Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE Hijack und Rhino?? HIIILFE BITTE!!! (https://www.trojaner-board.de/29133-ie-hijack-rhino-hiiilfe-bitte.html)

Wildone 10.05.2006 19:05
Hallo,
dann hat es sich wahrscheinlich erledigt. Hast du vielleicht gestern das Windowsupdate oder ähnliches um 17:11 durchgeführt?


Grüße Wildone

naldo 10.05.2006 19:07
Ja das kann sein...


Ich kann die Dateien nicht löschen mit Killbox.

Vlt habe ich auch einfach keine Ahnung davon...Aber irgendwie klappt das nicht bei mir...


Oder muss ich um die Files zu löschen in den abgesicherten Modus??

Wildone 10.05.2006 19:10
Hallo,
Zitat:
Aber irgendwie klappt das nicht bei mir...
Präzisiere das bitte! Gibt es eine Fehlermeldung von killbox? Wenn ja bei welcher Datei? Oder kommst du einfach mit dem Programm nicht klar?
Das rebooten bejast du übrigens erst bei der letzten Datei, wenn es dann nicht klappt leitest du selbst einen Neustart ein.


Grüße Wildone

naldo 10.05.2006 19:14
Zitat:
Zitat von Wildone
Hallo,

Präzisiere das bitte! Gibt es eine Fehlermeldung von killbox? Wenn ja bei welcher Datei? Oder kommst du einfach mit dem Programm nicht klar?
Das rebooten bejast du übrigens erst bei der letzten Datei, wenn es dann nicht klappt leitest du selbst einen Neustart ein.


Grüße Wildone
Na ich öffne das erste Files von denen die du mir genannt hast, dann klicke ich auf den X Button. Delete Files bekomm ne Bestätigung, dass das File gelöscht wurde, aber es ist immernoch da...?

Wildone 10.05.2006 19:20
Hallo,
ich kann das gerade nicht nachprüfen weil ich mit Ubuntu unterwegs bin, aber es sollte auch die Option "delete on reboot" geben, diese solltest du für jede Datei anwählen, und bei der letzten die Nachfrage ob jetzt rebootet werden soll bejaen.


Grüße Wildone

naldo 10.05.2006 19:28
Okay danke habe jetzt die Files gelöscht. Hoffe es hat geklappt...

Muss ich jetzt noch etwas machen?

Wildone 10.05.2006 19:32
Hallo,
poste mal zur Kontrolle noch ein neues hijackThis logfile.


Grüße Wildone

naldo 10.05.2006 19:34
Ich habe jetzt seit dem Neustart auf jedenfall keine Pop Up Virenmeldungen mehr bekommen, jedoch kann ich in den Einstellungen des Internet Explorers nicht ändern, sprich es springt immer wieder auf auto:blank.


Logfile of HijackThis v1.99.1
Scan saved at 20:33:02, on 10.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jan-Henrik\Desktop\HiJack\HijackThis.exe

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hpCE5C.tmp
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: F-Secure 2006.lnk = C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146576914628
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE

naldo 10.05.2006 19:38
Anscheinend ist der Virus jetzt in der hpCE5C Datei...:heulen:


Complete scanning result of "hpCE5C.tmp", received in VirusTotal at 05.10.2006, 20:30:36 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.27 05.10.2006 TR/Zlob.K.2
Avast 4.6.695.0 05.10.2006 no virus found
AVG 386 05.10.2006 no virus found
BitDefender 7.2 05.10.2006 no virus found
CAT-QuickHeal 8.00 05.09.2006 no virus found
ClamAV devel-20060426 05.10.2006 Trojan.Downloader.Zlob-436
DrWeb 4.33 05.10.2006 no virus found
eTrust-InoculateIT 23.72.4 05.10.2006 no virus found
eTrust-Vet 12.4.2203 05.10.2006 no virus found
Ewido 3.5 05.10.2006 no virus found
Fortinet 2.76.0.0 05.10.2006 no virus found
F-Prot 3.16c 05.09.2006 no virus found
Ikarus 0.2.65.0 05.10.2006 no virus found
Kaspersky 4.0.2.24 05.10.2006 Trojan-Downloader.Win32.Zlob.ny
McAfee 4759 05.10.2006 no virus found
Microsoft 1.1372 05.10.2006 no virus found
NOD32v2 1.1529 05.10.2006 no virus found
Norman 5.90.17 05.10.2006 no virus found
Panda 9.0.0.4 05.10.2006 no virus found
Sophos 4.05.0 05.10.2006 no virus found
Symantec 8.0 05.10.2006 Trojan.Zlob
TheHacker 5.9.7.141 05.10.2006 no virus found
UNA 1.83 05.10.2006 no virus found
VBA32 3.11.0 05.10.2006 no virus found

Wildone 10.05.2006 19:41
Hallo,
*grrr*
poste nochmal das aktuelle System32 Logfile der Datfind.bat.


Grüße Wildone

naldo 10.05.2006 19:42
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2CAA-C5B8

Verzeichnis von C:\WINDOWS\system32

10.05.2006 20:35 52 stdole3.tlb
10.05.2006 20:23 6.144 simpole.tlb
10.05.2006 20:23 2.422 wpa.dbl
10.05.2006 13:18 48.640 dcomcfg.exe
09.05.2006 17:11 176.167 rmoc3260.dll
09.05.2006 17:11 5.632 pndx5032.dll
09.05.2006 17:11 6.656 pndx5016.dll
09.05.2006 17:11 278.528 pncrt.dll
08.05.2006 17:08 110.192 FNTCACHE.DAT
07.05.2006 22:36 16.832 amcompat.tlb
07.05.2006 22:36 23.392 nscompat.tlb
04.05.2006 06:30 380.486 perfh009.dat
04.05.2006 06:30 391.330 perfh007.dat
04.05.2006 06:30 52.900 perfc009.dat
04.05.2006 06:30 63.778 perfc007.dat
04.05.2006 06:30 897.954 PerfStringBackup.INI
04.05.2006 06:26 5.818.784 MRT.exe
02.05.2006 20:23 7.006 jupdate-1.5.0_06-b05.log
02.05.2006 18:07 1.155.072 winsflt.dll
02.05.2006 17:23 90 spupdwxp.log
02.05.2006 15:34 2.400 wpa.bak
02.05.2006 13:04 0 h323log.txt
02.05.2006 12:13 25.065 wmpscheme.xml
02.05.2006 12:10 261 $winnt$.inf
02.05.2006 12:08 2.951 CONFIG.NT
02.05.2006 12:08 488 WindowsLogon.manifest
02.05.2006 12:08 488 logonui.exe.manifest
02.05.2006 12:07 749 ncpa.cpl.manifest
02.05.2006 12:07 749 sapi.cpl.manifest
02.05.2006 12:07 749 cdplayer.exe.manifest
02.05.2006 12:07 749 wuaucpl.cpl.manifest
02.05.2006 12:07 749 nwc.cpl.manifest
02.05.2006 12:06 21.740 emptyregdb.dat

Wildone 10.05.2006 19:49
Hallo,
achte darauf dieses mal alle Dateien zu löschen, sonst stellt sich das Prachtexemplar wieder selbst her (alle System32 Ordner):
stdole3.tlb
simpole.tlb
dcomcfg.exe
die hp**.tmp hast du schon gelöscht? Wenn nicht, die auch noch löschen.



Grüße Wildone

naldo 10.05.2006 19:54
Jo ich denke jetzt habe ich es hinbekommen...die aktuelle Liste

10.05.2006 20:52 2.422 wpa.dbl
09.05.2006 17:11 176.167 rmoc3260.dll
09.05.2006 17:11 5.632 pndx5032.dll
09.05.2006 17:11 6.656 pndx5016.dll
09.05.2006 17:11 278.528 pncrt.dll
08.05.2006 17:08 110.192 FNTCACHE.DAT
07.05.2006 22:36 16.832 amcompat.tlb
07.05.2006 22:36 23.392 nscompat.tlb
04.05.2006 06:30 380.486 perfh009.dat
04.05.2006 06:30 52.900 perfc009.dat
04.05.2006 06:30 391.330 perfh007.dat
04.05.2006 06:30 63.778 perfc007.dat
04.05.2006 06:30 897.954 PerfStringBackup.INI
04.05.2006 06:26 5.818.784 MRT.exe
02.05.2006 20:23 7.006 jupdate-1.5.0_06-b05.log
02.05.2006 18:07 1.155.072 winsflt.dll
02.05.2006 17:23 90 spupdwxp.log
02.05.2006 15:34 2.400 wpa.bak
02.05.2006 13:04 0 h323log.txt
02.05.2006 12:13 25.065 wmpscheme.xml
02.05.2006 12:10 261 $winnt$.inf
02.05.2006 12:08 2.951 CONFIG.NT
02.05.2006 12:08 488 WindowsLogon.manifest
02.05.2006 12:08 488 logonui.exe.manifest
02.05.2006 12:07 749 cdplayer.exe.manifest
02.05.2006 12:07 749 nwc.cpl.manifest
02.05.2006 12:07 749 wuaucpl.cpl.manifest
02.05.2006 12:07 749 ncpa.cpl.manifest
02.05.2006 12:07 749 sapi.cpl.manifest
02.05.2006 12:06 21.740 emptyregdb.dat

Wildone 10.05.2006 20:03
Hallo,
sieht jetzt sauber aus. Achte darauf in Zukunft keine Software von unseriösen Quellen mehr auszuführen.


Grüße Wildone

naldo 10.05.2006 20:07
Vielen Dank für die Geduld und die tollen Tipps.

Du bist der Beste :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:35 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131