TR/StartPa.DU.DLL.1 und vielleicht mehr. |
||
---|---|---|
#0
| ||
14.06.2005, 18:14
Member
Beiträge: 22 |
||
|
||
14.06.2005, 20:42
Member
Beiträge: 1132 |
#2
Hallo Honor,
versuche zunächst einmal Folgendes, damit man sich ein Bild machen kann, was auf Deinem Rechner vor sich geht: HijackThis 1.99.1 herunterladen http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Entpacke das Programm in einem eigenen Ordner. Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
14.06.2005, 20:56
Member
Themenstarter Beiträge: 22 |
#3
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\ADDXL.EXE C:\WINDOWS\SYSTEM\ADDXL.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\NETPI32.EXE C:\WINDOWS\DESKTOP\VIRENSCANNER,ETC\HIJACKTHIS.EXE Kann mehr posten wenn ihr wieder antwortet weil es ja hier diese Sperre gibt das man nicht zwei hintereinander schreiben kann. Danke Dieser Beitrag wurde am 14.06.2005 um 21:21 Uhr von Honor editiert.
|
|
|
||
14.06.2005, 21:19
Member
Beiträge: 1132 |
#4
Du kannst auch Deinen Beitrag editieren (in der Fußzeile Deines Beitrages "Editieren") und so das vollständige Log nacheinander in kleineren Portionen posten und so immer wieder anfügen bis es komplett ist.
Der Kopf des Logs fehlt in Deinem ersten Posting, in dem die HJT Version und die Infos über dein Beitriebsystem aufgeführt sind. Den bitte auch oben anfügen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
14.06.2005, 21:24
Member
Themenstarter Beiträge: 22 |
#5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135 R3 - Default URLSearchHook is missing Das mit dem editieren funzt nicht so richtig Gruß Honor |
|
|
||
14.06.2005, 21:29
Member
Beiträge: 1132 |
#6
Das wird umständlich und erschwert die Auswertung!
Deshalb mein Vorschlag: kopiere das Log auf eine Diskette und poste es von einem sauberen Rechner hier in den Thread. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
14.06.2005, 21:31
Member
Themenstarter Beiträge: 22 |
#7
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {D90602DA-1543-5F01-372E-50C3C44A8979} - C:\WINDOWS\SYSTEM\NTGE32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [NETPI32.EXE] C:\WINDOWS\NETPI32.EXE Dieser Beitrag wurde am 14.06.2005 um 21:52 Uhr von Honor editiert.
|
|
|
||
15.06.2005, 15:19
Member
Themenstarter Beiträge: 22 |
#8
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [ADDXL.EXE] C:\WINDOWS\SYSTEM\ADDXL.EXE /s O4 - HKLM\..\RunServices: [JAVAFZ.EXE] C:\WINDOWS\SYSTEM\JAVAFZ.EXE /s O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe Danach hab ich noch Einträge. Das waren bei weitem noch nicht alle. |
|
|
||
15.06.2005, 18:08
Ehrenmitglied
Beiträge: 29434 |
#9
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.06.2005, 21:21
Member
Themenstarter Beiträge: 22 |
#10
Vielen Dank für eure Hilfe. Der Trojaner ist weg und auch die ganzen Dateien die er betroffen hatte. Danke für die Ausführlichkeit. Super das ich dieses Forum gefunden habe. Wirklich ein Lob an euch.
|
|
|
||
06.07.2005, 09:56
...neu hier
Beiträge: 2 |
#11
Hi,
habe inzwischen Hilfe gefunden und das Problem lösen können. Gruß Guten Morgen, habe auch den TR/StartPa.DU.DLL.1 gefangen. Ich kann ihn trotz durchführen einiger der hier aufgelisteten Maßnahmen nicht eliminieren. Hier mein HijackThis Logfile mit Bitte um Hilfe. (Die Einträge 02-BHO ... und 04-HKLM sdkkj.exe tauchen am Ende des Prozederes immer wieder auf) Logfile of HijackThis v1.97.7 Scan saved at 09:19:44, on 06.07.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\sdkms.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe C:\WINNT\system32\regsvc.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\ZipToA.exe C:\WINNT\Explorer.EXE C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\PROGRA~1\AVPERS~1\AVSched32.EXE C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe C:\WINNT\MXOaldr.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\sdkkj.exe C:\WINNT\system32\internat.exe C:\Programme\Iomega\AutoDisk\AD2KClient.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE C:\Programme\Cherry\CDI\CDI.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\Internet_CleanUp\HijackThis.exe O2 - BHO: (no name) - {6B3FC45B-5235-B847-9B1B-AF6035D04FBB} - C:\WINNT\system32\cryq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRA~1\AVPERS~1\AVSched32.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe" O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOaldr.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinAuth] C:\WINNT\winlogon.exe O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE O4 - HKLM\..\Run: [sdkkj.exe] C:\WINNT\system32\sdkkj.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: Hamster.lnk = C:\Programme\Hamster\hamster progr\Hamster.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ORiNOCO Client Manager.lnk = C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE O4 - Global Startup: Statusmonitor.lnk = C:\Programmdateien\XEROX_XD\ENGSS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37865.439212963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 07.07.2005 um 14:14 Uhr von Peter-33 editiert.
|
|
|
||
09.07.2005, 01:54
...neu hier
Beiträge: 1 |
#12
hallo zusammen,
mich hats auch erwischt. könnt ihr mir helfen? Logfile of HijackThis v1.99.1 Scan saved at 17:39:51, on 08.07.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\NETAT.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\MSHTA.EXE C:\WINDOWS\SYSTEM\CSMSS.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\NETWI.EXE D:\SICHERHEIT\SPYBLOCKER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\FRITZ!\FRIFAX32.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\MEDION\SCANPANEL\SCNPANEL.EXE C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ciiec.dll/sp.html#55135 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://193.125.201.50 R3 - Default URLSearchHook is missing F1 - win.ini: run=fntldr.exe hpfsched O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Class - {499CBA68-0CDC-4376-9119-E07B6BD9CBB4} - C:\WINDOWS\CREG.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [winmain] winmain.exe O4 - HKLM\..\Run: [cmssSystemProcess] c:\windows\system\csmss.exe O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O4 - HKLM\..\Run: [NETWI.EXE] C:\WINDOWS\SYSTEM\NETWI.EXE O4 - HKLM\..\Run: [SpyBlocker] D:\SICHERHEIT\spyblocker.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [NETAT.EXE] C:\WINDOWS\SYSTEM\NETAT.EXE /s O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: ScanPanel.lnk = C:\Programme\Medion\ScanPanel\ScnPanel.exe O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab |
|
|
||
09.07.2005, 09:41
...neu hier
Beiträge: 2 |
#13
Hallo Pascal 70
Hier scheint Urlaubssaison zu sein. Habe mit dem gleichen Problem letzte Woche keine Hilfe finden können. Was ich Dir anbieten kann sind meine Erfahrungen als leidgeprüfter PC-Nutzer. 1. Falls Englisch Dich nicht stört, kannst Du eine Lösung zu Deinem Problem bei security-forums.com finden durch ein entsprechendes Posting. 2. Falls doch, kannst Du auf die Postings unter http://www.security-forums.com/forum/viewtopic.php?p=187359#187359 gehen, und Dir dort zumindest durchlesen, wie mein Problem gelöst wurde. 3. Ansonsten kannst Du auch schon mal mit malwareupload.com anfangen, und dort Deine hjt Logs analysieren lassen. ************** Generelle Erfahrungen zu Punkt 2 - die dort beschriebenen Programme (Spybot, Adaware, Panda etc.) haben schon viele Dinge auf meinem Rechner repariert, ohnedaß ich gleich in die registry einsteigen mußte. - es ist wichtig zu wissen, daß immer der gleiche Ablauf einzuhalten ist. >>Identifikation der zu löschenden Dateien >> Start im gesicherten Modus und löschen der Dateien >> Start im normalen Modus und Kontrolle über hjt, ob alles erwischt wurde, oder der T wieder neue Einträge vorgenommen hat. Für mich waren zunächst die immer wieder neu auftretenden Dateien im hjt etwas verwirrend. - falls machbar, solltest Du den infizierten Rechner vom Netz nehmen, und über einen separaten Rechner kommunizieren, die Programme downloaden etc. Zumindest bei mir wurde der Trojaner bei laufender Internetverbindung und offenem IE sehr aktiv. Eine systematische Säuberung wird dadurch nicht einfacher. ************** Und nun viel Geduld und Erfolg. Peter-33 |
|
|
||
15.11.2005, 02:32
...neu hier
Beiträge: 1 |
#14
Jo - moin
ich habe mir eigentlich so alles zu diesem anscheinend sehr "beliebten" Trojaner durchgelesen und auch zu den verdächtigen Dateien in der HijackThis-log. Nun kann man ja leider nicht alle angegebenen Beispiele auf seinen eigenen Rechner beziehen. Deswegen nun auch eine log von mir, den Rest habe ich abgeschnitten, da er bisher eh nie Verwendung fand glaube ich: alle O4 kenne ich Logfile of HijackThis v1.99.1 Scan saved at 16:56:06, on 14.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\AVPersonal\AVGUARD.EXE C:\Program Files\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\ClearLog.exe C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Symantec\Ghost\ngserver.exe C:\Program Files\OfficeScan NT\ntrtscan.exe C:\WINNT\system32\oodag.exe C:\WINNT\RCSERV.EXE C:\Program Files\OfficeScan NT\tmlisten.exe C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\Program Files\UltraVNC\WinVNC.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\OfficeScan NT\OfcPfwSvc.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\PROGRAM FILES\OFFICESCAN NT\0FCD0G.EXE C:\WINNT\System32\alg.exe C:\Program Files\Citrix\ICA Client\ssonsvr.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Program Files\OfficeScan NT\pccntmon.exe C:\Program Files\Tivoli\lcf\dat\1\Mobile\mobile.exe C:\WINNT\mspc32.exe C:\WINNT\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\sysmp32.exe C:\WINNT\HoverSnap.exe C:\WINNT\ShareEnum.exe C:\WINNT\Tcpview.exe C:\WINNT\system32\procexp.exe C:\Program Files\Security Task Manager\TaskMan.exe C:\totalcmd\TOTALCMD.EXE C:\Program Files\AVPersonal\AVGNT.EXE C:\Program Files\GetRight\GETRIGHT.EXE C:\Program Files\GetRight\GETRIGHT.EXE C:\PROGRA~1\MOZILL~1\firefox.exe C:\Program Files\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = c:\winnt\svmcr.dll/sp.html#14044 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.firmenseite.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1 local., R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Class - {0BF43B7A-9CEA-2277-D4D4-E86B5BA8D7B5} - C:\WINNT\ntke32.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Class - {9FD04F83-3A3C-1515-ABD4-4260053366C5} - C:\WINNT\sdkek.dll O2 - BHO: Class - {E07AE911-ABFC-1C43-AC8A-4A5E37895284} - C:\WINNT\appau.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) ..... O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present ..... O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll O13 - WWW. Prefix: http://ehttp.cc/? ..... Anhand meiner Recherchen würde ich damit beginnen, R1 - O3 zu fixen, bis auf die letzten beiden R1, O2 - ...SDHelper.dll und O2 - ...GetRight Unglücklicherweise MUß ich IE verwenden Ich wäre Euch wirklich sehr dankbar, wenn Ihr mir helfen könnt.[/img] Dieser Beitrag wurde am 15.11.2005 um 02:38 Uhr von SorgenKind editiert.
|
|
|
||
15.11.2005, 11:27
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@SorgenKind
das ist so einiges drauf...... mache bitte folgendes: CCleaner http://virus-protect.org/temp.html lösche alle temp-Dateien arbeite das ab und kopiere hier die 4 txt-Dateien http://virus-protect.org/datfindbat.html ADS Spy (scanne (noch nichts loeschen)--> und kopiere hier den scanreport) http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich denke das es nur dieser ist kann aber sein das es mehr sind. ICh hoffe mir verzeihen die Admins, dass ich auch wieder mit diesem TR/StartPa.DU.DLL.1 anfange und das ich hier mehrfache beiträge hintereinander poste. Kann nur keine langen Texte verschicken. Hoffe ich finde hier hilfe indem mir hier jemand eine antwort schreibt damit ich weiter posten kann. Danke.
Logfile of HijackThis v1.99.1
Scan saved at 20:51:38, on 14.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)