Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem mit HiJackern (https://www.trojaner-board.de/27197-problem-hijackern.html)

Sabina 01.03.2006 18:14

1.
wende unbedingt noch die reg an (ich hoffe, sie funzt nun) :heilig:

2.
scanne noch mal mit Counterspy --> und alles loeschen (keine Quarantaene, bitte)
dann deinstalliere den Couterspy wieder (ist kein Free-Tool)

3.
scanne mit Panda und poste den scanreport (da der Kaspersky nicht mag....)
http://virus-protect.org/onlinescan.html

Tiya 01.03.2006 19:14

also das mit der reg-datei ging jetzt

counterspy habsch auch nomma angewendet, der hat jetzt zusätzlich noch en cookie gefunden den ich auch gelöscht hab.

allerdings habsch jetzt ein problem mit meinem IE:
Die Symbolleiste (mit Refresh-Button etc.) wird nicht mehr angezeigt

und Panda meldet auch einen Fehler:
"Error on downloading ActiveScanAn error has occurred downloading Panda ActiveScan. Please repeat the process. If the error occurs again, restart your system and try againPossible causes of this error are:

Not allowing the application's ActiveX control to be downloaded.

Problems with the Internet connection.

The error could be due to a download error or an installation error due to lack of hard disk space, privileges etc.,... "

Sabina 01.03.2006 19:32

Symbolleiste weg ?? Seit wann tritt das auf ?
Mit der reg-Datei und Counterspy duerfte es nichts zu tun haben.

siehst du das noch? --> Ansicht
Unter "Ansicht" > Symbolleisten (Status Bar ? ) ...mein IE ist in Englisch...sorry

oder:
http://www.pcwelt.de/forum/archive/i...p/t-63255.html

Aktiviere unter
Internetexplorer/Einstellungsempfehlungen/Registerkarte-> Sicherheit
ActiveX-Steuerelemente ausführen, die für Scripting sicher sind

dann versuche noch mal mit kaspersky oder dem Panda zu scannen

Tiya 01.03.2006 20:13

sehe nur noch die Adressleiste
also mit ansicht ist auch nix...

Zitat:

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Toolbar

Sie finden hier 2 Schlüssel: WebBrowser und ShellBrowser. In jedem dieser Unterschlüssel finden Sie den Eintrag ITBarLayout

Nun löschen Sie den Eintrag ITBarLayout aus beiden Unterschlüsseln. Machen sie jedoch vorher ein Backup der Einträge. Schließen Sie nun die Registry und starten Sie Ihr System neu. Beim Systemstart werden die Schlüssel wieder neu erstellt und die Leisten sind wieder sichtbar.
=> bei mir befindet sich im Ordner WebBrowser kein eintrag mit ITBarLayout
dafür hab ich noch einen Ordner (Explorer) in dem ein ITBarLayout drin ist

hab ja sogar den IE neu installiert

naja, will dich damit jetzt nicht belasten xD, ich schau mal was sich machen lässt

Tiya 02.03.2006 18:20

so hab den Scan-Report jetzt endlich hinbekommen (mit Panda)
sieht allerdings so aus als habsch erneut en Virus -.-


Virus:Trj/PWSteal.AE
Not disinfected
Operating system

Adware:adware/savenow
Not disinfected
Windows Registry

Adware:Adware/QuickWeb
Not disinfected
C:\Programme\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000401.asw

Adware:Adware/Findspy
Not disinfected
C:\Programme\Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine\00000402.asw

Adware:Adware/BHO
Not disinfected
C:\WINNT\system32\csvyk.exe


Virus:Trj/PWSteal.AE
Not disinfected
C:\WINNT\system32\jbsvj.exe

Potentially unwanted tool:Application/Processor
Not disinfected
L:\Johanna\Eikaramba\smitRem.exe[Process.exe]

Potentially unwanted tool:Application/Processor
Not disinfected L:\Johanna\Eikaramba\smitRem\smitRem\Process.exe


Dann habsch noch mal den Firewall über den Pc laufen lassen der hat 4 weitere Spywareeinträge gefunden und isoliert (Seitdem scheint mein Explorer wieder zu laufen.):
- Quicklink Search Toolbar
- Quicklink Search Toolbar 1
- Gamespy
- Alexa Bar b

sowie
- Secdrop
- Downloader Ruin
(die ich aber schon vorher mal erwähnt hab)

auch der neue HiJackThis log meldet:

Logfile of HijackThis v1.99.1
Scan saved at 14:28:52, on 02.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\acs.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Agnitum\Outpost Firewall\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\JS Pager\JSPager.exe
C:\Programme\Virtual CD v6\System\VC6Tray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\explorer.exe
L:\Johanna\Eikaramba\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programme\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [jbsvj.exe] C:\WINNT\system32\jbsvj.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Startup: JS Pager Virtual Desktop.lnk = C:\Programme\JS Pager\JSPager.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - Trusted Zone: http://www.bluelashes.net
O15 - Trusted Zone: http://www.contagiouz.org
O15 - Trusted Zone: http://www.radioblogclub.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINNT\system32\acs.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe


==> O4 - HKLM\..\Run: [jbsvj.exe] C:\WINNT\system32\jbsvj.exe

Sabina 03.03.2006 00:35

fixe mit dem HijackThis:

O4 - HKLM\..\Run: [jbsvj.exe] C:\WINNT\system32\jbsvj.exe

loesche mit der Killbox:
C:\WINNT\system32\jbsvj.exe
C:\WINNT\system32\csvyk.exe

Tiya 03.03.2006 17:10

gut... hab das jetzt auch...
danke nochmal... :))
und ich hab noch ne frage...
ich hatte quicktime eigentlich schon vor mehreren wochen deinstalliert...
in dem hijackthis-log wird das aber immernoch angezeigt...
reicht es wenn ich es fixe oder muss ich noch was anderes löschen um es vollständig loszuwerden?

Sabina 04.03.2006 15:38

1.
mit HijackThis fixen:
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

2.
C:\Programme\QuickTime\qttask.exe --> ist aktiv, du musst es im Taskmanager deaktiveren und dann solltest du es deinstallieren koennen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:37 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58