Trojaner |
Willkommen, Gast ( Anmelden | Registrierung )
Trojaner |
05.01.2006, 17:11
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 37 Mitglied seit: 15.07.2004 Mitglieds-Nr.: 1.224 |
Hi
hab da ein kleineres problem an einem rechner jedesmal beim virenscan bringt er die meldung trojaner gefunden und gelöscht. ist aber bei jedem scan wieder da Trojaner-------> ad.yieldmanager(1)txt wie werde ich den trojaner los hier mal das logfile ist da was zu erkennen Logfile of HijackThis v1.99.1 Scan saved at 17:01:50, on 05.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe C:\WINDOWS\Mixer.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Lotte\Eigene Dateien\hijackthis199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {50EE4EF2-FB55-4FF4-95E5-CC3A615B071F} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {50EE4EF2-FB55-4FF4-95E5-CC3A615B071F} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123314007578 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3725D047-D541-48A7-BD4D-02765E9D1336}: NameServer = 217.237.149.225 217.237.151.97 O17 - HKLM\System\CCS\Services\Tcpip\..\{D92FB4C1-FC2A-4598-85AD-4FA647EF57F9}: NameServer = 62.26.26.62 O17 - HKLM\System\CS1\Services\Tcpip\..\{3725D047-D541-48A7-BD4D-02765E9D1336}: NameServer = 217.237.149.225 217.237.151.97 O18 - Protocol: Festoon - (no CLSID) - (no file) O18 - Protocol: vskype - (no CLSID) - (no file) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe O23 - Service: Panda Antispam Engine (pmshellsrv) - PANDA SOFTWARE - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Programme\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe |
|
|
Gast_rock_* |
05.01.2006, 17:11
Beitrag
#2
|
Gäste |
das hatten wir ja schon mal...
O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe ______ dürfte aber nicht das problem jetzt sein. lösch einfach mal bei geschlossenen browser die cookies, temporäre internetfiles incl.offlineinhalte dann sollte es okey sein. was soll in der textdatei für ein trojaner sein? (cookie) Trojaner-------> ad.yieldmanager(1)txt wenn es immer wieder kommt, dann scheinbar bei der seite wo du das anlegst. edit: ach so...was meldet den panda oder was immer... da für einen trojaner überhaupt? Der Beitrag wurde von rock bearbeitet: 05.01.2006, 17:14 |
|
|
05.01.2006, 17:17
Beitrag
#3
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Und wo findet er den ?
Domino -------------------- Keep the spirit alive.....
|
|
|
Gast_rock_* |
05.01.2006, 17:23
Beitrag
#4
|
Gäste |
für mich siehts aus wie'n cookie was durch ein werbung-popup sich anlegt...
ad.yieldmanager(1)txt und jedesmal wenn er auf die seite klickt wo der cookie angelegt wird dürfte der scanner anhüpfen... |
|
|
05.01.2006, 19:10
Beitrag
#5
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 37 Mitglied seit: 15.07.2004 Mitglieds-Nr.: 1.224 |
Fehler scheint weg zu sein. und was meinst du damit ? O4 - HKLM\..\Run: [*illegal*] D:\Programme\*illegal*\*illegal*\*illegal*.exe |
|
|
Gast_Jens1962_* |
05.01.2006, 19:24
Beitrag
#6
|
Gäste |
Hast Du CloneCD auf dem Rechner?
|
|
|
05.01.2006, 21:33
Beitrag
#7
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 37 Mitglied seit: 15.07.2004 Mitglieds-Nr.: 1.224 |
ja, hab ich
|
|
|
Gast_Jens1962_* |
05.01.2006, 21:58
Beitrag
#8
|
Gäste |
Irgendein oberschlauer Witzbold hat beschlossen, das als *illegal* auszugeben.
Ist es in Deutschland zwar auch, aber was soll diese Schulmeisterei. *sch...egal*, ist jedenfalls kein Schädling. Gruß Jens |
|
|
05.01.2006, 22:01
Beitrag
#9
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Moment !
Hijack erkennt das Programm clone-cd gibt es aber nicht als clone-cd.exe aus sondern benennt es um in "illegal" ? Domino -------------------- Keep the spirit alive.....
|
|
|
Gast_Jens1962_* |
05.01.2006, 22:04
Beitrag
#10
|
Gäste |
Den *illegal*-Eintrag hatten wir schon öfters, irgendwo gab es 2 Einträge - da war das Programm abzuleiten, bin jetzt nur zu faul zum suchen.
Jens |
|
|
05.01.2006, 22:07
Beitrag
#11
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
Das beantwortet meine Frage nicht.
Ich will wissen ob Hijackthis das korrekt ausliest und mir ein anderes Ergebnis nennt. Wenn Hijackthis das korrekt ausliest das aber "illegal" nennt, dann ist das Programm für mich nicht mehr seriös=unbrauchbar. Domino -------------------- Keep the spirit alive.....
|
|
|
Gast_Jens1962_* |
05.01.2006, 22:07
Beitrag
#12
|
Gäste |
QUOTE(Jens1962 @ 05.01.2006, 22:03) bin jetzt nur zu faul zum suchen.[right][snapback]126426[/snapback][/right] Faulheit überwunden: klick.QUOTE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\*illegal*\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [*illegal*] C:\Programme\*illegal*\*illegal*\*illegal*.exe Jens |
|
|
Gast_Jens1962_* |
05.01.2006, 22:22
Beitrag
#13
|
Gäste |
QUOTE(Domino @ 05.01.2006, 22:06) Das beantwortet meine Frage nicht. Ich will wissen ob Hijackthis das korrekt ausliest [right][snapback]126428[/snapback][/right] HJT ist in Ordnung. Die ziehen sich so aus der Affäre: QUOTE C:\Programme\S..Soft\CloneCD\CloneCD.exe - Dies ist ein unbekannter Prozess. Ist in dem Fall eine ältere Version (5.0.4.2) gewesen.Ich weiß nicht, wer die *illegal*-Einträge verzapft (*illegal* selbst?), es war jedenfalls regelmäßig CloneCD. HEUREKA - Das Board ist Schuld *illegal* Sly-Soft, jetzt ohne Bindestrich *illegal* Da haben wir ja den Klug***r erwischt Wenn Klug***r auch zensiert wird, dann eben Intelligenzkacker Gruß Jens Der Beitrag wurde von Jens1962 bearbeitet: 05.01.2006, 22:23 |
|
|
05.01.2006, 22:33
Beitrag
#14
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
*illegal*
sly-soft test Domino -------------------- Keep the spirit alive.....
|
|
|
05.01.2006, 22:34
Beitrag
#15
|
|
Schauspiel-Gott aka Kilauea Gruppe: Mitarbeiter Beiträge: 7.489 Mitglied seit: 20.04.2003 Wohnort: Göttingen Mitglieds-Nr.: 46 |
krass
Das geht ja gar nicht ! Ich werde Manu morgen mal darauf hinweisen. AHA ! Domino -------------------- Keep the spirit alive.....
|
|
|
05.01.2006, 22:41
Beitrag
#16
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
super und wir haben ständig schweiss und wasser über die hijackthis-logs geschwitzt . manu sitzt dabei in der ecke und lacht sich scheckig
-------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
Gast_Jens1962_* |
05.01.2006, 22:44
Beitrag
#17
|
Gäste |
QUOTE(Domino @ 05.01.2006, 22:33) Ich werde Manu morgen mal darauf hinweisen.[right][snapback]126439[/snapback][/right] Ja, im Falle, daß er heute zu besoffen ist und noch mehr Mist einbaut. Glücklicherweise haben sich damit die Vermutungen bestätigt, daß CloneCD hinter den Einträgen steckt und kein Schädling. Gruß Jens |
|
|
Gast_rock_* |
06.01.2006, 16:46
Beitrag
#18
|
Gäste |
amused!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 21:10 |