die vier Logfiles, nur die Dateien der letzten drei Monate abkopieren.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131