Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner-bekämpfung für Anfänger (https://www.trojaner-board.de/38660-trojaner-bekaempfung-anfaenger.html)

Dragon88 06.05.2007 15:18
Trojaner-bekämpfung für Anfänger
 
Ich hatte noch nie einen Virus (so viel ich weiss)
Desshalb habe ich mich auch noch nicht damit befasst

Jetzt hat NOD32 eine meldung gemacht ich hätte einen Trojaner
(hab auch was von Win32 gelesen)

könnt ihr mir sagen welche Infos ihr alles braucht um mir zu helfen?

Ich hab mal hijackthis durhlaufen lassen und das ist das Ergebnis (Ich hoffe das nützt euch was)

Dragon88 06.05.2007 15:49
Zitat:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:10:47, on 06.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Video AX Object\bpmon.exe
C:\Programme\Video AX Object\smmain.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\Programme\Video AX Object\smmon.exe
C:\Programme\Video AX Object\bpmini.exe
C:\PROGRA~1\USE6FD~1.ROB\WIRELE~1\PRISMSVR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
E:\***\Movies\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.ch/0SEDECH/SAOS01?FORM=TOOLBR
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FC80E00-41B0-4F74-BC16-2C83ED49CAC9} - C:\Programme\Video AX Object\bpvol.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll (file missing)
O3 - Toolbar: Protection Bar - {F0993251-2512-4710-AF6E-0A13EA199D02} - C:\Programme\Video AX Object\splug.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video AX Object\bpmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video AX Object\smmain.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: U.S. Robotics Wireless USB Adapter.lnk = C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: admissibility - {da3b49f6-8c54-4429-a275-21a86dcca413} - C:\WINDOWS\system32\xuoce.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5038 bytes
Edit: Ich hoffe hab alles zensiert was zensiert werden muss *** ;)
(war ja nicht viel)

Apocalypt 06.05.2007 15:50
Hi
Poste bitte ein neues Logfile, aber editiere diesmal Links und Information die deinen Namen enthalten.
Dann wäre noch gut zu wissen welchen Trojaner NOD meldet und wo er ihn meldet.

LG,
Apo

Edit:
Gut. An deinem System ist einiges zu machen :(

Zuerst Geh mal unter Software und deinstallier Video AX Object !
Dann lad die folgenden Dateien (ich weiß sind viele, aber muss sein) bei Virustotal hoch und poste das vollständige Ergebnis mit Angabe der Größe!

Zitat:
C:\Programme\Video AX Object\smmon.exe
C:\Programme\Video AX Object\bpmini.exe
C:\Programme\Video AX Object\bpvol.dll
C:\Programme\Video AX Object\smmain.exe

nochdigger 06.05.2007 16:43
Hallo

hierbei sollte es sich um Zlob handeln
Zitat:
Zitat:
Zitat:
C:\Programme\Video AX Object\smmon.exe
C:\Programme\Video AX Object\bpmini.exe
C:\Programme\Video AX Object\bpvol.dll
C:\Programme\Video AX Object\smmain.exe
aber hierbei :
C:\WINDOWS\system32\xuoce.dll
diese Datei ist völlig unbekannt, mach bitte alle versteckten Dateien und Ordner sichtbar und lass die Datei auch bei Virustotal auswerten.

MFG

Dragon88 06.05.2007 19:54
Zitat:
Zuerst Geh mal unter Software und deinstallier Video AX Object !
Gut erledigt

Zitat:
hierbei sollte es sich um Zlob handeln
Was bedeutet das -> Zlob
ist das die Art des Trojaners?

Ergebbnisse der Scanns:

C:\WINDOWS\system32\xuoce.dll

http://img411.imageshack.us/img411/1...nscann1sn7.png

C:\Programme\Video AX Object\smmain.exe

http://img301.imageshack.us/img301/3812/smmainlc2.png

C:\Programme\Video AX Object\smmon.exe

http://img463.imageshack.us/img463/8960/smmonoe0.png

C:\Programme\Video AX Object\bpmini.exe

http://img516.imageshack.us/img516/4744/bpminioe9.png

C:\Programme\Video AX Object\bpvol.dll

http://img443.imageshack.us/img443/3092/bpvolpi8.png

Wenn ich mit NOD32 scanne gibt es keine Meldung mehr aber diese Warnung kommt ab und zu
(nicht wen NOD32 am scannen ist)

http://img459.imageshack.us/img459/6886/warnungmb7.png

Dragon88 06.05.2007 21:12
Was fange ich damit jetzt an?

__________________________________________________________

C:\WINDOWS\system32\xuoce.dll
F-Secure -> Vundo.gen15
Norman -> Vundo.gen15
Prevx1 -> Generic.Zlob!DL
Webwasher-Gateway -> Win32.ModifiedUPX.gen!90 (suspicious)

C:\Programme\Video AX Object\smmain.exeAvast -> Win32:Zlob-UR
DrWeb -> Trojan.Popuper
eTrust-Vet -> Win32/Moiling!generic
Panda -> Suspicious file
Prevx1 -> Generic.Zlob!DL

C:\Programme\Video AX Object\smmon.exe
DrWeb -> Trojan.Popuper
eSafe -> suspicious Trojan/Worm
Webwasher-Gateway -> Win32.ModifiedUPX.gen!90 (suspicious)

C:\Programme\Video AX Object\bpmini.exe
DrWeb -> Trojan.Starter.185
eSafe -> suspicious Trojan/Worm
Panda -> Suspicious file
Webwasher-Gateway -> Win32.ModifiedUPX.gen!90 (suspicious)

C:\Programme\Video AX Object\bpvol.dll
DrWeb -> Trojan.StartPage.20009
____________________________________________________________

(Sorry für Doppelpost aber konnte nicht Editieren)

nochdigger 07.05.2007 06:44
Moin

gab es eine Deinstallationsdatei für den Fakevideocodec?

lade dir mal Smidfraudfix
halte dich an die Anleitung und poste den rapport1.txt
von vor und den rapport2.txt nach der Bereinigung
sowie ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

MFG

Edit: xuoce.dll wird aktuell von Smitfraudfix erkannt

Dragon88 07.05.2007 10:41
Zitat:
gab es eine Deinstallationsdatei für den Fakevideocodec
Wo würde ich die Finden?
und was genau ist das *schäm*

Vor der Bereinigung

Zitat:
SmitFraudFix v2.176

Scan done at 11:33:24.71, 07.05.2007
Run from E:\***\Movies\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Video AX Object\bpmon.exe
C:\Programme\Video AX Object\smmain.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\Programme\Video AX Object\smmon.exe
C:\Programme\Video AX Object\bpmini.exe
C:\PROGRA~1\USE6FD~1.ROB\WIRELE~1\PRISMSVR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\xuoce.dll FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***x\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Alex\FAVORI~1

C:\DOKUME~1\***\FAVORI~1\Online Security Test.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\SpyLocked 3.6\ FOUND !
C:\Programme\Video AX Object\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{da3b49f6-8c54-4429-a275-21a86dcca413}"="admissibility"

[HKEY_CLASSES_ROOT\CLSID\{da3b49f6-8c54-4429-a275-21a86dcca413}\InProcServer32]
@="C:\WINDOWS\system32\xuoce.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{da3b49f6-8c54-4429-a275-21a86dcca413}\InProcServer32]
@="C:\WINDOWS\system32\xuoce.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: U.S. Robotics Wireless USB Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{6BFA8EB1-4277-46F5-8117-9A666BE68F13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{6BFA8EB1-4277-46F5-8117-9A666BE68F13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6BFA8EB1-4277-46F5-8117-9A666BE68F13}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Rapport nach der Bereinigung

Zitat:
SmitFraudFix v2.176

Scan done at 11:45:16.37, 07.05.2007
Run from E:\***\Movies\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{da3b49f6-8c54-4429-a275-21a86dcca413}"="admissibility"

[HKEY_CLASSES_ROOT\CLSID\{da3b49f6-8c54-4429-a275-21a86dcca413}\InProcServer32]
@="C:\WINDOWS\system32\xuoce.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{da3b49f6-8c54-4429-a275-21a86dcca413}\InProcServer32]
@="C:\WINDOWS\system32\xuoce.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\xuoce.dll -> Hoax.Win32.Renos.gen.l
C:\WINDOWS\system32\xuoce.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\SpyLocked 3.6\ Deleted
C:\Programme\Video AX Object\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
HijackTis Logfile

Zitat:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:08:56, on 07.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\PROGRA~1\USE6FD~1.ROB\WIRELE~1\PRISMSVR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
E:\***\Sonstiges\Trojaner\Sali.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live]Live]Live Search: Search: Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live]Live]Live Search: Search: Search:
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1FC80E00-41B0-4F74-BC16-2C83ED49CAC9} - C:\Programme\Video AX Object\bpvol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: U.S. Robotics Wireless USB Adapter.lnk = C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites. live.com/quickadd.aspx]Add to Windows Live Favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com /carlo/zuma/popcaploader_v5.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4539 bytes
und beim Bereinigen hat es manchmal geheissen kann *** Datei nicht finden
aber ging so schnell ich konnts mir nicht notieren (und an Print Screen hab ich zu spät gedacht)

Apocalypt 07.05.2007 15:28
Hi, als nächstes muss du folgende Einträge mit HiJackThis fixen:
Zitat:
O2 - BHO: (no name) - {1FC80E00-41B0-4F74-BC16-2C83ED49CAC9} - C:\Programme\Video AX Object\bpvol.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Programme\WhenUSearch\search.dll (file missing)
Leider hat das nichts so ganz geklappt da die meisten Dateien immernoch/wieder da sind. :(

Dragon88 07.05.2007 15:47
Sieht jetzt so aus

Zitat:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16:45:09, on 07.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
C:\PROGRA~1\USE6FD~1.ROB\WIRELE~1\PRISMSVR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
E:\***\Sonstiges\Trojaner\Sali.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Live Search:
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Live Search:
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = ?
O4 - Global Startup: U.S. Robotics Wireless USB Adapter.lnk = C:\Programme\U.S. Robotics\Wireless USB Manager\USR11G.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4177 bytes
Zitat:
C:\Programme\WhenUSearch\search.dll (file missing)
hab ich nicht gefunden

Ich hab jetzt keine Fehlermeldungen mehr
und auch keine Warnungen

heisst das das gröbste ist weg?

Kann ich noch was machen?

Apocalypt 07.05.2007 16:01
Komisch, jetzt siehts wirklich in Ordnung aus ;)

Rene-gad 07.05.2007 16:01
@Dragon88
Zitat:
Kann ich noch was machen?
Schaue dir noch den Link AVZ4 in meiner Signatur an. Alles, was du dafür brauchst, sind die Englsich-Kenntnisse auf dem KiGa-Niveau ;)

Dragon88 07.05.2007 16:27
Zitat:
Schaue dir noch den Link AVZ4 in meiner Signatur an. Alles, was du dafür brauchst, sind die Englsich-Kenntnisse auf dem KiGa-Niveau
ja gut schau mich mal um ^^

DANKE an alle habt mir echt geholfen


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131