Trojaner Einstellungen

[joker07]

Hi

hab da ein kleineres problem an einem rechner

jedesmal beim virenscan bringt er die meldung trojaner gefunden und gelöscht.
ist aber bei jedem scan wieder da

Trojaner-------> ad.yieldmanager(1)txt

wie werde ich den trojaner los
hier mal das logfile
ist da was zu erkennen

Logfile of HijackThis v1.99.1
Scan saved at 17:01:50, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lotte\Eigene Dateien\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {50EE4EF2-FB55-4FF4-95E5-CC3A615B071F} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {50EE4EF2-FB55-4FF4-95E5-CC3A615B071F} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123314007578
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3725D047-D541-48A7-BD4D-02765E9D1336}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{D92FB4C1-FC2A-4598-85AD-4FA647EF57F9}: NameServer = 62.26.26.62
O17 - HKLM\System\CS1\Services\Tcpip\..\{3725D047-D541-48A7-BD4D-02765E9D1336}: NameServer = 217.237.149.225 217.237.151.97
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: vskype - (no CLSID) - (no file)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - PANDA SOFTWARE - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

[Gast_rock_*]

das hatten wir ja schon mal...

O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe
______
dürfte aber nicht das problem jetzt sein.

lösch einfach mal bei geschlossenen browser die cookies, temporäre internetfiles incl.offlineinhalte dann sollte es okey sein.

was soll in der textdatei für ein trojaner sein? (cookie)
Trojaner-------> ad.yieldmanager(1)txt

wenn es immer wieder kommt, dann scheinbar bei der seite wo du das anlegst.



edit: ach so...was meldet den panda oder was immer... da für einen trojaner überhaupt?

Der Beitrag wurde von rock bearbeitet: 05.01.2006, 17:14

[Domino]

Und wo findet er den ?




Domino

[Gast_rock_*]

für mich siehts aus wie'n cookie was durch ein werbung-popup sich anlegt...

ad.yieldmanager(1)txt

und jedesmal wenn er auf die seite klickt wo der cookie angelegt wird dürfte der scanner anhüpfen...

[joker07]

Fehler scheint weg zu sein.
und was meinst du damit ?


O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe

[Gast_Jens1962_*]

Hast Du CloneCD auf dem Rechner?

[joker07]

ja, hab ich

[Gast_Jens1962_*]

Irgendein oberschlauer Witzbold hat beschlossen, das als *illegal* auszugeben.
Ist es in Deutschland zwar auch, aber was soll diese Schulmeisterei. *sch...egal*, ist jedenfalls kein Schädling.

Gruß Jens

[Domino]

Moment !

Hijack erkennt das Programm clone-cd gibt es aber nicht als clone-cd.exe aus sondern benennt es um in "illegal" ?




Domino

[Gast_Jens1962_*]

Den *illegal*-Eintrag hatten wir schon öfters, irgendwo gab es 2 Einträge - da war das Programm abzuleiten, bin jetzt nur zu faul zum suchen.

Jens

[Domino]

Das beantwortet meine Frage nicht.
Ich will wissen ob Hijackthis das korrekt ausliest und mir ein anderes Ergebnis nennt.

Wenn Hijackthis das korrekt ausliest das aber "illegal" nennt, dann ist das Programm für mich nicht mehr seriös=unbrauchbar.



Domino

[Gast_Jens1962_*]

bin jetzt nur zu faul zum suchen.[right][snapback]126426[/snapback][/right]

Faulheit überwunden: klick.

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\*illegal*\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [*illegal*] C:\Programme\*illegal*\*illegal*\*illegal*.exe

Jens

[Gast_Jens1962_*]

Das beantwortet meine Frage nicht. Ich will wissen ob Hijackthis das korrekt ausliest [right][snapback]126428[/snapback][/right]

HJT ist in Ordnung. Die ziehen sich so aus der Affäre:

C:\Programme\S..Soft\CloneCD\CloneCD.exe - Dies ist ein unbekannter Prozess.

Ist in dem Fall eine ältere Version (5.0.4.2) gewesen.
Ich weiß nicht, wer die *illegal*-Einträge verzapft (*illegal* selbst?), es war jedenfalls regelmäßig CloneCD.

HEUREKA - Das Board ist Schuld

*illegal*
Sly-Soft, jetzt ohne Bindestrich *illegal*

Da haben wir ja den Klug***r erwischt
Wenn Klug***r auch zensiert wird, dann eben Intelligenzkacker

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 05.01.2006, 22:23

[Domino]

*illegal*

sly-soft

test



Domino

[Domino]

krass

Das geht ja gar nicht !

Ich werde Manu morgen mal darauf hinweisen.

AHA !




Domino

[Voyager]

super und wir haben ständig schweiss und wasser über die hijackthis-logs geschwitzt . manu sitzt dabei in der ecke und lacht sich scheckig

[Gast_Jens1962_*]

Ich werde Manu morgen mal darauf hinweisen.[right][snapback]126439[/snapback][/right]

Ja, im Falle, daß er heute zu besoffen ist und noch mehr Mist einbaut.
Glücklicherweise haben sich damit die Vermutungen bestätigt, daß CloneCD hinter den Einträgen steckt und kein Schädling.

Gruß Jens

[Gast_rock_*]

amused!