win32.trojan.puper.d eingefangen, log erstellt, und nun?

#0
05.10.2005, 00:22
...neu hier

Beiträge: 2
#1 Hallo zusammen,

leider habe ich mir einen Trojaner eingefangen, den win32.trojan.puper.d
Leider bekomme ich ihn trotz "cwshredder" nicht gelöscht.
Hier mein log file:

Logfile of HijackThis v1.99.1
Scan saved at 00:08:48, on 05.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\intmon.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Dokumente und Einstellungen\Carsten.CARSTENSPC\Desktop\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hp78D6.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127835242797
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Die Zeile mit den vielen fffffff´s (ist fett gedruckt) gibt mir "http://www.hijackthis.de/index.php#anl" dann als Problem raus.

So weit, so gut, aber wie weiter? Kann mir jm. helfen?

Liebe Grüße, Carsten
Seitenanfang Seitenende
05.10.2005, 14:52
Moderator

Beiträge: 7805
#2 Normalerweise sollte Spybot mit dieser Variante klar kommen. Zumindest aktualisiert und im abgesicherten Modus ausgefuehrt...

Versuche das bitte einmal. Nach dem scanen und reinigen benenne diese Daateien bitte auch noch im abgesicherten Modus um

C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\shnlog.exe

Es kannsein, das du die Dateien erst mit dem Taskmanager aus dem Speicher kicken musst (Prozes benden), bevor das klappt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.10.2005, 15:00
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Ralf,

danke für Deine Tipps!
Nachdem ich heute morgen noch mal 2 Stunden dran gesessen habe, habe ich mir dann kurzerhand mein Betriebssystem neu draufgespielt. War eh mal wieder nötig - und die Probleme sind nun natürlich weg :-).

Vielen Dank trotzdem für die Info,
Grüße, Carsten
Seitenanfang Seitenende
05.10.2005, 15:13
Moderator

Beiträge: 7805
#4 Gute Entscheidung! Aber denke bitte daran gleich das Service Pack2 aufzuspielen. Incl, der Updates die danach erschienen sind! Auch solltest du vom jetzigen Stand des Systems eine Image erstellen.

Erstelle auch gleich passend dazu mal eine BartPE cd:
http://pcfreaks.big-clan.net/bartpe/index.shtml
oder
http://www.pcwelt.de/downloads/tools_utilities/system-utilities/108595/
http://www.pcwelt.de/wiki/index.php/Bart_PE_Builder

Dann noch firefox nutzen und dir kann fast nichts mehr passieren!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende