Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ich kann Trojaner nicht loswerden. (https://www.trojaner-board.de/69915-trojaner-loswerden.html)

j.krasen 12.02.2009 11:26
Ich kann Trojaner nicht loswerden.
 
hallo board,
ich bin neu hier, habe wenig ahnung und ein problem:
seit gestern schlägt bei jedem hochfahren mein avira antivir an: es geht um 4 objekte im system32. txsocom32.dll, frnscli32.dll. ich habe schon im abgesicherten modus gescannt, das problem war beim erneuten hochfahren wieder da. wer weiß rat?
gruß: j.krasen

coolrunning 12.02.2009 11:48
poste bitte ein hjk log nach dieser anleitung erst dann kann dir jemand helfen

http://www.trojaner-board.de/51130-a...ijackthis.html

erstelle und poste bitte nur ein log mache noch nichts anderes und poste allet teile des hjk logs lasse nichts weg !

edtiere das log so wie in dem theard beschrieben wird

j.krasen 12.02.2009 12:37
Ich kann Trojaner nicht loswerden
 
hier sind meine logfiles:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:36, on 12.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\REALTEK\USB Wireless LAN Utility\RtWLan.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Sicherheit\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = C:\Programme\REALTEK\USB Wireless LAN Utility\RtWLan.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kraple.local
O17 - HKLM\Software\..\Telephony: DomainName = kraple.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kraple.local
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)
O23 - Service: Network Provision Managing Service (xmlprovman) - Unknown owner - C:\WINDOWS\system32\provsvc.exe (file missing)

--
End of file - 8516 bytes

j.krasen 12.02.2009 12:39
hallo,
ich habe die hjk-log gepostet.
gruß: j.krasen

j.krasen 12.02.2009 22:05
hallo,
kann mal jemand einen blick werfen auf meine HJT - Log-File, ob da was auffälliges dabei ist. ich habe jetzt ein weiteres problem: ein programm, mit dem ich arbeiten muß, kann nicht mehr geöffnet werden. habe ich noch nie gehabt und ich weiß auch nicht, ob das mit dem trojaner zusammenhängt. jedenfalls kommt die maske "programm muss beendet werden, sollen die daten zu microsoft gesendet werden" usw.
wäre toll, wenn mir jemand helfen könnte.
j. krasen

john.doe 12.02.2009 22:44
Hallo und :hallo:

Gehst du mit ISDN ins Internet?
Ist der Rechner Teil eines Netzwerkes?

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
  • Norton Utilities (stört die Säuberung, die gelbe Pest)
  • Acrobat Reader (veraltet)
  • AskBar (Adware)
  • Alles von Google (Datenkrake)
  • Foxit Toolbar (Adware)
  • Spybot (Schrott)

2.) Starte HJT => Do a system scan only => Markiere:
Code:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)
=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Installiere (Toolbars grundsätzlich abwählen, Haken weg):
FoxIt Reader
Service Pack 3
MSIE 7

7.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

j.krasen 13.02.2009 15:48
hallo andreas,

VIELEN DANK FÜR DEINE UNTERSTÜTZUNG!

Gehst du mit ISDN ins Internet?
Ist der Rechner Teil eines Netzwerkes?

> mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
Norton Utilities (stört die Säuberung, die gelbe Pest)
Acrobat Reader (veraltet)
AskBar (Adware)
Alles von Google (Datenkrake)
Foxit Toolbar (Adware)
Spybot (Schrott)

> habe ich alles gemacht. askbar habe ich nicht gefunden. keine ahnung, was das ist. bei norton utilities habe ich den papierkorb mit recycler immer gebraucht, um daten meines zeichenprogrammes wiederzuholen.

2.) Starte HJT => Do a system scan only => Markiere:

Code:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)=> Fix checked

> erledigt

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

> erledigt

4.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

> erledigt. hier ist der report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 13:10:59
mbam-log-2009-02-13 (13-10-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220221
Laufzeit: 1 hour(s), 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b7672baf-e9a3-49b6-86b2-c81719a18a4c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f18f04b0-9cf1-4b93-b004-77a288bee28b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\VSAdd-in (Adware.Agent) -> No action taken.

Infizierte Dateien:
C:\Programme\VSAdd-in\VSAdd-in.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.


5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

> erledigt. Nach dem scannen habe ich den rechner neu gestartet. Beim neustart hat AVIRA sich wieder gemeldet und die bekannten vier objekte habe ich wiederum in die quarantäne verschoben. Jetzt soll ich ja lt. Anleitung erst mal auf die auswertung warten. Die punkte 6 und 7 sind also noch nicht erledigt.

hier ist der report:

Generated 02/13/2009 at 03:13 PM

Application Version : 4.25.1012

Core Rules Database Version : 3756
Trace Rules Database Version: 1720

Scan type : Complete Scan
Total Scan Time : 01:30:10

Memory items scanned : 452
Memory threats detected : 0
Registry items scanned : 4142
Registry threats detected : 2
File items scanned : 147623
File threats detected : 89

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.adnet[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@livenation.122.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@salue.inlimedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@weborama[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.ads-inlimedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.heias[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1071214352[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adviva[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@e-2dj6wjmywpc5eap.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@interclick[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@shop.zanox[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adv1[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@myroitracking[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@xiti[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.etracker[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@indextools[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@burstnet[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adtech[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@autoscout24.112.2o7[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adbrite[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@webmasterplan[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tracking.klicktel[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@allesklarcomag.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1-de[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zanox[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adserver.adreactor[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@e-2dj6wjkyehdpchq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.entire-media[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@banners.andomedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@traffictrack[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@spamfighter.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@questionmarket[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@googleadservices[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tradedoubler[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@unitymedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1071978996[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@rev.remnantmedianetwork[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.zanox[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@yadro[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.clicksor[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.quartermedia[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@atdmt[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@serving-sys[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@revsci[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1070786884[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@collective-media[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@dcsbusili10000cl8aqvw6567_6w4v[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tribalfusion[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@doubleclick[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@specificclick[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.glispa[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@komtrack[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@media[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.pro-advertise[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@stats.paypal[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@advertising[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zedo[1].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Trojan.Downloader-VSAddIn
C:\WINDOWS\SYSTEM32\HRFKOVOY.EXE

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\starck3_wan_1_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\darling_wan_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\dellarco_wan_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\starck3_wan_2[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\starck_3_wan_5[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\keramikfarbe_pergamon[1].gif
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\StarckX_Wanne1_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8DXZ1TZ\starck_3_wan_3[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8DXZ1TZ\starck3_wan_1[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHQFWXIJ\starck_3_wan_4[1].jpg



6.) Installiere (Toolbars grundsätzlich abwählen, Haken weg):
FoxIt Reader
Service Pack 3
MSIE 7

7.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

[/COLOR]

john.doe 13.02.2009 17:17
Hallo Johannes,

du musst Punkt 4 noch einmal ausführen. Das Log zeigt No action taken. Du musst nach dem Scan auf Ausgewählte Entfernen klicken, so wie es in der Anleitung steht.

Um Dinge aus dem Papierkorb zu holen, benötigst du kein Norton Utilities, dazu reicht die Windowsfunktion. Wenn du ohne nicht leben kannst, darfst du es zum Schluss wieder installieren (wovon ich aber abrate).

Zitat:
mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.
Dann müssen wir noch einige Dinge fixen oder besser: Baue die ISDN-Karte aus.

ciao, andreas

j.krasen 13.02.2009 19:11

hallo andreas,

da ist mir ein fehler passiert:



du musst Punkt 4 noch einmal ausführen. Das Log zeigt No action taken. Du musst nach dem Scan auf Ausgewählte Entfernen klicken, so wie es in der Anleitung steht.


> ich habe den report VOR dem entfernen kopiert. hier ist der richtige log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 13:12:37
mbam-log-2009-02-13 (13-12-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220221
Laufzeit: 1 hour(s), 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b7672baf-e9a3-49b6-86b2-c81719a18a4c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f18f04b0-9cf1-4b93-b004-77a288bee28b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\VSAdd-in (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\VSAdd-in\VSAdd-in.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.



Um Dinge aus dem Papierkorb zu holen, benötigst du kein Norton Utilities, dazu reicht die Windowsfunktion. Wenn du ohne nicht leben kannst, darfst du es zum Schluss wieder installieren (wovon ich aber abrate).


> ich arbeite mit einem zeichenprogramm. wenn während der arbeit das programm abstürzt, konnte ich mit dem norton recycler den letzten stand meistens noch wiederfinden. der landet ja nicht im papierkorb. ich benötige also wahrscheinlich etwas, das den inhalt des arbeitsspeichers auffängt. oder?



Zitat:
mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.

Dann müssen wir noch einige Dinge fixen oder besser: Baue die ISDN-Karte aus.


> die ISDN-karte benötige ich nicht mehr. besteht dort ein risiko? oder kann ich sie nicht einfach drin lassen?



> ich war zwischendurch weg und habe vorhin wieder den rechner gestartet. ist alles noch so wie vorher. man hat ja die hoffnung, dass die schädlinge schon raus sind.

danke! - johannes

john.doe 13.02.2009 19:30
Zitat:
ich habe den report VOR dem entfernen kopiert. hier ist der richtige log:
So ist besser. :daumenhoc
Zitat:
konnte ich mit dem norton recycler den letzten stand meistens noch wiederfinden.
Wenn du einen Nutzen davon hast, dann installiere es zum Schluss. Hier kommen viele Leute vorbei, die sich sinnfreie Software installieren und sich dann wundern, dass ihr Rechner so langsam ist.
Zitat:
oder kann ich sie nicht einfach drin lassen?
Du kannst schon. Falls du genügend Zeit hast tue folgendes: Messe die Zeit, die dein Rechner benötigt, bis der Desktop erscheint und dann noch bis die Festplatte Ruhe gibt. Deinstalliere die ISDN-Software, baue die Karte aus, mache 2 Neustarts und messe beide Zeiten nocheinmal. Dann wirst du verstehen. Von den Ressourcen ganz zu schweigen.

ciao, andreas

j.krasen 13.02.2009 19:49
hallo andreas,

OK, ich verstehe. ich schmeiß das ding morgen raus.

johannes


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:40 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129