Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   popups - ihr wisst schon... (https://www.trojaner-board.de/29808-popups-wisst-schon.html)

lady_m 07.06.2006 17:48
popups - ihr wisst schon...
 
Logfile of HijackThis v1.99.1
Scan saved at 18:39:40, on 07.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\***\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\WINDOWS\system32\SerExt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8000
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] C:\\newname25.exe
O4 - HKLM\..\Run: [w0034816.dll] RUNDLL32.EXE w0034816.dll,I2 0013a39b00034816
O4 - HKLM\..\Run: [defender] C:\\defender25.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW5uYUVpY2hlbmF1ZXI\command.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/Dokumente und Einstellungen/AnnaEichenauer/Eigene Dateien/Pages/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Anmerkung:
1.Mein IE ist eigentlich deinstalliert und ich benutze FireFox
2.wscntfy.exe schaltet sich von selbst wieder ein
3. C:\\newname25.exe, C:\\keyboard25.exe, C:\\defender25.exe sind eigentlich von mir gelöscht!? Das heißt: Die Dateien befinden sich dort gar nicht.
-----<edit>
Achso, die standen noch in der registry, egal: jetzt sind sie raus! ^^
-----</edit>
4. Nachdem ich selbst ein wenig "Reinigung" betrieben habe, sind die Pop-Ups relativ selten geworden, aber noch vorhanden. Es nervt mich vor allem, wenn ich nicht online bin und was Spiele: Dann ruft er mich manchmal alle paar minuten auf den desktop zurück (ohne pop-up). Die pop-ups kommen in unregelmäßigen zeitabständen. Gestern konnte ich bestimmt zwei stunden ohne unterbrechung spielen, heute unterbricht er mich alle 5 minuten .:schrei: :kloppen:

Also: Danke, an alle die mir zu helfen versuchen.
Wäre nett, wenn ihr mir was anderes empfehlen könntest als "System-Neuaufsetzen". Das ist natürlich immer das wirkungsvollste, aber momentan wärs mich echt lieber, ich hab wenigstens meine ruhe. ;)

Sunny 07.06.2006 19:29
Zitat:
Zitat von lady_m
popups - ihr wisst schon...
Wenn es doch nur die Pop-Ups wären!
Nein, viel schlimmer, nämlich der hier --> Troj/Bdoor-IK

Leider kann man in diesem Fall keinerlei Bereinigungen durchführen! Es wäre mehr als sinn- und zwecklos! Du musst dein System neu aufsetzen, eine Anleitung mit anschliessender Absicherung ist in meiner Signatur verlinkt.
(dort steht auch was Backdoor Trojaner so alles können :daumenhoc )

Sorry,
Daniel

lady_m 07.06.2006 23:38
jo,
und woran hast du das erkannt?

lady_m 07.06.2006 23:42
ach so, an dem svchost, oder was?
das kam mir nämlich in dieser vielzahl auch verdammt verdächtig vor.
danke auf jedenfall. ^^
kann man nix machen.
na ja, tut der kiste bestimmt auch mal ganz gut :)

Yopie 07.06.2006 23:53
Zitat:
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
dürfte der entsprechende Eintrag sein.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129