Hijacker ? Probleme mit 4 Trojanern - TR/Agent.RI TR/Click.526 TR/Puper.BX.. |
||
---|---|---|
#0
| ||
12.07.2006, 15:51
Member
Beiträge: 14 |
||
|
||
12.07.2006, 17:11
Moderator
Beiträge: 7805 |
#2
Antivir sollte diese Dinge im abgesicherten Modus loeschen koennen. Stelle es so ein http://board.protecus.de/t23979.htm, verschiebe alle in Quarantaene und poste dann den Report hier. INcl. einem aktuellen Hijackthis log.
abgesicherter Modus: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Wenn du eine aktuelle Sicherung mit Drive Image hast, spiele diese zurueck. BTW aus neugier: Wozu hast du vmware installiert, wenn du es anscheinend nicht nutzt? BTW2: Kannst du dich noch erinnern, wo du dir das eingefangen haben koenntest? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.07.2006, 17:31
Member
Themenstarter Beiträge: 14 |
#3
Hy,
danke für die Info, Habe mal einen Onlinescanner drüberlaufen und den Log automatisch auswerten lassen ... Das Problem war der Eintrag: O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe Diese Datei ist ein DNS-Changer bzw. Trojan-Downloader... (Kaspersky hat das Teil erkannt) Mit HiJackthis folgende Zeilen gefixt: F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{17ECF4C9-27CB-4907-901B-031C09672D9A}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{24B06757-8346-4164-9F9B-C67AFAA534FF}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCABDE8-D8A3-4FF8-8D4C-688E6FDF4C7F}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{8E907833-69D8-4529-87A3-C508C2211D3D}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{CB695C5B-9611-40D0-B7CA-3479B6A154B5}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F7409E-6BC2-497E-A2B8-96D1FBF92042}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159 O17 - HKLM\System\CS3\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159 Alles im Gesicherten Modus ohne Systemwiederherstellung. Die Datei szbyt.exe nach AVIRA geschickt und danach gelöscht. Jetzt ist alles wieder i.O. VM-Ware war mal ein Exeriment und nur zu Testzwecken installiert - Wurde längst wider gelöscht - Diese Einträge hab ich gleich mit gelöscht. Waren wohl noch Leichen ;-) CU Next Merci |
|
|
||
12.07.2006, 18:01
Moderator
Beiträge: 7805 |
#4
Sofern du alle von antivir und Kaspersky gefunde Malware geloescht hast, solltest du noch via www.windowsupdate.com dein System aktualisieren.
Im Zweifelsfalle poste ein datfind report: http://virus-protect.org/datfindbat.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.07.2006, 21:32
Member
Themenstarter Beiträge: 14 |
#5
Datfind-Log :
Verzeichnis von C:\WINDOWS\system32 12.07.2006 21:03 41.237 nvapps.xml 09.07.2006 16:48 2.262 wpa.dbl 19.06.2006 17:58 57.384 avsda.dll 09.06.2006 12:21 0 hqghumea.dll 06.06.2006 21:09 425.020 kilacln.exe 06.06.2006 21:08 51.210 csfsf.exe 25.05.2006 19:55 0 p.exe 25.05.2006 19:54 0 TFTP2836 12.05.2006 14:49 119.744 FNTCACHE.DAT 26.03.2006 11:29 383.034 perfh009.dat 26.03.2006 11:29 53.974 perfc009.dat 26.03.2006 11:29 393.684 perfh007.dat 26.03.2006 11:29 64.790 perfc007.dat 26.03.2006 11:29 906.136 PerfStringBackup.INI 15.03.2006 15:00 542.195 CmboPls1.ocx 23.02.2006 21:20 0 systemconfig32.exe 22.02.2006 21:14 0 winfixup.exe 18.02.2006 20:33 73 i 14.02.2006 19:32 0 TFTP2724 13.01.2006 16:33 1.568.828 PrpList3.ocx 07.12.2005 21:09 7.006 jupdate-1.5.0_06-b05.log 18.11.2005 19:58 1.375 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat 18.11.2005 19:58 130.048 SpoonUninstall.exe 18.11.2005 19:58 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp 11.11.2005 15:49 180.224 NVUNINST.EXE 11.11.2005 14:47 147.456 nvcolor.exe 07.09.2005 12:07 49.152 spspprv1.dll 07.09.2005 12:07 659.456 spsplib1.dll 13.08.2005 13:10 3.799 jupdate-1.5.0_04-b05.log 21.07.2005 17:45 0 wincfgkop9.exe 16.06.2005 21:14 50.123 QuickTime.qtp 31.05.2005 10:20 79.432 GEARAspi.dll 15.05.2005 22:15 1.908 PQ_DEBUG.TXT 03.05.2005 13:58 78.848 msiexec.exe 03.05.2005 13:58 15.360 msisip.dll 03.05.2005 13:58 884.736 msimsg.dll 03.05.2005 13:58 271.360 msihnd.dll 03.05.2005 13:58 2.890.240 msi.dll 03.05.2005 13:58 15.072 spmsg.dll 21.03.2005 12:08 3.040 jupdate-1.5.0_02-b09.log 12.03.2005 00:48 56.320 pxinsa64.exe 12.03.2005 00:48 61.440 pxhpinst.exe 12.03.2005 00:48 108.544 pxcpyi64.exe 12.03.2005 00:48 109.568 pxinsi64.exe 12.03.2005 00:48 56.832 pxcpya64.exe 12.03.2005 00:28 28.672 vxblock.dll 12.03.2005 00:28 151.552 pxwma.dll 12.03.2005 00:28 339.968 pxwave.dll 12.03.2005 00:28 405.504 pxdrv.dll 12.03.2005 00:28 172.032 pxmas.dll 12.03.2005 00:28 339.968 px.dll 12.02.2005 12:37 100 LuResult.txt Verzeichnis von C:......\LOKALE~1\Temp 12.07.2006 21:13 48.030 jusched.log 12.07.2006 21:13 49.152 ~DFFFF9.tmp 12.07.2006 21:05 54.272 ginstall.dll 12.07.2006 16:51 802 MSI2306f.LOG 12.07.2006 16:49 0 is8.tmp 12.07.2006 16:48 0 is5.tmp 12.07.2006 16:08 447 xnf2B.tmp 12.07.2006 16:01 447 mtv1F.tmp 12.07.2006 15:55 447 rno8.tmp 12.07.2006 15:48 447 saf3.tmp 12.07.2006 15:42 447 ean1.tmp 12.07.2006 15:33 447 yau1A.tmp 12.07.2006 15:27 447 yulA.tmp 12.07.2006 15:21 447 kay9.tmp 12.07.2006 15:14 447 aau7.tmp 12.07.2006 15:07 447 qpz5.tmp 12.07.2006 15:01 447 lvc1.tmp 12.07.2006 14:57 738 vminst.log 12.07.2006 14:08 447 zhi1.tmp 12.07.2006 07:55 447 bkn1.tmp 11.07.2006 17:16 447 usm12.tmp 11.07.2006 17:09 447 gcb1.tmp 11.07.2006 10:34 447 ddh3E4.tmp 10.07.2006 18:05 30.368 java_install_reg.log 09.07.2006 18:02 0 WMP13E.tmp 07.07.2006 19:48 939 jupdate1.5.0.xml 06.07.2006 17:06 32.768 ~DF34C1.tmp 04.07.2006 16:19 0 WMP126.tmp 04.07.2006 16:15 0 WMP125.tmp 04.07.2006 14:04 0 WMP10F.tmp 04.07.2006 14:01 0 WMP10E.tmp 04.07.2006 14:00 0 WMP10D.tmp 04.07.2006 13:58 0 WMP10C.tmp 04.07.2006 13:58 0 WMP10B.tmp 04.07.2006 13:57 0 WMP10A.tmp 04.07.2006 13:24 32.768 ~DFEC56.tmp 01.07.2006 12:13 32.768 ~DF8882.tmp 01.07.2006 12:03 312.580 04_W26_PR_End.pdf 01.07.2006 12:01 1.324.838 tmp.xpi 30.06.2006 16:17 663.229 jar_cache1477.tmp 30.06.2006 08:53 0 WMP73.tmp 30.06.2006 08:53 0 WMP72.tmp 30.06.2006 08:52 0 WMP71.tmp Verzeichnis von C:\WINDOWS 12.07.2006 21:26 65 iTouch.ini 12.07.2006 21:05 0 0.log 12.07.2006 21:04 159 wiadebug.log 12.07.2006 21:04 50 wiaservc.log 12.07.2006 21:03 2.048 bootstat.dat 12.07.2006 16:24 352 system.ini 12.07.2006 16:09 1.316 SchedLgU.Txt 12.07.2006 14:57 1.629 setupapi.log 12.07.2006 14:01 225.016 ntbtlog.txt 10.07.2006 10:20 116 NeroDigital.ini 08.07.2006 13:56 192 winamp.ini 01.07.2006 12:01 12.409 mozver.dat 28.06.2006 20:02 213 wininit.ini 15.06.2006 14:01 2.582 cdplayer.ini 06.06.2006 21:10 4.334 rdt.ini 17.05.2006 16:07 5.947 WISO.INI 14.05.2006 14:08 54.156 QTFont.qfn 12.05.2006 16:33 0 setuperr.log 11.05.2006 18:34 1.409 QTFont.for 11.05.2006 18:33 121 GEARInstall.log 01.05.2006 18:13 2.970 tm.ini Verzeichnis von C:\ 12.07.2006 21:29 0 sys.txt 12.07.2006 21:29 9.761 system.txt 12.07.2006 21:25 8.547 systemtemp.txt 12.07.2006 21:23 7.125 winzip.log 12.07.2006 21:23 112.471 system32.txt 12.07.2006 21:03 536.399.872 hiberfil.sys 12.07.2006 21:03 804.495.360 pagefile.sys 12.07.2006 17:03 494 hpfr5550.xml Ist hier noch was zu sehen ??? Kurze Info wäre nicht schlecht... Danke im Voraus |
|
|
||
12.07.2006, 21:39
Moderator
Beiträge: 7805 |
#6
Die DAteien bitte bei Jotti pruefen, oder an mich schicken:
06.06.2006 21:09 425.020 kilacln.exe 06.06.2006 21:08 51.210 csfsf.exe BTW: Diese durch einen TFTP Bug in Windows wirst du immer mit neuer Malware versorgt (TFTP* Dateien) Das passiert dir im gepatchtem System nicht mehr! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.07.2006, 23:31
Member
Themenstarter Beiträge: 14 |
#7
Oje,
habe mal bei Jotti nachgesehen mit den Files, die Du genannt hast: File: kilacln.exe Status: INFECTED/MALWARE MD5 88a54fa9eb600a7ee43b94c63aa02f02 Packers detected: - Scanner results AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing Dr.Web Found Trojan.Fakealert F-Prot Antivirus Found nothing Fortinet Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found Win32/Adware.KAC application Norman Virus Control Found KillAndClean.A UNA Found nothing VirusBuster Found nothing VBA32 Found Trojan.Fakealert Das zweite File ist anscheinend schon von Scanner eleminiert worden, zumindest finde ich es nicht mehr unter system32 ! Mist aber auch, die Dinger sind ja echt hartnäckig.... Was kann ich noch tun ? |
|
|
||
13.07.2006, 11:05
Moderator
Beiträge: 7805 |
#8
Das ist eine Wareout Variante, leider kann fixwareout die KillandClean Variante nicht entfernen. Aber das groebste ist weg. Erstelle nochmal einen Dafindreport(fuer dich) und schaue, ob die Datei csfsf.exe
noch angezeigt wird. Falls ja, mache nochmal eine ueberpruefung mit Blacklight www.f-secure.com/blacklight . Ein Kontrollscan mit Cureit im abgesicherten Modus, koenntest du auch noch machen. http://virus-protect.org/cureit.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.07.2006, 14:03
Ehrenmitglied
Beiträge: 29434 |
#9
Virus TRXXX
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten + poste das log vom avenger, was erscheint + das neue Log vom HijackThis + Download FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> ier posten + RootkitRevealer -> Log hier posten http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 14:07
Member
Themenstarter Beiträge: 14 |
#10
Also:
Datfind zeigt nix mehr (csfsf.exe)... Somit brauche ich Blaclight nicht mehr auszuführen, richtig ? Cureit mache ich auch gleich, poste dann alles hier... Bis gleich... |
|
|
||
13.07.2006, 14:21
Moderator
Beiträge: 7805 |
#11
Schaden kann ein scan mit Blacklight nicht. Wie von Sabina forgeschlagen kannst du auch fixwareout laufen lassen. Es sollte Reste, die alle diese Varianten nutzen loeschen koennen. Um deine Temp Ordner zu loeschen nutze bitte die Datentraegerbereinigung: http://support.microsoft.com/default.aspx?scid=kb;de;315246
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.07.2006, 14:29
Member
Themenstarter Beiträge: 14 |
#12
Avenger Log:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\phedosmh ******************* Script file located at: \??\C:\Program Files\jbhpinpl.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\System32\szbyt.exe not found! Deletion of file C:\WINDOWS\System32\szbyt.exe failed! Could not process line: C:\WINDOWS\System32\szbyt.exe Status: 0xc0000034 File C:\WINDOWS\system32\hqghumea.dll not found! Deletion of file C:\WINDOWS\system32\hqghumea.dll failed! Could not process line: C:\WINDOWS\system32\hqghumea.dll Status: 0xc0000034 File C:\WINDOWS\system32\kilacln.exe not found! Deletion of file C:\WINDOWS\system32\kilacln.exe failed! Could not process line: C:\WINDOWS\system32\kilacln.exe Status: 0xc0000034 File C:\WINDOWS\system32\csfsf.exe deleted successfully. File C:\WINDOWS\system32\p.exe not found! Deletion of file C:\WINDOWS\system32\p.exe failed! Could not process line: C:\WINDOWS\system32\p.exe Status: 0xc0000034 File C:\WINDOWS\system32\TFTP2836 not found! Deletion of file C:\WINDOWS\system32\TFTP2836 failed! Could not process line: C:\WINDOWS\system32\TFTP2836 Status: 0xc0000034 File C:\WINDOWS\system32\systemconfig32.exe not found! Deletion of file C:\WINDOWS\system32\systemconfig32.exe failed! Could not process line: C:\WINDOWS\system32\systemconfig32.exe Status: 0xc0000034 File C:\WINDOWS\system32\winfixup.exe not found! Deletion of file C:\WINDOWS\system32\winfixup.exe failed! Could not process line: C:\WINDOWS\system32\winfixup.exe Status: 0xc0000034 File C:\WINDOWS\system32\i not found! Deletion of file C:\WINDOWS\system32\i failed! Could not process line: C:\WINDOWS\system32\i Status: 0xc0000034 File C:\WINDOWS\system32\TFTP2724 not found! Deletion of file C:\WINDOWS\system32\TFTP2724 failed! Could not process line: C:\WINDOWS\system32\TFTP2724 Status: 0xc0000034 File C:\WINDOWS\rdt.ini not found! Deletion of file C:\WINDOWS\rdt.ini failed! Could not process line: C:\WINDOWS\rdt.ini Status: 0xc0000034 File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ginstall.dll deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\MSI2306f.LOG deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is8.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\is5.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\xnf2B.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\mtv1F.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\rno8.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\saf3.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ean1.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yau1A.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\yulA.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\kay9.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\aau7.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\qpz5.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\lvc1.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\vminst.log deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\zhi1.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\bkn1.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\usm12.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\gcb1.tmp deleted successfully. File C:\Dokumente und Einstellungen\MDYK\Lokale Einstellungen\Temp\ddh3E4.tmp deleted successfully. Completed script processing. ******************* Finished! Terminate. Cureit-Log folgt gleich.... |
|
|
||
13.07.2006, 14:34
Ehrenmitglied
Beiträge: 29434 |
#13
das neue Log vom HijackThis waere dann auch interessant, um die 017-Eintraege zu ueberpeufen
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.07.2006, 17:05
Member
Themenstarter Beiträge: 14 |
#14
Cureit (Dr. Web) hat keine Infizierte Datei mehr gefunden....
Demnach sollte der Rechner Clean sein ? Hier der neue HiJack-Log: Logfile of HijackThis v1.99.1 Scan saved at 17:03:13, on 13.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\SPYWAREfighter\spfprc.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Eraser\eraser.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Digital Image\Monitor.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\MDYK\Desktop\1_99_1.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [dmgap.exe] C:\WINDOWS\System32\dmgap.exe O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Monitor.lnk = C:\Programme\Digital Image\Monitor.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe Findet Ihr noch was ??? |
|
|
||
13.07.2006, 18:24
Ehrenmitglied
Beiträge: 29434 |
#15
Zitat O4 - HKLM\..\Run: [dmgap.exe] C:\WINDOWS\System32\dmgap.exeDownload FixWareout http://downloads.subratam.org/Fixwareout.exe Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt -> ier posten + RootkitRevealer -> Log hier posten http://www.sysinternals.com/Utilities/RootkitRevealer.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
habe seid 3 Tagen das Problem, das mein Antivirus reglmäßig sagt (Alle 5-10 Minuten), es wären Trojaner auf meinem Rechner...
Habe das Gefühl, das ein Programm läuft, das immer ide Dinger aus dem Netz ziehen will...
Die Trojaner, die AntiVir anmeckert sind:
TR/Agent.RI
TR/Click.526
TR/Puper.BX
TR/Dldr.BNSChan.R.5
Hier mein HijackThis-Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:43:12, on 12.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\MDYK\Desktop\1_99_1.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.de/
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [szbyt.exe] C:\WINDOWS\System32\szbyt.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Monitor.lnk = C:\Programme\Digital Image\Monitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} - http://otx.ifilm.com/OTXMedia/OTXMedia.dll
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{17ECF4C9-27CB-4907-901B-031C09672D9A}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{24B06757-8346-4164-9F9B-C67AFAA534FF}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CCABDE8-D8A3-4FF8-8D4C-688E6FDF4C7F}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E907833-69D8-4529-87A3-C508C2211D3D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB695C5B-9611-40D0-B7CA-3479B6A154B5}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3F7409E-6BC2-497E-A2B8-96D1FBF92042}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O17 - HKLM\System\CS3\Services\Tcpip\..\{110ABBB1-9DF5-44F9-AD78-565BE30B867D}: NameServer = 85.255.115.77,85.255.112.159
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.77 85.255.112.159
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe
Kann mir hier irgendjemand helfen, ich hab davon nicht so den Plan, was muß ich machen ????
Danke im Voraus !