Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Auswertung dieses hjtlogfile. (https://www.trojaner-board.de/7067-bitte-um-auswertung-hjtlogfile.html)

Clune 23.08.2004 21:57
Bitte um Auswertung dieses hjtlogfile.
 
Hi!

Bin mit "about:blank" infiziert, und bei der Suche nach einer Lösung bei trojaner.de gelandet(tolle Seite mit tollen Tipps; Kompliment).
Da ich mich mit der Materie nicht so gut auskenne, bitte ich euch einen kurzen Blick auf mein Log zuwerfen, und mir mitzuteilen, was alles gefixed werden muss?


Vielen Dank

PS:Werde sofort einen neuen browser installieren!


Logfile of HijackThis v1.98.2
Scan saved at 22:31:21, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\msck32.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\War3Unin.dat:nmqbc
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7B86A44B-E962-46EE-5E5D-A46345FBCD1F} - C:\WINDOWS\system32\appev32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [d3ij32.exe] C:\WINDOWS\system32\d3ij32.exe
O4 - HKLM\..\Run: [msck32.exe] C:\WINDOWS\system32\msck32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file)
O9 - Extra button: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file) (HKCU)
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

*Christian* 23.08.2004 22:10
Die Datei C:\WINDOWS\system32\msck32.exe hier überprüfen: http://www.kaspersky.com/de/scanforvirus

Dies fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eyixz.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {7B86A44B-E962-46EE-5E5D-A46345FBCD1F} - C:\WINDOWS\system32\appev32.dll
O4 - HKLM\..\Run: [d3ij32.exe] C:\WINDOWS\system32\d3ij32.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file)
O9 - Extra button: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {EEDD4711-A4F8-4BBF-A124-27A2A25B51C9} - (no file) (HKCU)
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Diese Dateien dann anschließend löschen:
C:\WINDOWS\system32\appev32.dll
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Sofern C:\WINDOWS\system32\d3ij32.exe noch vorhanden ist; ebenfalls hier überprüfen: http://www.kaspersky.com/de/scanforvirus

Ergebnis der beiden zu überprüfendenen Dateien?

Ich empfehle dir als Browser www.firefox-browser.de zu verwenden, da dieser schnell, sicher und kostenlos ist.

Olo 23.08.2004 22:56
Forum Suche nach "sp.html#96676" wurde soweit ich mich noch dran erinnern kann ausführlich durchgenommen

Clune 24.08.2004 01:18
Hallo Christian,

danke für deine Antwort, habe deine Ratschläge befolgt und bin zu folgendem Ergebniss gekommen:

-C:\WINDOWS\system32\msck32.exe überprüfen --> ergab:

Zu überprüfende Datei: msck32.exe
msck32.exe - packed with UPXmsck32.exe Infiziert: TrojanDownloader.Win32.Agent.ap

--->habe diese datei anschliesend gefixed und gelöscht.

- Sofern C:\WINDOWS\system32\d3ij32.exe noch vorhanden ist; ebenfalls hier überprüfen: http://www.kaspersky.com/de/scanforvirus
---> war nicht mehr vorhanden

- Diese Dateien dann anschließend löschen:
C:\WINDOWS\system32\appev32.dll --->nicht gefunden
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe --->gelöscht

Tjo, nach einigem Fixen und Löschen scheint mein System nun sauber zu sein
*freu*. Zur Sicherheit poste ich noch anschliessend mein neues logfile.

Vielen Dank nochmals für die Hilfe



Logfile of HijackThis v1.98.2
Scan saved at 02:17:46, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.gameware.at/info/space/News
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

*Christian* 24.08.2004 16:53
Schaut sauber aus. :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:45 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19