| |
| |||||||
Log-Analyse und Auswertung: Mit den Nerven am Ende...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
05.12.2004, 20:08
| #1 |
| |  Mit den Nerven am Ende... Hi! Hab mir vor ein paar Tagen ein Hijack-Programm eingefangen und werde es nicht wieder los. Beim Aufrufen einer Seite mit dem IE leitet es häufig automatisch weiter auf www.spotresults.com, außerdem öffnen sich ständig selbstständig irgendwelche Fenster mit Werbung. Nach einer Weile wird auch das System zunehmend instabil, so daß es also mehr als nur nervig ist. Hab schon alles durch, Spybot, Ad-Aware, CWShredder, Hijackthis, aber das Problem scheint darin zu bestehen, daß sich auch nach dem Löschen von auffälligen Sachen dieser Mistgrepel bei jedem Neustart wieder neu installiert. Ich bin mit meinem Latein echt am Ende, vielleicht kann sich einer von Euch das ja mal anschauen, wäre seeeeehr dankbar: Logfile of HijackThis v1.98.2 Scan saved at 20:09:11, on 05.12.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS19802.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-carlzeiss-jena.de/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiKey] Atitask.exe O4 - HKLM\..\Run: [dlder] C:\WINDOWS\EXPLORER.EXE O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOFFICE\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup155.cab |
|
05.12.2004, 20:37
| #2 |
  | Mit den Nerven am Ende... Hi,
__________________diesn Prozess beenden und dann manuell löschen: C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE Das fixen: O4 - HKLM\..\Run: [dlder] C:\WINDOWS\EXPLORER.EXE O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE Wenn du diese Einträge nicht kennst, auch fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-carlzeiss-jena.de/index.php O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/downloa...abasetup155.cab Lass dieses Programm hier überprüfen und poste das Ergebnis: C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE |
|
05.12.2004, 23:51
| #3 |
| | Mit den Nerven am Ende... Hi Steveman,
__________________hab alles so gemacht, aber das von Dir verlinkte Programm hat nix gefunden, Status "OK". Die Probleme aber sind geblieben. |
|
06.12.2004, 00:14
| #4 |
  | Mit den Nerven am Ende... @ _Stefan_ --> sende bitte diese Datei C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de mit Hinweis auf diesen Thread - zu Forschungszwecken ... vielleicht handelt es sich um neue Malware. --> Um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. --> Teile uns das Ergebnis des eScan mit (öffne dazu die mwav.log): wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) --> Beachte bitte diese beiden Links: Entfernung von Schädlingen und Kompromittierung unvermeidbar?. SD |
|
08.12.2004, 00:12
| #5 |
| | Mit den Nerven am Ende... Hi! Hier das Resultat des eScan. Die MOSDMN.EXE ist sauber. [0xfff3212b] 07/12/2004 00:16:35:900 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM [0xfff3212b] 07/12/2004 00:16:35:960 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]TimeOut : ffffffff [0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Priority : NORMAL [0xfff3212b] 07/12/2004 00:16:38:100 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07 [0xfffce51f] 07/12/2004 00:24:44:800 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM [0xfffce51f] 07/12/2004 00:24:44:800 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]TimeOut : ffffffff [0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Priority : NORMAL [0xfffce51f] 07/12/2004 00:24:49:240 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07 [0xfffbb74b] 07/12/2004 00:29:22:770 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\ICD1.tmp\EroticAccess.exe infected by Trojan.Win32.Dialer.ck [0xfffbb74b] 07/12/2004 00:29:22:940 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\ICD1.tmp\EroticAccess.exe infected by Trojan.Win32.Dialer.ck [0xfffbb74b] 07/12/2004 00:32:12:550 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p [0xfffbb74b] 07/12/2004 00:40:33:960 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\setup[1].cab infected by TrojanDownloader.Win32.Agent.t [0xfffbb74b] 07/12/2004 00:40:34:020 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\setup[1].cab infected by TrojanDownloader.Win32.Agent.t [0xfffbb74b] 07/12/2004 00:42:40:240 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\Installer[1].exe infected by not-a-virus:AdWare.Look2Me [0xfffbb74b] 07/12/2004 07:29:31:320 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\7JDRJ5OW\180ax[1].exe infected by not-a-virus:AdWare.180Solutions [0xfffbb74b] 07/12/2004 08:06:53:330 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\JeA1500.DLL infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 08:23:38:790 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\Page 3 - Helle-uninstall.exe infected by not-a-virus:PornWare.Dialer.Generic [0xfffbb74b] 07/12/2004 08:24:29:160 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\WzAUPD98.DLL infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 08:32:41:400 :[msvLclnt.dll][00000001] File C:\WINDOWS\OPTIONS\CABS\MODEM\MULTI\MODEM020\PCTPTT.EX_ infected by not-a-virus:PornWare.Dialer.Generic [0xfffbb74b] 07/12/2004 08:55:51:290 :[msvLclnt.dll][00000001] File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by not-a-virus:AdWare.Gator.1019 [0xfffbb74b] 07/12/2004 09:28:53:550 :[msvLclnt.dll][00000001] File C:\WINDOWS\VT00.exe infected by Trojan-Downloader.Win32.Lookme.g [0xfffbb74b] 07/12/2004 09:28:55:260 :[msvLclnt.dll][00000001] File C:\WINDOWS\VT00.exe infected by Trojan-Downloader.Win32.Lookme.g [0xfffbb74b] 07/12/2004 09:31:55:140 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VCWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:31:57:940 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\DPBENG.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:31:59:750 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VWWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:01:620 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VOWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:05:960 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\WTAUPD98.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:07:660 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\WJAUPD98.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:09:470 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VTWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:11:280 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JHAD500.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:13:040 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JVAD500.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:15:020 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JJAA500.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:17:990 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MOVCP70.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:20:180 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MEVCP70.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:21:890 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\DFRAW16.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:24:030 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VOWWDM32.1 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:26:330 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MKVCP70.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:28:970 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JTAD500.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:30:620 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VWWWDM32.1 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 09:32:32:100 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JZAD500.0 infected by not-a-virus:AdWare.Look2Me.l [0xfffbb74b] 07/12/2004 18:25:13:900 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Spaß\gleisbetretung.rar infected by not-virus:Joke.Win32.KnijpMe [0xfffbb74b] 07/12/2004 18:25:15:170 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Spaß\gleisbetretung.rar infected by not-virus:Joke.Win32.KnijpMe [0xfffbb74b] 07/12/2004 19:24:44:340 :[msvLclnt.dll][00000001] File C:\Download\ymsgrde.exe infected by not-a-virus:Tool.Win32.Reboot [0xfffbb74b] 07/12/2004 19:25:29:650 :[msvLclnt.dll][00000001] File C:\Download\napv2b9-6.exe infected by not-a-virus:Tool.Win32.Reboot [0xfffbb74b] 07/12/2004 19:25:36:960 :[msvLclnt.dll][00000001] File C:\Download\napv2b10.exe infected by not-a-virus:Tool.Win32.Reboot [0xfffbb74b] 07/12/2004 19:26:10:840 :[msvLclnt.dll][00000001] File C:\Download\napv2b10-4.exe infected by not-a-virus:Tool.Win32.Reboot [0xfffbb74b] 07/12/2004 20:55:45:630 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07 |
|
08.12.2004, 01:17
| #6 |
 | Mit den Nerven am Ende... Lade dir Clearprog um die temporären Dateien zu löschen. Lösche: C:\Download\ymsgrde.exe C:\Download\napv2b9-6.exe C:\Download\napv2b10.exe C:\Download\napv2b10-4.exe C:\Eigene Dateien\Spaß\gleisbetretung.rar C:\Eigene Dateien\Spaß\gleisbetretung.rar Deaktiviere die Systemwiederherstellung (rechtsklick auf Arbeitsplatz--->Eigenschaften--->Systemwiederherstelllung---->Häkchen bei :"Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen Neustart-Systemwiederherstellung anschalten. |
|
08.12.2004, 09:41
| #7 |
| | Mit den Nerven am Ende... MOSEARCH gehört zu Office. |
|
| Themen zu Mit den Nerven am Ende... |
| .inf, .pdf, ad-aware, askbar, aufrufe, button, dateien, desktop, excel, explorer, hijackthis, icq, internet, internet explorer, leitet, löschen, microsoft, nerven, nervig, neustart, outlook express, problem, programme, registry, rundll, seite, software, sun java, system, update, windows |
Linear-Darstellung
