Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Habe hier 1 oder mehrere Trojaner (https://www.trojaner-board.de/29655-habe-1-mehrere-trojaner.html)

Chris4 02.06.2006 16:54
Habe hier 1 oder mehrere Trojaner
 
Logfile of HijackThis v1.99.1
Scan saved at 17:50:48, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
P:\PROGRAMME\TUNEUP UTILITIES 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Admin***\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\defender.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - P:\PROGRAMME\TUNEUP UTILITIES 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Der hat hier ua ne Fehlermeldung in:
C:\WINDOWS\system32\atmclk.exe
Trojanisches Pferd: TR/Dldr.ATMC.A


Ich habe auch schon bei http://www.hijackthis.de/ den log auslesen lassen und 2 dateien probiert zu löschen, geht aber nicht und es kommt ne Fehlermeldung das ein Programm darauf zugreift...
Bitte um Hilfe!
Danke

cosinus 02.06.2006 16:59
Die Datei deutet auf den Smitfraud hin. Arbeite mal das hier ab. Bitte genau lesen und poste die von den Tools erstellten Logfiles.

myrtille 02.06.2006 17:32
Zitat:
Zitat von Chris4
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
...
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
...
C:\WINDOWS\system32\svchost.exe
...
C:\WINDOWS\System32\svchost.exe
Ist das nicht auch ein Svchost zuviel? Ich dachte es sollten maximal 6 sein!?
Neugierige Grüße
myrtille

Chris4 02.06.2006 20:03
Hier kommst zunächst mal das HijackThis File:

Logfile of HijackThis v1.99.1
Scan saved at 21:03:02, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
P:\PROGRAMME\TUNEUP UTILITIES 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Admin Christian\Desktop\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [T-Online Dialerschutz-Software] "C:\Programme\T-Online\Dialerschutz-Software\Defender.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - P:\PROGRAMME\TUNEUP UTILITIES 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cosinus 02.06.2006 20:06
Ähem...hast Du das "falsche" eScan benutzt? Du solltest eigentlich den MWAV nehmen (wie in der Anleitung beschrieben)....

Chris4 02.06.2006 20:08
hier der smitRem log file


smitRem © log file
version 2.9

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Admin***\Desktop\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~

Security Troubleshooting.url


~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

regperf.exe
simpole.tlb
stdole3.tlb
dcomcfg.exe
amcompat.tlb
nscompat.tlb
1024 dir
ld****.tmp
hp***.tmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 700 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)

Chris4 02.06.2006 20:11
falsch?
habs so gemacht wie inner anleitung

cosinus 02.06.2006 20:17
Diesen hier solltest Du benutzen. Entpack diese Datei (mwav.exe) nach c:\bases_x\
Alles weitere in der eScan-Anleitung.

Chris4 02.06.2006 22:47
Hey
Ich hab jetzt hier die richtige Log Datei aber die is so lang das das megga lange dauert die hochzuladen....

cosinus 02.06.2006 22:48
Deswegen Anleitung durchlesen. :headbang:

Chris4 02.06.2006 22:52
hab ich :kloppen:

was muss ich denn machen? :crazy:

Chris4 02.06.2006 23:02
außerdem ich habe ja geändert das die Systemwiederherstellung deaktiviert wurde...wie mach ich das wieder rückgängig? weil wenn ich rechte Maustaste aus Arbeitsplatz mache steht da die Option nicht mher...

cosinus 02.06.2006 23:04
- MWAV.EXE nach C:\bases_X entpacken
- Die Datei c:\bases_x\mwavscan.com starten (englische Sprache)
- auf den Button Update klicken
- Systempartition, Registry, services auswählen und unten ALLE Dateien
- nach dem Scan FIND.BAT starten

Chris4 02.06.2006 23:07
Zitat:
Zitat von cosinus
- nach dem Scan FIND.BAT starten
das find ich nicht..soll das im Ordner bases_x sein?

cosinus 02.06.2006 23:18
Wenn du dir mal die Mühe machen würdest die verlinkten Anleitungen komplett und bist zum Ende durchzulesen, würdest du feststellen, dass diese Frage überflüssig ist.

Chris4 02.06.2006 23:22
ja schön aber du wirst es doch bestimmt wissen und da ich sowas nicht weiß und da es KEINE überflüssigen Fragen gibt, kannst du mir ja die Lösung sagen...ich bin ja schlißelich hier um mein Problem zu lösen und nicht wie durchblick ich verlinkte links....

Yopie 02.06.2006 23:26
Die Anleitung wurde geschrieben, um gelesen zu werden! Von Leuten wie Dir!

Wenn dir das zuviel Arbeit ist, wende dich an den Computerhändler deines Vertrauens und zahle dort entsprechend für die Leistung!

Gruß
Yopie

Sunny 02.06.2006 23:27
Zitat:
Zitat von Chris4
da ich sowas nicht weiß und da es KEINE überflüssigen Fragen gibt, kannst du mir ja die Lösung sagen...
Damit will er dich darauf aufmerksam machen, das du generell deine Surfgewohnheiten überdenken sollst! ERST LESEN, DANN KLICKEN (schreiben!)!!!

Gruß
Daniel

@Cosinus: Nabend :party:

Chris4 02.06.2006 23:27
scön aber könnt ihr mir jetzt ne antwort geben...anstatt das ich sinnlose kommentare schreibt hättet ihr schon längst die antwort tippen können :headbang:

Sunny 02.06.2006 23:30
Du verstehst das Prinzip dabei nicht und bist auch noch LERNRESISTENT!

@all SCNR , Sorry :heilig:

Chris4 02.06.2006 23:33
ja WO steht das denn?

Yopie 02.06.2006 23:35
2. Möglichkeit: Wenn du unsicher bist, dann solltest du einen neuen Thread eröffnen und uns die 'Virus Log Information' [5] zur Verfügung stellen, damit wir dein System analysieren können.

-------------------
[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.

Gruß
Yopie

Chris4 02.06.2006 23:36
wie AKTIVIRE ich denn die SYSTEMWIEDERHERSTELLUNG wieder?
bei mir gibt es da keine Option für...
am besten ist es wenn ihr mir erstmal wieder verlinkte links schickt damit ich eurer System kapier :huepp:

Chris4 02.06.2006 23:38
Zitat:
Zitat von Yopie
2. Möglichkeit: Wenn du unsicher bist, dann solltest du einen neuen Thread eröffnen und uns die 'Virus Log Information' [5] zur Verfügung stellen, damit wir dein System analysieren können.

-------------------
[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.

Gruß
Yopie
wo und wie finde ich die Virus Log Information'
und wo und wie finde ich die FIND.zip !??!?!?!?

Yopie 02.06.2006 23:38
Bitte nicht mehr füttern!

Gruß :daumenhoc
Yopie

Chris4 02.06.2006 23:43
ich mach dann mal neuen thread auf...

cosinus 02.06.2006 23:50
Und ich schreib DFTT rein! :koch:

Chris4 02.06.2006 23:51
wenn mir das weiterhilft..

cosinus 02.06.2006 23:54
Was DU machst ist nicht nur link, das ist ne Oberfrechheit...
Ab in die Mülltonne damit! :koch:

Chris4 02.06.2006 23:55
wollt ihr mir helfen?
waäre schon cool


hier die LogDatei:

Hier ihr meisters die find logdatei:



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Jun 02 22:34:59 2006 => Scanning File E:\Eigene Dateien\Eigene Musik\Marilyn Manson\1999 IDLTD (But the Drugs Like Me) (Single)\04 IDLTD (Infected By the Scourge of the Earth).mp3
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Jun 02 22:27:57 2006 => File E:\Eigene Dateien\Downloads\***.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Fri Jun 02 22:31:21 2006 => File E:\Eigene Dateien\Downloads\***-setup.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Jun 02 22:35:49 2006 => File E:\Eigene Dateien\ICQ Lite\***\***\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 23:28:16 2006 => Total Errors: 20
Fri Jun 02 23:28:16 2006 => Time Elapsed: 01:46:21
Fri Jun 02 23:28:16 2006 => Total Objects Scanned: 100705
Fri Jun 02 21:27:01 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:28:28 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:29:07 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 21:35:39 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:28:16 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:35:57 2006 => Virus Database Date: 6/2/2006
Sat Jun 03 00:06:24 2006 => Virus Database Date: 6/2/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

cosinus 03.06.2006 00:00
Auf einmal gehts oder was? Verarschen kann ich mich auch alleine! :koch:

Chris4 03.06.2006 00:01
ja kannste machen, aber wird mir jetzt geholfen?
also die datei is doch jetzt da!??!?!?

cosinus 03.06.2006 00:03
DIR kann keiner mehr helfen!
Und nun ist Schluss!


DFTT

Chris4 03.06.2006 00:05
abba in der log steht doch das da was is....der kann doch jetzt nicht einfach so heile sein :kloppen:

Chris4 03.06.2006 00:22
ey, man kann das Trojaner Board ja richitg weiter empfehlen....man benötigt Hilfe aber keiner Hilf einem Super!
:lmaa:

Yopie 03.06.2006 00:27
Zitat:
Zitat von Chris4
ey, man kann das Trojaner Board ja richitg weiter empfehlen....man benötigt Hilfe aber keiner Hilf einem Super!
:lmaa:
Du kennst das Prinzip: Bullshit in -> Bullshit out.

Lösche diese Dateien:

Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url

Und gut is.

Gruß :daumenhoc
Yopie

cosinus 03.06.2006 00:30
Yopie ich lach mich nooch zu Tode wegen Dir!
Bei einem ähnlichen Vorfall kommt nicht mehr "DFTT" sondern:
Bullshit in -> Bullshit out.
Oder Kurz: BiBo :D

Chris4 03.06.2006 00:31
k hab ich.....
is jetzt alles i.O. ?!??!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Jun 02 22:34:59 2006 => Scanning File E:\Eigene Dateien\Eigene Musik\Marilyn Manson\1999 IDLTD (But the Drugs Like Me) (Single)\04 IDLTD (Infected By the Scourge of the Earth).mp3
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Jun 02 22:27:57 2006 => File E:\Eigene Dateien\Downloads\****.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Fri Jun 02 22:31:21 2006 => File E:\Eigene Dateien\Downloads\****.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Jun 02 22:35:49 2006 => File E:\Eigene Dateien\ICQ Lite\****\****\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 23:28:16 2006 => Total Errors: 20
Fri Jun 02 23:28:16 2006 => Time Elapsed: 01:46:21
Fri Jun 02 23:28:16 2006 => Total Objects Scanned: 100705
Fri Jun 02 21:27:01 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:28:28 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:29:07 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 21:35:39 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:28:16 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:35:57 2006 => Virus Database Date: 6/2/2006
Sat Jun 03 00:06:24 2006 => Virus Database Date: 6/2/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Yopie 03.06.2006 00:39
Zitat:
Zitat von Chris4
is jetzt alles i.O. ?!??!
Vermutlich. Jedenfalls waren das die Überreste, die noch angeprangert wurden. Ich kenn mich mit Malware allerdings nicht so gut aus.
Das alte Logfile der find.bat hättest du nicht mehr posten müssen... :balla:

Ach, lösch doch auch noch die MM-MP3, das ist doch eh Schrott. :lach:

Glückwunsch, BiBo der Woche.... :D
http://img188.imageshack.us/img188/6960/bibo8zt.gif

(Sorry, ist gemein, aber musste sein!)

Gruß :daumenhoc
Yopie

Chris4 03.06.2006 00:42
hab nochmal 'n scan gemacht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (online security guide.url)! Action taken: No Action Taken.
Fri Jun 02 21:38:05 2006 => System found infected with smitfraud Browser Hijacker (security troubleshooting.url)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Fri Jun 02 22:34:59 2006 => Scanning File E:\Eigene Dateien\Eigene Musik\Marilyn Manson\1999 IDLTD (But the Drugs Like Me) (Single)\04 IDLTD (Infected By the Scourge of the Earth).mp3
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
Fri Jun 02 21:38:05 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Jun 02 22:27:57 2006 => File E:\Eigene Dateien\Downloads\***.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Fri Jun 02 22:31:21 2006 => File E:\Eigene Dateien\Downloads\n***.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Jun 02 22:35:49 2006 => File E:\Eigene Dateien\ICQ Lite\***\***\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jun 02 23:28:16 2006 => Total Errors: 20
Fri Jun 02 23:28:16 2006 => Time Elapsed: 01:46:21
Fri Jun 02 23:28:16 2006 => Total Objects Scanned: 100705
Fri Jun 02 21:27:01 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:28:28 2006 => Virus Database Date: 5/29/2006
Fri Jun 02 21:29:07 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 21:35:39 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:28:16 2006 => Virus Database Date: 6/2/2006
Fri Jun 02 23:35:57 2006 => Virus Database Date: 6/2/2006
Sat Jun 03 00:06:24 2006 => Virus Database Date: 6/2/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Chris4 03.06.2006 00:44
Eins Noch!

Wie Aktivire Ich Wieder Die Systemwiederherstellung ?!?!?

Sunny 03.06.2006 00:44
lösche diese DATEIEN:

C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url

und dann is gut...http://www.smilies-world.de/smilies/...smilies/13.gif

ich kippe hier gleich aus meinem Sessel vor Lachen...http://www.smilies-world.de/smilies/...e/mega_lol.gif

Chris4 03.06.2006 00:45
Zitat:
Zitat von [Gc]Sunny
lösche diese DATEIEN:

C:\Dokumente und Einstellungen\All Users\Startmenü\online security guide.url
C:\Dokumente und Einstellungen\All Users\Startmenü\security troubleshooting.url

und dann is gut...

ich kippe hier gleich aus meinem Sessel vor Lachen...
die dateien giebt es nciht mher...die habe ich doch schon gelöscht....ab in papierkopr und dann papierkorg gelöscht....

Yopie 03.06.2006 00:48
Zitat:
Zitat von Chris4
hab nochmal 'n scan gemacht:
Möglich, aber dann solltest du vorher imho die alte mwav-log-Datei löschen. Und so ein Scan dauert auch länger als 2 Minuten, wenn er korrekt (nach Anleitung) ausgeführt wurde! Ist aber jetzt überflüssig.

Auch löschen (und nächstesmal nicht verfremden, ich habs gesehen!)
Fri Jun 02 22:27:57 2006 => File E:\Eigene Dateien\Downloads\***.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken.
Fri Jun 02 22:31:21 2006 => File E:\Eigene Dateien\Downloads\n***.exe tagged as "not-a-virus:AdWare.Win32.Lop.ag". Action Taken: No Action Taken.
Fri Jun 02 22:35:49 2006 => File E:\Eigene Dateien\ICQ Lite\***\***\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.

Zur Systemwiederherstellung (brauchst du nicht!) befrag bitte Tante Google!

Gruß :daumenhoc
Yopie

Sunny 03.06.2006 00:48
du hast doch ebend einen Scan gemacht, und da waren sie eindeutig noch da!!!
Oder war der auch nicht so aktuell? (also den Scan meine ich.. ;) )

Chris4 03.06.2006 00:50
Zitat:
Zitat von [Gc]Sunny
du hast doch ebend einen Scan gemacht, und da waren sie eindeutig noch da!!!
Oder war der auch nicht so aktuell? (also den Scan meine ich.. ;) )
ich habe gelöscht und dann nen scvan gemacht..und das ist das ergebnis....
siehe unten,........

cosinus 03.06.2006 00:50
Yopie der war gut und traf den richtigen! :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130