Home » Viren, Trojaner & Malware Forum » Hijacklog bitte ansehen! Bloodhound.Exploit.6 ! » Themenansicht

Hijacklog bitte ansehen! Bloodhound.Exploit.6 !
#0
10.02.2006, 15:20
Smokey
Member

Beiträge: 19
#1 Edit: Bloodhound.Exploit.6 Trojan wurde eben über symatec entdeckt!!!

Hi liebe Leutz,



hatte mal trotz Ewido und Zonealarm mir irgendwo wieder die
Seuche geholt.Hab es dem Anschein nach mit diversen
Programmen in den Griff bekommen.
Ewido meldet bei Systemscan nichts mehr.
Da mich die Erfahrung gelehrt hat,dass es eventuell
damit nicht getan ist,würde ich euch bitten sich das Log
mal anzusehen, ob ich wirklich clean bin

Vielen Dank im vorraus
greetz Smokey



Logfile of HijackThis v1.99.1
Scan saved at 15:10:06, on 10.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\WLAN Monitor\wlconfig.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\OpenOffice.org1.1.4\program\soffice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Luke\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A681C5D4-B8E5-4437-B854-8353AFD12B3D} - C:\WINDOWS\system32\mshtmles.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyPoker\PartyPoker.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dieser Beitrag wurde am 10.02.2006 um 15:55 Uhr von Smokey editiert.
Seitenanfang Seitenende
10.02.2006, 16:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2006, 16:41
Smokey
Member

Themenstarter

Beiträge: 19
#3 Hi Sabine,

hoffe,dass ist es was du wolltest:

Verzeichnis von C:\WINDOWS\system32

10.02.2006 16:29 24.771 nvapps.xml
10.02.2006 14:54 35.870 vsconfig.xml
09.02.2006 23:05 381.828 perfh009.dat
09.02.2006 23:05 53.572 perfc009.dat
09.02.2006 23:05 392.842 perfh007.dat
09.02.2006 23:05 64.656 perfc007.dat
09.02.2006 23:05 902.476 PerfStringBackup.INI
29.01.2006 15:00 1.158 wpa.dbl
22.01.2006 18:54 115 EPPICResdb
22.01.2006 18:54 4.682 EPPICResdb0000
05.01.2006 04:41 2.836.320 MRT.exe
29.12.2005 04:08 280.064 gdi32.dll
01.12.2005 04:32 1.495.040 shdocvw.dll
27.11.2005 18:43 4.212 zllictbl.dat
24.11.2005 21:40 100 LuResult.txt
24.11.2005 01:39 3.016.192 mshtml.dll
24.11.2005 01:39 1.022.464 browseui.dll
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
15.11.2005 00:34 54.960 vsutil_loc0407.dll
11.11.2005 16:50 179.448 FNTCACHE.DAT
05.11.2005 04:35 607.232 urlmon.dll
05.11.2005 04:34 1.056.256 danim.dll
21.10.2005 04:38 667.136 wininet.dll
21.10.2005 04:38 474.624 shlwapi.dll
21.10.2005 04:38 530.944 mstime.dll
21.10.2005 04:38 39.424 pngfilt.dll
21.10.2005 04:38 146.432 msrating.dll
21.10.2005 04:38 448.512 mshtmled.dll
21.10.2005 04:38 251.904 iepeers.dll
21.10.2005 04:38 205.312 dxtrans.dll
21.10.2005 04:38 55.808 extmgr.dll
21.10.2005 04:38 96.768 inseng.dll
21.10.2005 04:38 152.064 cdfview.dll


Verzeichnis von C:\DOKUME~1\Luke\LOKALE~1\Temp

10.02.2006 16:30 409.600 ~DF141.tmp
10.02.2006 14:53 409.600 ~DF71C5.tmp
2 Datei(en) 819.200 Bytes
0 Verzeichnis(se), 119.520.641.024 Bytes frei


Verzeichnis von C:\WINDOWS

10.02.2006 15:26 116 NeroDigital.ini
10.02.2006 14:53 1.749.589 WindowsUpdate.log
10.02.2006 14:53 2.048 bootstat.dat
10.02.2006 14:53 32.544 SchedLgU.Txt
09.02.2006 23:04 122.535 RSEDNClientUninstaller.exe
09.02.2006 15:48 530 win.ini
21.11.2005 18:56 200 AUDC50UI.dat
21.11.2005 18:21 316.640 WMSysPr9.prx
11.09.2005 16:44 69.632 uinst001.exe

Verzeichnis von C:\

10.02.2006 16:37 0 sys.txt
10.02.2006 16:37 3.607 system.txt
10.02.2006 16:34 333 systemtemp.txt
10.02.2006 16:32 98.139 system32.txt
10.02.2006 14:53 536.399.872 hiberfil.sys
10.02.2006 14:53 805.306.368 pagefile.sys
09.02.2006 23:04 2.987 installer.txt
04.12.2005 15:27 59 wepkeys.txt
28.10.2005 15:37 868.352 index.php.nv!
26.08.2005 11:57 27 expand.txt
26.08.2005 11:56 211 boot.ini
04.08.2005 23:27 251.712 ntldr


02/10/06 16:38:39 [Info]: BlackLight Engine 1.0.30 initialized
02/10/06 16:38:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/06 16:38:39 [Note]: 7019 4
02/10/06 16:38:39 [Note]: 7005 0
02/10/06 16:38:44 [Note]: 7006 0
02/10/06 16:38:44 [Note]: 7011 3452
02/10/06 16:38:44 [Note]: FSRAW library version 1.7.1014
02/10/06 16:39:59 [Note]: 7007 0


Hoffe,dass ist alles.........
Seitenanfang Seitenende
11.02.2006, 00:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4
öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {A681C5D4-B8E5-4437-B854-8353AFD12B3D} - C:\WINDOWS\system32\mshtmles.dll (file missing)

PC neustarten

scanne mit allen 4 Scannern--> dann neustarten
http://virus-protect.org/multiavtool.html

suche die Scanreporte in C:\AV-CLS und kopiere sie hier. (falls etwas gefunden wurde)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 17:46
Smokey
Member

Themenstarter

Beiträge: 19
#5 Hi Sabine,

tausend dank erstmal , dass du dich meinem Problem annimmst.
Hab alle deine beschriebenen Schritte ausgeführt,anbei das Ergebnis.
greetz Smokey


Options:
"C:\WINDOWS\SYSTEM" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [428440]
Scanning C:\WINDOWS\SYSTEM\*.*

Summary report on C:\WINDOWS\SYSTEM\*.*
File(s)
Total files: ........... 50
Clean: ................. 50
Possibly Infected: ..... 0
Cleaned: ............... 0


Time: 00:00.01



02/11/2006 16:26:33


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [428440]
Scanning C:\WINDOWS\*.*
C:\WINDOWS\cdmxtras\uninst.exe\uninst.exe ... Found potentially unwanted program Adware-FlashGet.
The file or process has been deleted.

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 47559
Clean: ................. 47548
Possibly Infected: ..... 0
Cleaned: ............... 0
Deleted: ............... 1
Non-critical Error(s): 1


Time: 00:12.11

02/11/2006 16:42:47


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /MIME /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: [428440]
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 7689
Clean: ................. 7679
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1
Seitenanfang Seitenende
11.02.2006, 19:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 es muesste alles sauber sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 13:29
Smokey
Member

Themenstarter

Beiträge: 19
#7 Cool.Vielen dank nochmal.
Hast du vielleicht noch nen Tip für mich,wie ich mich
vor dem Müll schützen kann.Reicht das mit Ewido
und Zonealarm?Oder wärs besser noch ein paar
Programme dazu laufen zu lassen?
greetz Smokey
Seitenanfang Seitenende
12.02.2006, 13:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Smokey

mit dem Firefox surfen (der IE bleibt nur noch fuer die WindowsUpdates)
http://virus-protect.org/firefox.html

Eingeschränktes Benutzerkonto
http://virus-protect.org/administrator.html

Microsoft Windows Antispy
http://virus-protect.org/ms.html

;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.02.2006, 14:01
Smokey
Member

Themenstarter

Beiträge: 19
#9 Alles klar.Werde deinen Rat befolgen und
hoffe dich nicht so bald wieder stören zu müssen :-)
greetz Smokey
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1