Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   popups - ihr wisst schon... (https://www.trojaner-board.de/29808-popups-wisst-schon.html)

lady_m 07.06.2006 17:48
popups - ihr wisst schon...
 
Logfile of HijackThis v1.99.1
Scan saved at 18:39:40, on 07.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Dokumente und Einstellungen\***\Eigene Dateien\***\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Pinnacle\Shared Files\remoterm.exe
C:\WINDOWS\system32\SerExt.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lexpps.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8000
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\ATI-CPanel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] C:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] C:\\newname25.exe
O4 - HKLM\..\Run: [w0034816.dll] RUNDLL32.EXE w0034816.dll,I2 0013a39b00034816
O4 - HKLM\..\Run: [defender] C:\\defender25.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW5uYUVpY2hlbmF1ZXI\command.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MySql - Unknown owner - C:/Dokumente und Einstellungen/AnnaEichenauer/Eigene Dateien/Pages/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe

Anmerkung:
1.Mein IE ist eigentlich deinstalliert und ich benutze FireFox
2.wscntfy.exe schaltet sich von selbst wieder ein
3. C:\\newname25.exe, C:\\keyboard25.exe, C:\\defender25.exe sind eigentlich von mir gelöscht!? Das heißt: Die Dateien befinden sich dort gar nicht.
-----<edit>
Achso, die standen noch in der registry, egal: jetzt sind sie raus! ^^
-----</edit>
4. Nachdem ich selbst ein wenig "Reinigung" betrieben habe, sind die Pop-Ups relativ selten geworden, aber noch vorhanden. Es nervt mich vor allem, wenn ich nicht online bin und was Spiele: Dann ruft er mich manchmal alle paar minuten auf den desktop zurück (ohne pop-up). Die pop-ups kommen in unregelmäßigen zeitabständen. Gestern konnte ich bestimmt zwei stunden ohne unterbrechung spielen, heute unterbricht er mich alle 5 minuten .:schrei: :kloppen:

Also: Danke, an alle die mir zu helfen versuchen.
Wäre nett, wenn ihr mir was anderes empfehlen könntest als "System-Neuaufsetzen". Das ist natürlich immer das wirkungsvollste, aber momentan wärs mich echt lieber, ich hab wenigstens meine ruhe. ;)

Sunny 07.06.2006 19:29
Zitat:
Zitat von lady_m
popups - ihr wisst schon...
Wenn es doch nur die Pop-Ups wären!
Nein, viel schlimmer, nämlich der hier --> Troj/Bdoor-IK

Leider kann man in diesem Fall keinerlei Bereinigungen durchführen! Es wäre mehr als sinn- und zwecklos! Du musst dein System neu aufsetzen, eine Anleitung mit anschliessender Absicherung ist in meiner Signatur verlinkt.
(dort steht auch was Backdoor Trojaner so alles können :daumenhoc )

Sorry,
Daniel

lady_m 07.06.2006 23:38
jo,
und woran hast du das erkannt?

lady_m 07.06.2006 23:42
ach so, an dem svchost, oder was?
das kam mir nämlich in dieser vielzahl auch verdammt verdächtig vor.
danke auf jedenfall. ^^
kann man nix machen.
na ja, tut der kiste bestimmt auch mal ganz gut :)

Yopie 07.06.2006 23:53
Zitat:
O20 - AppInit_DLLs: C:\WINDOWS\system32\svchost.dll
dürfte der entsprechende Eintrag sein.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131