Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   antivir+zoneallarm nach install. weg (https://www.trojaner-board.de/48281-antivir-zoneallarm-install-weg.html)

klappi24 15.01.2008 19:54
antivir+zoneallarm nach install. weg
 
hallole.

bei meinem freund ist auf dem pc so einiges los. bzw. nicht mehr.:crazy:

hoffe ihr könnt uns helfen. :daumenhoc

er hat das programm mp3 cutter installieren wollen. doppelklick. danach plötzlich antivir , zonealarm einfach weg. werden nicht mehr gefunden.
auch die internetverbindung war sofort weg. :eek:

tune up bleibt sofort nach scanstart hängen.:heulen:

wäre klasse wenn ihr ihm/uns weiterhelfen könntet. schaut es euch mal kurz an.

hier das log :

Logfile of HijackThis v1.99.1
Scan saved at 19:31:07, on 15.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mr. Brown\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe (file missing)

danke grüßle zusammen :party:

KarlKarl 15.01.2008 21:00
Hi,

wo hat er denn dieses Programm her?

Blacklight scannen lassen
  • Lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
  • Starte in diesem Ordner fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Der Bericht ist fsbl-XXX.log im Blacklight Verzeichnis, anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten. Den Inhalt dieser Datei bitte posten.

Gruß, Karl

klappi24 15.01.2008 21:35
programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus 15.01.2008 21:38
Auch hier will ich die Quelle des angeblichen mp3 cutter lieber nicht wissen. Wahrscheinlich war ein "esel" am Werk :teufel2: aber sieht sehr nach rootkit aus:

Zitat:
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
Also Platte flachmachen und Windows neu rauf.:kloppen:

klappi24 15.01.2008 21:46
programm aus netz geladen.

sorry dauert immer. müssen von einem haus zum nächsten rennen. von pc zu pc :-) hier das log .

01/15/08 21:15:05 [Info]: BlackLight Engine 1.0.67 initialized
01/15/08 21:15:05 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/15/08 21:15:06 [Note]: 7019 4
01/15/08 21:15:06 [Note]: 7005 0
01/15/08 21:16:14 [Note]: 7006 0
01/15/08 21:16:14 [Note]: 7011 1644
01/15/08 21:16:18 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7026 0
01/15/08 21:16:21 [Note]: 7024 3
01/15/08 21:16:21 [Info]: Hidden process: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:16:25 [Note]: FSRAW library version 1.7.1024
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\empty.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\filters.xml
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\news.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\paint.png
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\profiles\blank.txt
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample1.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Info]: Hidden file: c:\Programme\Movie Maker\shared\sample2.jpg
01/15/08 21:17:51 [Note]: 10002 3
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:17:51 [Note]: 10002 2
01/15/08 21:18:05 [Info]: Hidden file: c:\Programme\Skype\Toolbars\Shared\SPhoneParser.dll
01/15/08 21:18:05 [Note]: 10002 3
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:18:05 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:07 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: C:\WINDOWS\system32\drivers\hldrrr.exe
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:23:40 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/15/08 21:23:40 [Note]: 10002 2
01/15/08 21:25:00 [Note]: 2000 1012
01/15/08 21:26:28 [Note]: 7007 0

cosinus 15.01.2008 21:48
Zitat:
programm aus netz geladen.
Quelle: Internet. Da wär ich jetzt nicht drauf gekommen. :lach:

klappi24 15.01.2008 21:49
boaa nee . scheiße.

andere möglichkeiten ?

optionen ????????????????

grüßle und anke für die schnelle Antwort

cosinus 15.01.2008 21:51
Nee iss schon klar. Weils so viele andere Möglichkeiten außer Flach- und Neumachen gibt, hab ich sie ja auch in unsichtbaren Bits geschrieben. :juul:
Übrigens ich glaub deine Tastatur ist auch defekt, da scheinen die shift und ? Taste zu klemmen.

KarlKarl 15.01.2008 23:31
Bagle: Neinstallieren sehr dirngend empfohlen. Die schädlichen Dateien lassen sich zwar entfernen, die sehr schwerewiegenden Schäden, die sie am System hinterlassen haben, aber eher nicht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131