Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bin am VERZWEIFELN !!! (https://www.trojaner-board.de/32098-verzweifeln.html)

Saib 10.09.2006 08:04
Bin am VERZWEIFELN !!!
 
Hallo zusammen,
auch mich hat es mit irgendwie nem Sch**ß erwischt. Ständig öffnet sich der IE mit Werbung und bei Mozilla sieht das nicht anders aus. Kann mir jemand helfen???
Dank schon mal im voraus.....Mfg

Mein System: XP mit Sp2
Und das Log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Mozilla\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\eigene Dateien\software\AntiViren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MS_OFF~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MS_OFF~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152337131078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152337124109
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\gplql3351.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL - Unknown owner - D:\Programme\MySql\bin\mysqld-nt".exe (file missing)
O23 - Service: NILM License manager - Macrovision Corporation - D:\Programme\Diadem\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe

PeterPan 10.09.2006 08:12
Guten Morgen,
bei dir fehlt noch der Kopf vom HJT-Logfile.
PP

Saib 10.09.2006 08:17
Guten Morgen PeterPan.....
dachte nicht das der wichtig ist.Ich arbeite zum ersten mal mit HJT..
hier der Kopf:

Logfile of HijackThis v1.99.1
Scan saved at 09:15:26, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

The Saint 10.09.2006 08:23
C:\WINDOWS\system32\gplql3351.dll bei JOTTI überprüfen lassen und das Ergebniss hier posten.

Sieht nach LOOK2Me Malware aus.

Saib 10.09.2006 08:33
Hi..
solch eine Datei existiert nicht.Nicht im System32 Ordner und bei einer Suche findet er die Datei auch nirgends.
Dieses Look2Me hatte ad-aware auch schon mal gefunden und angeblich beseitigt,kann also gut sein das es damit zusammenhängt.

The Saint 10.09.2006 08:41
Zitat:
Zitat von Saib
Hi..
solch eine Datei existiert nicht.Nicht im System32 Ordner und bei einer Suche findet er die Datei auch nirgends.
Dieses Look2Me hatte ad-aware auch schon mal gefunden und angeblich beseitigt,kann also gut sein das es damit zusammenhängt.
Windows Explorer/ Extras/ Ordneroptionen/ Ansicht/

Hier bei "Geschützte Systemdateien ausblenden" den Hacken entfernen und bei der Option "Versteckte Dateien und Ordner" darunter "alle Dateien und Ordner anzeigen" markieren. Mit ok bestätigen!

Danach die C:\WINDOWS\system32\gplql3351.dll nochmals suchen.

Saib 10.09.2006 08:50
Nichts zu machen die ist einfach nicht da. Kann es sein das antivir, ad-aware oder sonst etwas diese Datei gelöscht hat?Bringt ein Neustart evt etwas?

PeterPan 10.09.2006 09:01
@Saib,
die O20 kennzeichnet im HJT-LogFile einen Registry-Eintrag.

Zitat:
O20 - AppInit_DLLs-Autostarteinträge in der Registry

Beispieleinträge:
O20 - AppInit_DLLs: msconfd.dll
Was zu unternehmen ist:
Dieser Registry-Wert, zu finden unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows,
lädt bei der Benutzer-Anmeldung eine DLL in den Speicher, die auch nach der Abmeldung dort verbleibt. Nur sehr wenige Programme nutzen diese Vorgehensweise auf legale Art (z. B. Norton CleanSweep benutzt die APITRAP.DLL). Wesentlich öfter wird diese Vorgehensweise jedoch von einem Trojaner oder einem agressiven Browser-Hijacker verwandt.

Falls eine 'verborgene' DLL durch diesen Registry-Wert (nur sichtbar, wenn im Registrierungs-Editor unter Ansicht die Option 'Binärdaten anzeigen' verwendet wird) geladen wird, kann dem dll-Namen das Zeichen '|' vorangestellt sein, um diesen Eintrag im Log sichtbar zu machen.
Die Datei könnte schon gelöscht sein.

Zitat:
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
Diese Datei solltest du einmal bei Jotti prüfen lassen und hier posten.
PP

nochdigger 10.09.2006 09:31
mOIn auch

@PP google sagt das hxds.dll zu Windows gehöhrt ;)

MFG

PeterPan 10.09.2006 09:35
@Saib,
laß dich bitte nicht abhalten.
PP

Saib 10.09.2006 14:25
Ich habe mal wieder ad-aware durchlaufen lassen und der hat mir folgendes rausgeworfen:

Adware.Look2Me Object Recognized!
Type : Process
Data : ieput.dll
TAC Rating : 7
Category : Adware
Comment : iieshare.dll.dmp
Object : C:\WINDOWS\system32\

und

Adware.Look2Me Object Recognized!
Type : Process
Data : hr4605hse.dll
TAC Rating : 7
Category : Adware
Comment : iieshare.dll.dmp
Object : C:\WINDOWS\system32\

@peterpan
das mit jotti mach ich gleich

The Saint 10.09.2006 15:17
fixe mit hijackthis
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\gplql3351.dll<--- kann varieren

fix button klicken.

PC neustarten

Lade dir l2mfix
herunter und arbeite die option 2 ab.

poste danach ein neues hijackthis logfile

Saib 10.09.2006 15:56
:aplaus: Das wars der Rechner läuft!

Hier noch mal(ich hoffe ein letztes) das Log-file:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:32, on 10.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\Mozilla\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
D:\eigene Dateien\software\AntiViren\hijackthis\HijackThis.exe
C:\WINDOWS\SoftwareDistribution\Download\34386b12819d398f193a0d84c3548076\update\update.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MS_OFF~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MS_OFF~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152337131078
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152337124109
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: MySQL - Unknown owner - D:\Programme\MySql\bin\mysqld-nt".exe (file missing)
O23 - Service: NILM License manager - Macrovision Corporation - D:\Programme\Diadem\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol120\Alcohol 120\StarWind\StarWindService.exe


:daumenhoc Vielen Dank an alle die mit Rat und Tat bei meinem Problem geholfen haben!
Mfg

The Saint 10.09.2006 16:00
Dein logfile ist jetzt unauffällig!

Zur Sicherheit scanne noch mit escan dein System.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131