Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   antivir+zoneallarm nach install. weg (https://www.trojaner-board.de/48281-antivir-zoneallarm-install-weg.html)

klappi24 15.01.2008 19:54
antivir+zoneallarm nach install. weg
 
hallole.

bei meinem freund ist auf dem pc so einiges los. bzw. nicht mehr.:crazy:

hoffe ihr könnt uns helfen. :daumenhoc

er hat das programm mp3 cutter installieren wollen. doppelklick. danach plötzlich antivir , zonealarm einfach weg. werden nicht mehr gefunden.
auch die internetverbindung war sofort weg. :eek:

tune up bleibt sofort nach scanstart hängen.:heulen:

wäre klasse wenn ihr ihm/uns weiterhelfen könntet. schaut es euch mal kurz an.

hier das log :

Logfile of HijackThis v1.99.1
Scan saved at 19:31:07, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mr. Brown\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

danke grüßle zusammen :party:

KarlKarl 15.01.2008 21:00
Hi,

wo hat er denn dieses Programm her?

Blacklight scannen lassen
  • Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl

klappi24 15.01.2008 21:35
programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus 15.01.2008 21:38
Auch hier will ich die Quelle des angeblichen mp3 cutter lieber nicht wissen. Wahrscheinlich war ein "esel" am Werk :teufel2: aber sieht sehr nach rootkit aus:

Zitat:
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
Also Platte flachmachen und Windows neu rauf.:kloppen:

klappi24 15.01.2008 21:46
programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus 15.01.2008 21:48
Zitat:
programm aus netz geladen.
Quelle: Internet. Da wär ich jetzt nicht drauf gekommen. :lach:

klappi24 15.01.2008 21:49
boaa nee . scheiße.

andere möglichkeiten ?

optionen ????????????????

grüßle und anke für die schnelle Antwort

cosinus 15.01.2008 21:51
Nee iss schon klar. Weils so viele andere Möglichkeiten außer Flach- und Neumachen gibt, hab ich sie ja auch in unsichtbaren Bits geschrieben. :juul:
Übrigens ich glaub deine Tastatur ist auch defekt, da scheinen die shift und ? Taste zu klemmen.

KarlKarl 15.01.2008 23:31
Bagle: Neinstallieren sehr dirngend empfohlen. Die schädlichen Dateien lassen sich zwar entfernen, die sehr schwerewiegenden Schäden, die sie am System hinterlassen haben, aber eher nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129