| |
| |||||||
Log-Analyse und Auswertung: Sober.I.B64.AWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.12.2004, 14:38
| #1 |
| |  Sober.I.B64.A Hallo zusammen, Seit 2 Tagen meldet sich Antivir bei Aufruf des Mailers TheBat folgendes D:\TMP\BAT1.TMP Enthält Signatur des Wurmes Worm/Sober.I.B64.A Nach einer gewissen Zeit wird wohl die mail engine wieder aktiv und nur der v.g. Dateiname ändert sich. Versuche die "Ursache" aufzuspüren blieben für mich erfolglos. :-( Im abgesicherten Modus mit Antivir; Stinger gesucht und nichts gefunden. Einzig e-scan hat "irgendwo" ein Virus entdeckt, aber da ich keine Lizenz habe, ihn auch nicht beseitigt. (Eigentlich auch verständlich) Deshalb poste ich mal das Log-filre von hijack, mit der Bitte um Euren Rat :-) Diverse Tipps z.B von heise.de hab ich schon verfolgt, doch leider bin auf dem Gebiet der Schädlingssuche blutiger Anfänger :-( ogfile of HijackThis v1.98.2 Scan saved at 14:13:32, on 12.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\PROGRA~1\Iomega\System32\AppServices.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINNT\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe D:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\ScanPanel\ScnPanel.exe D:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Siemens\Sqlany\dbsrv7.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe E:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pc-syndrom.de/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [S7UB Start] "C:\Programme\Gemeinsame Dateien\Siemens\S7ubtoox\s7ubtstx.exe" -StartDB O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [Iomega Drive Icons] d:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] d:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...58/mcfscan.cab O18 - Protocol: eMedia - {25E1F0B0-C35F-11D3-BEF8-0000E86BA371} - C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\NAVI_IXT\eMediaPP.dll |
| Themen zu Sober.I.B64.A |
| abgesicherten modus, administrator, adobe, antivir, antivirus, antivirus scan, bho, dll, einstellungen, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, lizenz, microsoft, mozilla, mozilla firefox, pdf, programme, rundll, software, sun java, symantec, system, virus, windows |
Baum-Darstellung