Bei erstem durchlauf Trojanerfrei, dann ohne Neustart wieder verseucht |
||
---|---|---|
#0
| ||
25.01.2005, 19:33
...neu hier
Beiträge: 2 |
||
|
||
25.01.2005, 19:52
Moderator
Beiträge: 6466 |
#2
Scanne
02 - BHO: (no name) - {4B6B16C8-2F39-4468-ABEF-D409C069B581} - C:\WINDOWS\system32\msppz.dll bei http://virusscan.jotti.org/ und http://www.kaspersky.com/remoteviruschk.html System Volume Information wird mehrfach am Board erlärt. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
25.01.2005, 21:04
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo joschi,
danke für die Tips, habe die Datei gelöscht, und die Systemwiederherstellung deaktieviert. Nach dem Neustart die Systemwiederherstellung wieder aktiviert. hier nochmal meine Log, Logfile of HijackThis v1.99.0 Scan saved at 20:56:08, on 25.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\htpatch.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\D-Link AirPlus\WLANMON.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Mozilla Firefox\firefox.exe F:\Hijack\hijackthis199_beta\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: D-Link AirPlus DWL-650+ Utility.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{05B037F4-54C6-48B4-9E70-9A4DB8799C71}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{05B037F4-54C6-48B4-9E70-9A4DB8799C71}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe als Browser habe ich mir jetzt Firefox installiert, habe im Board gelesen das der Super wäre, im bezug auf Trojaner. Ist mein Notebook jetzt clean, oder soll ich es noch mal mit den installierten Programmen, wie spybot,antivir,Ad-aware, testen. Oder muß ich diese auch erst neu installieren vor dem Test. Danke nochmals und gruß Rainer |
|
|
ich hoffe ihr könnt mir helfen oder einiges erklären,
ich hatte einige Trojaner auf meinem Notebook entfernt, es tauchten immer wieder neue oder die selben auf.
Ich habe AntiVir Personal Edition auf meinem Notebook, sowie Ad-aware, Spybot,Hijack, etc.
Überprüfe ich mein Hijacklog online, ist das Notebook sauber.
Starte ich Ad-aware, laüft im Hintergrund AntiVir Guard, es kommt immer wieder zu Trojanern Meldungen.
Ich sende euch mal meine Logs, sowie die Reports, da ich am überlegen bin ob ich mein Notebook neu bespiele.
Vieleicht weiss jemand an was es liegt.
Log Hijack:Logfile of HijackThis v1.99.0
Scan saved at 19:11:27, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\D-Link AirPlus\WLANMON.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\AVPersonal\AVWIN.EXE
F:\Hijack\hijackthis199_beta\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4B6B16C8-2F39-4468-ABEF-D409C069B581} - C:\WINDOWS\system32\msppz.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: D-Link AirPlus DWL-650+ Utility.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{05B037F4-54C6-48B4-9E70-9A4DB8799C71}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{05B037F4-54C6-48B4-9E70-9A4DB8799C71}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
Log Antivir Guard:
25.01.2005,17:25:58 [INIT] Der AVGuard Service wird gestarted.
25.01.2005,17:26:02 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
25.01.2005,17:26:02 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
25.01.2005,17:26:02 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa3fc0.
25.01.2005,17:26:07 [INFO] Start Filter Device.
25.01.2005,17:26:07 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.8 VDF Version: 6.29.0.78
25.01.2005,17:26:07 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
25.01.2005,17:45:34 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB!
C:\WINDOWS\SYSTEM32\INTRONSAD.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,17:49:00 [WARNUNG] Ist das Trojanische Pferd TR/Proxy.Agent.df.1!
C:\WINDOWS\SYSTEM32\SERVICES\{97B67188-8F22-41AA-8964-578B3D1CDA37}\SVCHOST.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,17:52:03 [INFO] Stop Filter Device.
25.01.2005,17:52:03 [EXIT] Der AVGuard Dienst wurde beendet!
25.01.2005,17:53:10 ---------------------------------------------------------
25.01.2005,17:53:10 [INIT] Der AVGuard Service wird gestarted.
25.01.2005,17:53:10 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
25.01.2005,17:53:14 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
25.01.2005,17:53:14 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa3e04.
25.01.2005,17:53:19 [INFO] Start Filter Device.
25.01.2005,17:53:19 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.8 VDF Version: 6.29.0.78
25.01.2005,17:53:19 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
25.01.2005,18:04:05 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Monurl.M.1!
C:\PROGRAMME\SLIMBROWSER\ADO1WBE.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:29:44 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0007799.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:04 [WARNUNG] Ist das Trojanische Pferd TR/Click.Small.BT.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0007821.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:12 [WARNUNG] Ist das Trojanische Pferd TR/Click.Small.BT.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0009930.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:16 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0010926.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:21 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB.3!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0010927.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:25 [WARNUNG] Ist das Trojanische Pferd TR/Proxy.Agent.DF!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP24\A0010928.DLL
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:30:30 [WARNUNG] Ist das Trojanische Pferd TR/Proxy.Agent.df.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP25\A0011044.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:35:33 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Delf.CB!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP25\A0011043.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:35:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Monurl.M.1!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{99E72324-776C-4F7C-ADD9-8400C29A721E}\RP26\A0011076.EXE
[INFO] Die Datei wurde gelöscht!
25.01.2005,18:46:05 [INFO] Stop Filter Device.
25.01.2005,18:46:05 [EXIT] Der AVGuard Dienst wurde beendet!
25.01.2005,18:47:11 ---------------------------------------------------------
25.01.2005,18:47:11 [INIT] Der AVGuard Service wird gestarted.
25.01.2005,18:47:14 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
25.01.2005,18:47:15 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
25.01.2005,18:47:15 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaa3ea8.
25.01.2005,18:47:20 [INFO] Start Filter Device.
25.01.2005,18:47:20 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.8 VDF Version: 6.29.0.78
25.01.2005,18:47:20 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
Danke für euere Hilfe, !!!!
Kurze frage noch, was ist C:\SYSTEM VOLUME INFORMATION.????
Wie schon gesagt, spybot oder Antivir, oder Hijack,
einmal ist das Teil sauber, beim nächsten Start eines der Programme ist es wieder verseucht, zwischen drin oder danach mache ich kein Neustart.
gruss Rainer ( acalvin ).