Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: Trojaner

  1. #1
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    Böse Trojaner

    Huhu!
    Ich bin leider auf diesem Gebiet ein ziemlicher Anfänger. Ich hoffe aber schwer, dass Ihr mir helfen könnt. Und zwar habe ich mir irgendwie einen Trojaner eingefangen, den ich einfach nicht loswerde. Es kommt zwar immer wieder eine Meldung von Norton, die mir seine "Anwesenheit" meldet. Aber er lässt sich dann weder reparieren noch löschen. Ich bin gespannt auf Eure Tipps und wäre Euch echt dankbar, wenn Ihr mir helfen könnt, da das Arbeiten so sehr mühsam ist (wahnsinnig langsam). Besten Dank im Voraus.

    Mein Logfile:
    Code:
    Logfile of HijackThis v1.97.7
    Scan saved at 00:02:17, on 19.07.2005
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    
    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\csrss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    E:\Programme\Norton AntiVirus\navapsvc.exe
    E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    E:\WINDOWS\System32\nvsvc32.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\TBPanel.exe
    E:\WINDOWS\Mixer.exe
    E:\PROGRA~1\NORTON~1\navapw32.exe
    E:\Programme\Caere\OmniPagePro90\opware32.exe
    E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    E:\Programme\Messenger Plus! 3\MsgPlus1.exe
    E:\WINDOWS\system32\ntvdm.exe
    E:\Programme\Winamp\winampa.exe
    E:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    E:\WINDOWS\System32\ctfmon.exe
    E:\Programme\Java\jre1.5.0_02\bin\jucheck.exe
    e:\windows\system32\guivslb.exe
    E:\Programme\MSN Messenger\msnmsgr.exe
    E:\Programme\Internet Explorer\IEXPLORE.EXE
    E:\Programme\Hijack This\HijackThis.exe
    E:\PROGRA~1\NORTON~1\QServer.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.news.ch/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
    O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Gainward] E:\WINDOWS\TBPanel.exe /A
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [Advanced Tools Check] E:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
    O4 - HKLM\..\Run: [OmniPage] E:\Programme\Caere\OmniPagePro90\opware32.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\Messenger Plus! 3\MsgPlus1.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] E:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [Windows Taskmanager] lsassx.exe
    O4 - HKLM\..\Run: [SpyHunter] E:\Programme\SpyHunter\SpyHunter.exe
    O4 - HKLM\..\Run: [sncasto] e:\windows\system32\gmnnmfc.exe
    O4 - HKLM\..\Run: [xwiwkfm] e:\windows\system32\kknrgp.exe
    O4 - HKLM\..\Run: [hjbzca] e:\windows\system32\lxyelv.exe
    O4 - HKLM\..\Run: [Olympic] E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321.exe
    O4 - HKLM\..\Run: [ebxshvj] e:\windows\system32\guivslb.exe r
    O4 - HKLM\..\RunServices: [Windows Taskmanager] lsassx.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "E:\Programme\Messenger Plus! 3\MsgPlus1.exe" /WinStart
    O4 - HKCU\..\Run: [Spyware Doctor] "E:\Programme\Spyware Doctor\swdoctor.exe" /Q
    O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: SpywareGuard.lnk = E:\Programme\SpyWareGuard\sgmain.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Spyware Doctor (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: www.skymasters.biz
    O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
    O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38183.158587963
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

  2. #2
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojaner

    Hallo Celvin

    ein bisschen viel, was du uns hier anzubieten hast:
    => also wir verwenden HijackThis in der Version v1.99.1
    => dann Windows, dein Betriebssystem, ist hoffnungslos veraltet.
    Es gibt mittlerweile bereits das Service Pack 2
    => Der Internet Explorer in der Version v6.00 (6.00.2600.0000) ist ebenfalls antik.

    So kommt es, dass wir gern etliche Dateien von deinem System haben moechten, die du nicht brauchst, aber hast.

    Kannst du alles auf deinem Rechner sehen? Überprüfe deine Einstellungen:

    Im Windows-Explorer:
    >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und
    >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

    Lade bitte diese unbekannten Dateien zur Analyse hoch

    e:\windows\system32\gmnnmfc.exe
    e:\windows\system32\kknrgp.exe
    e:\windows\system32\lxyelv.exe
    E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321. exe
    e:\windows\system32\guivslb.exe

    -> Upload malicious software

    Solltest du die Dateien nicht finden, versuch es hiermit:

    Neustart in den abgesicherten Modus [F8] (Windows).

    Start - ausführen - (schreib) cmd.exe [enter]
    im neuen Fenster:
    (schreib) md C:\Boese [enter]

    (schreib) copy e:\windows\system32\gmnnmfc.exe C:\Boese
    (schreib) copy e:\windows\system32\kknrgp.exe C:\Boese
    (schreib) copy e:\windows\system32\lxyelv.exe C:\Boese
    (schreib) copy "E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321. exe" C:\Boese
    (schreib) copy e:\windows\system32\guivslb.exe C:\Boese

    exit

    Bitte den Ordner Boese MIT den Dateien hochladen: Upload malicious software

    Melde dich und lass uns wissen, ob der Upload funktioniert hat.

    Wenn du das gemacht hast, empfehle ich dir dein System zu formatieren und neu auf zu setzen, anhand dieser Anleitung, die du sehr gut durchlesen solltest, um nicht mit noch mehr Malware zurueckzukommen, als du bereits auf dem System hast. Momentan hast du den W32/Rbot-WX, alias Backdoor.Win32.IRCBot.y auf dem System. Er hat u.a. diese Funktionen:

    # Ermöglicht Dritten den Zugriff auf den Computer
    # Reduziert die Systemsicherheit
    # Installiert sich in der Registrierung
    # Nutzt bekannte Schwachstellen aus

    das heisst dein Rechner gehoert dir nicht mehr. Jemand anderes kann alles damit machen, beispielsweise Angriffe auf Server ect.

    Beende den Prozess

    lsassx.exe

    im Taskmanager.

    Boote in den abgesicherten Modus und loesche den File

    C:\WINDOWS\System32\lsassx.exe

    nun hast du die Zeit, die du brauchst, um dich einzulesen, um dein System richtig zu formatieren und neu aufzusetzen.

    -----------------------
    Lade RegistryProt runter,
    lass es im Autostart mitlaufen.
    Es handelt sich dabei um ein Wächterprogramm, das um Genehmigung fragt,
    wann immer sich ein Programm ein- oder zuschalten will.

    Bitte bis zum Formatieren deines Systems
    kein Online-Banking, File-sharing, Mailing, Messaging betreiben.
    Keine Up und Downloads, ausser auf Security Seiten.
    Mehr Information hierzu unter "System-Pflege" (meine Signatur).

    -----------------------

  3. #3
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    AW: Trojaner

    Hallo Ruby
    Besten Dank für Deine Antwort! Das ging wirklich sehr flott. Finde das super.
    Nun ergaben sich aber bei den Ausführungen Deiner Ratschläge verschiedene Probleme:
    1. Die Dateien habe ich tatsächlich nicht gefunden. Aber leider habe ich es auch auf die zweite von Dir vorgeschlagene Art nicht geschafft, die Dateien zu finden. Nur eine wurde gefunden: ...guivslb.exe. Als ich die aber hochladen wollte, kam folgende Meldung: "Die Datei erfüllt nicht unsere Kriterien. Es werden keine .log, .txt oder .html Dateien angenommen. Maximal darf die Datei 2 MB groß sein. Es kann auch sein, dass die Datei auf Ihrem Rechner nicht mehr existiert.". Aber im erstellten Ordner war sie drin...
    2. Im Taskmanager war kein Prozess mit Namen "lsassx.exe" zu finden. Auch das File e:\WINDOWS\System32\lsassx.exe habe ich nicht auf meinem PC. Dafür den Prozess "lsass.exe" und auch das entsprechende File im Windows-Ordner. Ist vielleicht das gemeint?

    Nachtrag:
    Ich habe den Spyware Doctor installiert. Er meldet zur Zeit öfters, dass der ProcessGuard das Ausführen der Datei thnall1ac.exe verhindert. Wenn das evt. noch weiterhilft.

    Besten Dank!
    Geändert von Celvin (19.07.2005 um 02:18 Uhr) Grund: Nachtrag

  4. #4
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojaner

    Hallo Celvin

    versuchen wir es damit, es kann allerdings sein, dass es nicht klappt.

    Lade bitte den Suspicious File Packer runter.
    Wenn du ein Zip-Programm brauchst, verwende UltimateZip (Freeware).
    Entpacke den Suspicious File Packer auf deinen Desktop, lass ihn laufen.
    Kopiere/=>Browse die hier angeforderte(n) Datei(en)

    e:\windows\system32\gmnnmfc.exe
    e:\windows\system32\kknrgp.exe
    e:\windows\system32\lxyelv.exe
    E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321. exe
    e:\windows\system32\guivslb.exe

    -> in das Fensterchen des Suspicious File Packer.
    Das Programm erstellt nun eine *.cab-Datei auf deinem Desktop.
    Lade diese *.cab Datei hoch:

    1. -> Upload malicious software

    Teile uns mit, ob der Upload der *.cab Datei funktioniert hat.
    Danke.

    P.S.
    Die Datei "thnall1ac.exe" kannst du da auch hineinpacken, wenn du sie findest.

  5. #5
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    AW: Trojaner

    Alles klar! Hat soweit geklappt! Hab die .cab-Datei hochgeladen!

  6. #6
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    AW: Trojaner

    Huhu!
    Habe Antwort von "mailwareupload.com" erhalten... Habe wohl irgendwie doch etwas falsch gemacht oder falsch verstanden. Denn die Antwort lautete, dass mein "*.cab-Archiv" leer gewesen sei. Musste ich nicht einfach den angefügten Text in dieses Fenster kopieren und dann "continuen"? Bin wohl zu blöd...

    e:\windows\system32\gmnnmfc.exe
    e:\windows\system32\kknrgp.exe
    e:\windows\system32\lxyelv.exe
    E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321. exe
    e:\windows\system32\guivslb.exe

  7. #7
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojaner

    Hallo Celvin

    die Dateien sind nicht bei uns angekommen, das Cab-Archiv war leer.
    Eigentlich solltest du die Dateien reinbrowsen.

    Lade Silent Runner runter.
    Wende es, entsprechend der bebilderten Anleitung, an.
    Erstelle damit ein Logfile und poste es.

    Hast du dich schon mit dem Gedanken auseinandergesetzt, dein System zu formatieren und neu aufzusetzen? Du hast nicht ewig Zeit, dein System ist verseucht.

  8. #8
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    AW: Trojaner

    Ok, habe ich gemacht... Ich habe mich schon mal mit diesem Gedanken versucht anzufreuden, werde es auch in nächster Zeit mal tun. Aber dazu brauche ich die Hilfe eines Kollegen, da ich selbst noch nie den Computer formatiert habe und nicht alle meien Daten verlieren möchte.

    Das Logfile:

    Code:
    "Silent Runners.vbs", revision 39, http://www.silentrunners.org/
    Operating System: Windows XP
    Output limited to non-default values, except where indicated by "{++}"
    
    
    Startup items buried in registry:
    ---------------------------------
    
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "CTFMON.EXE" = "E:\WINDOWS\System32\ctfmon.exe" [MS]
    "MessengerPlus3" = ""E:\Programme\Messenger Plus! 3\MsgPlus1.exe" /WinStart" ["Patchou"]
    "Spyware Doctor" = ""E:\Programme\Spyware Doctor\swdoctor.exe" /Q" ["PCTools"]
    "msnmsgr" = ""E:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]
    
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
    "NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
    "C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
    "NAV Agent" = "E:\PROGRA~1\NORTON~1\navapw32.exe" ["Symantec Corporation"]
    "OmniPage" = "E:\Programme\Caere\OmniPagePro90\opware32.exe" ["Caere Corporation"]
    "QuickTime Task" = ""E:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
    "MessengerPlus3" = ""E:\Programme\Messenger Plus! 3\MsgPlus1.exe"" ["Patchou"]
    "WinampAgent" = "E:\Programme\Winamp\winampa.exe" [null data]
    "Windows Taskmanager" = "lsassx.exe" [file not found]
    "SpyHunter" = "E:\Programme\SpyHunter\SpyHunter.exe" [file not found]
    "sncasto" = "e:\windows\system32\gmnnmfc.exe" [file not found]
    "xwiwkfm" = "e:\windows\system32\kknrgp.exe" [file not found]
    "hjbzca" = "e:\windows\system32\lxyelv.exe" [file not found]
    "Olympic" = "E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321.exe" [file not found]
    "ljydgj" = "e:\windows\system32\fmibejv.exe r" [null data]
    
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
    {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
    {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}\(Default) = "PCTools Site Guard" [from CLSID]
      -> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll" ["PC Tools"]
    {B56A7D7D-6927-48C8-A975-17DF180C71AC}\(Default) = "PCTools Browser Monitor" [from CLSID]
      -> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]
    {BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
    
    HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
    "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
      -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
    "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
      -> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
    "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer"
      -> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\System32\nvshell.dll" [null data]
    "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
    "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
    "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Real\RealOne Player\rpshellext.dll" ["RealNetworks"]
    "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Winrar\rarext.dll" [null data]
    
    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
    INFECTION WARNING! "{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}" = "*_" (unwriteable string)
      -> {CLSID}\InProcServer32\(Default) = "*X" (unwriteable string) [file not found]
    INFECTION WARNING! "{FB153DCE-822E-47ec-8D00-2706E7864B37}" = "*_" (unwriteable string)
      -> {CLSID}\InProcServer32\(Default) = "E:\WINDOWS\KB290333.dll" [null data]
    
    HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
    Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Winrar\rarext.dll" [null data]
    
    HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Winrar\rarext.dll" [null data]
    
    HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
    Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
    WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Winrar\rarext.dll" [null data]
    
    
    Active Desktop and Wallpaper:
    -----------------------------
    
    Active Desktop is enabled at this entry:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
    
    HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
    "Wallpaper" = "%APPDATA%\Microsoft\Internet Explorer\Internet Explorer Wallpaper.bmp"
    
    Active Desktop web content:
    
    HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
    "FriendlyName" = "Die derzeitige Homepage"
    "Source" = "About:Home"
    "SubscribedURL" = "About:Home"
    
    
    Enabled Screen Saver:
    ---------------------
    
    HKCU\Control Panel\Desktop\
    "SCRNSAVE.EXE" = "E:\WINDOWS\WEISS_~1.SCR" (weiss_uhr_klein.scr) ["ScreenTime Media"]
    
    
    Startup items in "Mechi" & "All Users" startup folders:
    -------------------------------------------------------
    
    E:\Dokumente und Einstellungen\Mechi\Startmenü\Programme\Autostart
    "SpywareGuard" -> shortcut to: "E:\Programme\SpyWareGuard\sgmain.exe" [file not found]
    
    E:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    "Microsoft Office" -> shortcut to: "E:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
    
    
    Enabled Scheduled Tasks:
    ------------------------
    
    "Norton AntiVirus - Meinen Computer prüfen" -> launches: "E:\PROGRA~1\NORTON~1\NAVW32.exe /task:E:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca" ["Symantec Corporation"]
    "Symantec NetDetect" -> launches: "E:\Programme\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]
    
    
    Winsock2 Service Provider DLLs:
    -------------------------------
    
    Namespace Service Providers
    
    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
    000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
    000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
    
    Transport Service Providers
    
    HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
    0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
    %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
    %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
    
    
    Toolbars, Explorer Bars, Extensions:
    ------------------------------------
    
    Toolbars
    
    HKLM\Software\Microsoft\Internet Explorer\Toolbar\
    "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
    
    Extensions (Tools menu items, main toolbar menu buttons)
    
    HKLM\Software\Microsoft\Internet Explorer\Extensions\
    {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
    "MenuText" = "Sun Java Konsole"
    "CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
      -> {CLSID}\InProcServer32\(Default) = "E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]
    
    {2D663D1A-8670-49D9-A1A5-4C56B4E14E84}\
    "ButtonText" = "Spyware Doctor"
    "CLSIDExtension" = "{A1EDC4A1-940F-48E0-8DFD-E38F1D501021}"
      -> {CLSID}\InProcServer32\(Default) = "E:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll" ["GuideWorks Pty. Ltd."]
    
    {FB5F1910-F110-11D2-BB9E-00C04F795683}\
    "ButtonText" = "Messenger"
    "MenuText" = "Messenger"
    "Exec" = "E:\Programme\Messenger\MSMSGS.EXE" [MS]
    
    
    Miscellaneous IE Hijack Points
    ------------------------------
    
    E:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")
    
    Added lines (compared with English-language version):
    [Strings]: START_PAGE_URL=http://www.bluewin.ch
    
    Missing lines (compared with English-language version):
    [Strings]: 1 line
    
    
    Running Services (Display Name, Service Name, Path {Service DLL}):
    ------------------------------------------------------------------
    
    Machine Debug Manager, MDM, ""E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
    Norton AntiVirus Auto-Protect-Dienst, navapsvc, "E:\Programme\Norton AntiVirus\navapsvc.exe" ["Symantec Corporation"]
    Norton Unerase Protection, NProtectService, "E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE" ["Symantec Corporation"]
    NVIDIA Driver Helper Service, NVSvc, "E:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
    
    
    ----------
    + This report excludes default entries except where indicated.
    + To see *everywhere* the script checks and *everything* it finds,
      launch it from a command prompt or a shortcut with the -all parameter.
    + To search all directories of local fixed drives for DESKTOP.INI
      DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
      use the -supp parameter or answer "Yes" at the first message box.
    ---------- (total run time: 131 seconds, including 18 seconds for message

  9. #9
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Trojaner

    Führe einen mwavscan durch

    Bitte die Systemwiederherstellung im Wechsel aktivieren, deaktivieren, dazwischen jedes mal neu booten. Nimm dir Zeit dafür, das System ist nicht so schnell. 5-10 Minuten zwischen den einzelnen Durchgängen. Zum Schluss muss die Systemwiederherstellung deaktiviert, also ausgestellt sein.

    Lade den CCleaner runter, setze in alle Kästchen (Windows, Anwendungen und Probleme) ein Häkchen und drücke dann auf "Starte Cleaner".

    Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

    1) Lege einen Ordner c:\bases an (Einführung in Windows)
    2) Download der -> mwav.exe <- diesen Link verwenden!
    3) Entpacke die Datei (mit einem Zip-Programm UltimateZip) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
    4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
    5) Wechsle in den abgesicherten Modus von Windows
    6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
    7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken. Angehakt werden soll alles, was auf dieser Abbildung zu sehen ist:


    8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
    9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "tagged as" ein


    -> jede Zeile in der "tagged as" bzw. "infected" steht, markieren,
    und hier einfügen, weitersuchen usw.


    (Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

    Ganz unten steht die Zusammenfassung, diese auch hier posten :

    =>Total Number of Files Scanned:
    =>Total Number of Virus(es) Found:
    =>Total Number of Disinfected Files:
    =>Total Number of Files Renamed:
    =>Total Number of Deleted Files:
    =>Total Number of Errors:
    ***** Scanning complete. *****

    Poste das Ergebnis des Scan und ein neues HJT-Logfile.

  10. #10
    Einsteiger
    Registriert seit
    18.07.2005
    Beiträge
    10

    AW: Trojaner

    Hallo!
    Sorry, dass es so lange gedauert hat. Hatte ein wenig Stress. Also, hier die von Dir gewünschten Angaben.

    Ich habe also das Programm eScan durchgeführt. Ich musste es aber beim ersten Mal abbrechen, da mein Bruder dringend an den Computer musste. Deshalb habe ich Dir quasi zwei Ergebnisse.

    Das erste (zeimlich viel gefunden). Dazu muss ich noch sagen, dass ich anschliessend nicht alle "tagged as"-Dinge poste, da es unzählige sind. Ich habe Dir ein paar Müsterchen dazugegeben. Kann man diese nicht löschen? AdAware und Search&Destroy habe ich bereits darüber laufen lassen...

    Code:
    File e:\windows\system32\agucot.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\assest.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\jaaste.dll infected by "Trojan.Win32.Agent.fc" Virus. Action Taken: File to be deleted on reboot.
    
    File E:\WINDOWS\KB290333.dll infected by "Trojan.Win32.Agent.fc" Virus. Action Taken: File to be deleted on reboot.
    
    File E:\WINDOWS\m7.exe infected by "Trojan-Downloader.Win32.Swizzor.bt" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\sasent.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\sasetup.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Videogames.exe infected by "Trojan.Win32.Dialer.q" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\System32\eglivecam.exe infected by "Trojan-Downloader.Win32.Wintrim.bc" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\System32\P2ECOM.dll infected by "Trojan.Win32.P2E.al" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KeepEncPartInfo\Vcatom.exe infected by "Trojan-Downloader.Win32.Swizzor.bz" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Ooze wait bone\glue army extra.exe infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Phone Drv\dartdumb.exe infected by "Trojan-Downloader.Win32.Swizzor.bo" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5UFCHEN\popunder[1].htm infected by "Trojan.JS.Seeker-based" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\Rem25.exe infected by "Trojan-Downloader.Win32.Swizzor.br" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\Rem29.exe infected by "Trojan-Downloader.Win32.Swizzor.br" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\Rem4D.exe infected by "Trojan-Downloader.Win32.Swizzor.av" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\Rem7.exe infected by "Trojan-Downloader.Win32.Swizzor.br" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\RemE.exe infected by "Trojan-Downloader.Win32.Swizzor.br" Virus. Action Taken: File Deleted.
    
    File E:\Dokumente und Einstellungen\Mätthu\Lokale Einstellungen\Temp\sta4.exe infected by "Trojan-Downloader.Win32.Swizzor.aw" Virus. Action Taken: File Deleted.
    
    File E:\Programme\Finder\PWFinder.dll infected by "Trojan-Spy.Win32.Qeds.a" Virus. Action Taken: File Deleted.
    
    File E:\Programme\Password-Finder\PWFinder.dll infected by "Trojan-Spy.Win32.Qeds.a" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142010762.exe infected by "Trojan.Win32.Dialer.hc" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012574.exe infected by "Trojan.Win32.Dialer.hc" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012939.OCX infected by "Trojan-Downloader.Win32.Stardler.a" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\3060.exe infected by "Trojan.Win32.Dialer.hc" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012939.OCX infected by "Trojan-Downloader.Win32.Stardler.a" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012941.DLL infected by "Trojan-Downloader.Win32.Wintrim.bk" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012950.dll infected by "Trojan.Win32.Dialer.bi" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012960.exe infected by "Trojan.Win32.Stervis.c" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\NPROTECT\142012964.DLL infected by "Trojan-Spy.Win32.Globar.a" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\S-1-5-21-682003330-2077806209-839522115-1006\De123\password.exe infected by "Trojan-Spy.Win32.Qeds.a" Virus. Action Taken: File Deleted.
    
    File E:\RECYCLER\S-1-5-21-682003330-2077806209-839522115-1007\De1\guivslb.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\3060.exe infected by "Trojan.Win32.Dialer.hc" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.1\3060.exe infected by "Trojan.Win32.Dialer.hc" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.1\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.1\Teen***.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.2\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.2\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.2\Teen***.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed.
    
    ile E:\WINDOWS\Downloaded Program Files\CONFLICT.3\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    ile E:\WINDOWS\Downloaded Program Files\CONFLICT.4\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\Downloaded Program Files\CONFLICT.5\AUTO_3060_N.exe infected by "Trojan.Win32.Dialer.hh" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\LastGood\System32\nlkwxf.exe infected by "Trojan-Downloader.Win32.Agent.ae" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\LastGood\System32\P2ECOM.dll infected by "Backdoor.Win32.Magicon.f" Virus. Action Taken: File Renamed.
    
    
    
    
    File E:\WINDOWS\69632 tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.
    
    E:\WINDOWS\installer[hausaufgaben,de,SIDx_x3_hausaufgaben.com_130.218.186.195.dial.bluewin.ch_195.186.218.130].exe tagged as not-a-virus:Dialer.Win32.Stardialer. No Action Taken.
    
    File E:\WINDOWS\kjqdkf.exe tagged as not-a-virus:AdWare.BetterInternet.c. No Action Taken
    
    File E:\WINDOWS\System32\EGCOMLIB_1035.dll tagged as not-a-virus:Porn-Dialer.Win32.InstantAccess. No Action Taken.
    
    File E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KeepEncPartInfo\BibSoftware.exe tagged as not-a-virus:AdWare.Lop.j. No Action Taken.
    
    
    Thu Jul 21 14:02:04 2005 => Total Number of Files Scanned: 54632
    Thu Jul 21 14:02:04 2005 => Total Number of Virus(es) Found: 1222
    Thu Jul 21 14:02:04 2005 => Total Number of Disinfected Files: 2
    Thu Jul 21 14:02:04 2005 => Total Number of Files Renamed: 88
    Thu Jul 21 14:02:04 2005 => Total Number of Deleted Files: 46
    Thu Jul 21 14:02:04 2005 => Total Number of Errors: 6
    Das zweite:

    Code:
    File E:\WINDOWS\system\CONFLICT.EXE infected by "Trojan.Win32.Condrag.g" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\system\WMACTIVE.EXE infected by "Trojan.Win32.Condrag.f" Virus. Action Taken: File Deleted.
    
    File E:\WINDOWS\webdev\hot***.exe infected by "Trojan.Win32.Dialer.dq" Virus. Action Taken: File Deleted.
    
    
    
    Thu Jul 21 16:08:12 2005 => Total Number of Files Scanned: 62592
    Thu Jul 21 16:08:12 2005 => Total Number of Virus(es) Found: 739
    Thu Jul 21 16:08:12 2005 => Total Number of Disinfected Files: 0
    Thu Jul 21 16:08:12 2005 => Total Number of Files Renamed: 0
    Thu Jul 21 16:08:12 2005 => Total Number of Deleted Files: 3
    Thu Jul 21 16:08:12 2005 => Total Number of Errors: 5
    Und das HJT-Logfile:

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:42:00, on 21.07.2005
    Platform: Windows XP  (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    
    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\csrss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\spoolsv.exe
    E:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    E:\Programme\Norton AntiVirus\navapsvc.exe
    E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    E:\WINDOWS\System32\nvsvc32.exe
    E:\WINDOWS\System32\svchost.exe
    E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\Mixer.exe
    E:\PROGRA~1\NORTON~1\navapw32.exe
    E:\Programme\Caere\OmniPagePro90\opware32.exe
    E:\Programme\Messenger Plus! 3\MsgPlus1.exe
    E:\Programme\Winamp\winampa.exe
    E:\WINDOWS\System32\ctfmon.exe
    E:\Programme\Spyware Doctor\swdoctor.exe
    E:\WINDOWS\system32\ntvdm.exe
    E:\Programme\CASIO\Photo Loader\Plauto.exe
    E:\Programme\MSN Messenger\msnmsgr.exe
    E:\Programme\Messenger\msmsgs.exe
    E:\WINDOWS\System32\wuauclt.exe
    E:\Programme\Hijack This\hijackthis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.news.ch/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - E:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - E:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [NAV Agent] E:\PROGRA~1\NORTON~1\navapw32.exe
    O4 - HKLM\..\Run: [OmniPage] E:\Programme\Caere\OmniPagePro90\opware32.exe
    O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\Messenger Plus! 3\MsgPlus1.exe"
    O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [Olympic] E:\Dokumente und Einstellungen\Mechi\Anwendungsdaten\sgrunt\IE4321.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MessengerPlus3] "E:\Programme\Messenger Plus! 3\MsgPlus1.exe" /WinStart
    O4 - HKCU\..\Run: [Spyware Doctor] "E:\Programme\Spyware Doctor\swdoctor.exe" /Q
    O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - Startup: SpywareGuard.lnk = E:\Programme\SpyWareGuard\sgmain.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Photo Loader resident.lnk = E:\Programme\CASIO\Photo Loader\Plauto.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - E:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\MSMSGS.EXE
    O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: www.skymasters.biz
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
    O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121774540015
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - E:\Programme\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - E:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - E:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 02.05.2005, 02:37
  2. Kriege den Trojaner Agent.BI nicht weg!!!
    Von serkan im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 19.04.2005, 00:33
  3. Antworten: 26
    Letzter Beitrag: 18.04.2005, 11:06
  4. Antworten: 1
    Letzter Beitrag: 12.04.2005, 13:20
  5. Unafspührbarer Trojaner Oder "die Lebende Maus"
    Von Cornflakes im Forum Archiv
    Antworten: 1
    Letzter Beitrag: 17.08.2004, 10:43

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •