|
Log-Analyse und Auswertung: ncasepackage + sahagent - wie werde ich sie los?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
20.12.2004, 23:33 | #1 |
| ncasepackage + sahagent - wie werde ich sie los? Hi, ich bekomme von Antivir regelmäßig die Meldung, dass ncasepackage erkannt wurde. Wenn ich dann sage "blocken und datei belassen" bekomme ich in 5 Sekundenabständen immer wieder die gleiche Message, dass mein System diese Datei in dem angegebenen Pfad nicht finden konnte. Sahagent.exe hab ich ausserdem noch in meinem c:\temp Verzeichniss gefunden. Desweiteren bekomme ich diverse hotbar Einträge nicht aus meinem System entfernt....noch nicht mal über Systemsteuerung - ändere/entferne Programme. Eh ich mich (als Dummy) and die manuelle Löschung in der Registry begebe, hab ich gehofft, ihr könnt mir noch einen einfacheren und...naja...für mich als nicht so PC-fittem Mädel...gut verständlichen Tipp geben, wie ich die beiden Probleme beheben kann. Vielleicht hilft euch noch das logfile von hijack: Logfile of HijackThis v1.99.0 Scan saved at 23:18:33, on 20.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE F:\AVGUARD.EXE F:\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe F:\AVGNT.EXE F:\qttask.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\Windows ServeAd\WinServAd.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Windows ServeAd\WinServSuit.exe F:\Zone Labs\ZoneAlarm\ZoneAlarm\zonealarm.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\xyz\LOKALE~1\Temp\Rar$EX00.023\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\Progra~1\TDSLSM\SPEEDMGR.EXE O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [AVGuard] F:\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "F:\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\bin\4.4.5.0\WeatherOnTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LyraHD2TrayApp] "C:\Programme\Thomson\Lyra Jukebox\LyraHDTrayApp\LYRAHD2TrayApp.exe" O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [AVGCtrl] "F:\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "f:\yaw 3.5\fast.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZoneAlarm.lnk = F:\Zone Labs\ZoneAlarm\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: www.ebay.com O15 - Trusted Zone: www.ebay.de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...192437fc021adc O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/029cf613...dxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{16F55366-C307-491F-93AF-F67D7C5A87F0}: NameServer = 217.237.150.97 217.237.149.161 O17 - HKLM\System\CS1\Services\Tcpip\..\{16F55366-C307-491F-93AF-F67D7C5A87F0}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe Laut automatischer Auswertung ist nur dieses file "böse": O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...1eddde7bc1b058 53a942c8f9076eec6a5aa4575c1fbbf031458e511937026819222e4fedad7609572eea12a2ae54eb e5fa2579ae9d9555d:520254c6ae31119456192437fc021adc Aber da kennt ihr euch sicher mit besser aus. Ich hoffe, ich hab an alles gedacht und ihr könnt mir helfen. Grüße und danke schon im Voraus Taraki |
21.12.2004, 01:06 | #2 |
| ncasepackage + sahagent - wie werde ich sie los? Also...
__________________Dein system ist nicht aktuell.Du benötigst auf jeden Fall Service Pack 2.Danach bitte nochmal www.windowsupdate.com besuchen Zu fixxen sind in jedem Fall(im abgesicherten Modus,bei deaktivierter systemwiederherstellung): C:\Program Files\Windows ServeAd\WinServAd.exe C:\Program Files\Windows ServeAd\WinServSuit.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...92 437fc021adc O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab Lösche danach bitte folgende Dateien: C:\Program Files\Windows ServeAd\WinServAd.exe C:\Program Files\Windows ServeAd\WinServSuit.exe und anschliessend falls noch nicht geschehen den Ordner: C:\Program Files\Windows ServeAd Poste bitte anschliessend einen neuen Log! Aber bitte mit vollzogenem Windowsupdate |
Themen zu ncasepackage + sahagent - wie werde ich sie los? |
.exe, antivir, antivir update, auswertung, bho, danke, dateien, diverse, dll, excel, explorer, google, hijack, hijackthis, icq, immer wieder, internet, internet explorer, logfile, microsoft, monitor, registry, rundll, software, starten, sun java, system, tcpip, temp, thomson, träge, windows, windows xp |