Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Log Datei

Log Datei


Log-Analyse und Auswertung: Log Datei

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 22.12.2004, 19:36   #1
maltejahn
 
Log Datei - Standard

Log Datei


Hallo erstmal,

eine Kollege von mir hat Probleme. Er kann plötzlich keine Dos Programme mehr unter XP öffnen. Bisher gings.
Code:
ATTFilter
Logfile of HijackThis v1.99.0
Scan saved at 18:33:09, on 22.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Microsoft SQL ServerMSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\nvsc32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Program Files\Windows ServeAd\WinServAd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Windows ServeAd\WinServSuit.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Dokumente und Einstellungen\Martin Fink\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Was ist NVSC32.exe? Das kommt ziemlich oft vor.
Auch WinServAd.exe sieht mir nicht vertrauenswürdig aus.

Ein bisschen schockiert hat mich, das er noch nie ein Update gemacht hat(hatte wohl keine Lust ein Update bei ISDN zu machen)


Malte

Alt 22.12.2004, 19:58   #2
Cidre
Administrator, a.D.
 
Log Datei - Standard

Log Datei


Hallo,
Zitat:
Was ist NVSC32.exe? Das kommt ziemlich oft vor
WORM_WOOTBOT.ED , daraus resultiert http://www.trojaner-board.de/showpos...28&postcount=2
__________________

__________________
Alt 22.12.2004, 21:15   #3
maltejahn
 
Log Datei - Standard

Log Datei


Danke, auch für die schlechte Naricht. Werden dem Bekannten wohl empfehlen müssen eine Neuinstallertion durchzuführen. Nur doof das er Selbst. Schreiner ist und wohl keine Backups gemacht hat(hat schließlich auch kein Win Update gemacht).
Kann man jetzt z.B. eine Image seiner aktuellen Platte machen. Dann XP sauber neu installieren/Scanner drüberlaufen lassen über das Image und dann die Daten zurückkopieren(nur die Daten die er erstellt hat)
Oder besteht die Gefahr, das darunter wieder befallene Dateien sind?

Kannste noch über meine Log schauen. Glaube aber nichts gefunden zu haben.
Code:
ATTFilter
Logfile of HijackThis v1.99.0
Scan saved at 20:57:11, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\system32\MMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Canon\MultiPASS4\monitr32.exe
C:\WINDOWS\system32\fxredir.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\wincmd\WINCMD32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Log9x\log9x.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
c:\Programme\hijack\HijackThis.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SetiLog9x] c:\Programme\Log9x\log9x.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.borland.de
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3122ccba...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093089372546
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - 
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: COM+-Systemanwendung - Unknown - C:\WINDOWS\System32\dllhost.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterBase Guardian - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: MS Software Shadow Copy Provider - Unknown - C:\WINDOWS\System32\dllhost.exe (file missing)
Was dieses dll.host ist weiß ich nicht.

Danke
__________________
Alt 22.12.2004, 21:49   #4
chaosman
 
Log Datei - Standard

Log Datei


@maltejahn
zu dein logfile
wechsle in den abgesicherten modus und fixe
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O23 - Service: COM+-Systemanwendung - Unknown - C:\WINDOWS\System32\C:\PROGRA~1\DAP\dapextie2.htm (file missing)
O23 - Service: MS Software Shadow Copy Provider - Unknown - C:\WINDOWS\System32\dllhost.exe (file missing)
folgend datei manuell löschen
C:\PROGRA~1\DAP\dapextie2.htm
falls du den DAP downloader benützt, er holt dir spyware auf den rechner.
ich würde den löschen.
neu starten, und ein neues logfile posten
chaosman
__________________
Bonus vir semper tiro

Alt 22.12.2004, 21:53   #5
Cidre
Administrator, a.D.
 
Log Datei - Standard

Log Datei


Zitat:
Nur doof das er Selbst. Schreiner ist und wohl keine Backups gemacht hat(hat schließlich auch kein Win Update gemacht).
Da er wahrscheinlich auf diesem System Kundendaten jeglicher Art und insbesondere auch persönliche Dokumente speichert, sollte er schon einen verantwortungsvolleren Umgang an den Tag legen. Seine Kunden werden es ihm danken.

Zitat:
Dann XP sauber neu installieren/Scanner drüberlaufen lassen über das Image und dann die Daten zurückkopieren(nur die Daten die er erstellt hat)
Das ist ein zweischneidiges Schwert.
Les mal: http://oschad.de/wiki/index.php/Dateiendungen und http://oschad.de/wiki/index.php/Kompromittierung

__________________
Gruß, Cidre


Alt 23.12.2004, 19:26   #6
maltejahn
 
Log Datei - Standard

Log Datei


Zitat:
Zitat:
Nur doof das er Selbst. Schreiner ist und wohl keine Backups gemacht hat(hat schließlich auch kein Win Update gemacht).
Da er wahrscheinlich auf diesem System Kundendaten jeglicher Art und insbesondere auch persönliche Dokumente speichert, sollte er schon einen verantwortungsvolleren Umgang an den Tag legen. Seine Kunden werden es ihm danken.
Kann ich nur zustimmen. Wer weiß, was dieser Virus alles mit dem Outlook Adressbuch oder sonst etws anfangen könnte.
Bisher konnte ich ihn noch nicht von einer Neuinstallation überzeugen.
Trotz:
Zitat:
It connects to a certain IRC (Internet Relay Chat) server and automatically joins a certain channel, where it listens for commands coming from a remote user
Auch doof ist, das ich Ihm den PC neu aufsetzen müsste. Da bin ich Tage beschäftigt(Outlook sichern, alle Daten,...)

Komisch ist auch das Antivir nichts gefunden hat, aber der Online Scan von Panda hunderte Warnungen(das genaue Ergebnis weiß ich nicht. Aber am ende des Gesprächs war er bei 260 Warnungen).
Was ist eigentlich das beste kostenlose Antivirenprogamm.
War glaube ich F-Prot das unter Dos auf 3 Disketten lief(der hat mir schon einen Virus im Boot Sektor gefunden - hatte plötzlich kein CD Laufwerk mehr.)

Am besten soll er sich einen P3 über Ebay zulegen auf dem er seine Kalkulation, etc laufen hat und diesen vom INET trennen.

So nun zu meinem Problem. Hier die neue Log
Code:
ATTFilter
Logfile of HijackThis v1.99.0
Scan saved at 19:06:49, on 23.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\hphmon04.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\MMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Canon\MultiPASS4\monitr32.exe
C:\WINDOWS\system32\fxredir.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Log9x\log9x.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\wincmd\WINCMD32.EXE
c:\Programme\hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\system32\fxredir.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SetiLog9x] c:\Programme\Log9x\log9x.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: www.borland.de
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/3122ccba...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093089372546
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - 
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InterBase Guardian - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
Komischerweise war die dapextie.htm nicht auf dem System vorhanden.

Frage nebenbei. Ich habe ja einen Router der einen gewissen Schutz bietet. Kann, wenn z.B. auf meinem PC eine Virus greift, ein anderer PC im Netzwerk auch dadurch angegriffen werden(also einfach sich an die IP Adressen des Bereichs 192.168... versendet). Es würde ja immer noch eines aktiven eingriffes des Usern erfodern(ausführen)

Malte

Alt 23.12.2004, 19:58   #7
Cidre
Administrator, a.D.
 
Log Datei - Standard

Log Datei


Zitat:
Bisher konnte ich ihn noch nicht von einer Neuinstallation überzeugen.
Lege ihm nochmals diese Seiten an Herz und vielleicht entscheidet er sich doch für das Neuaufsetzen:
http://www.mathematik.uni-marburg.de...ompromise.html insbesondere Punkt 5 aufmerksam lesen
http://www.mathematik.uni-marburg.de...c-removal.html
http://oschad.de/wiki/index.php/Kompromittierung
http://www.heise.de/newsticker/meldung/51689

Zitat:
Komisch ist auch das Antivir nichts gefunden hat
Zu einem hat AntiVir nicht gerade die besten Erkennungsraten und zum anderen ist es sinnfrei sich auf dem kompromittierten System befindeten AV Scanner zu verlassen bzw. darauf zu vertrauen.

Zitat:
Was ist eigentlich das beste kostenlose Antivirenprogamm.
Sind auch kostenpflichtige dabei, aber siehe selbst http://www.av-comparatives.org/

Zitat:
Am besten soll er sich einen P3 über Ebay zulegen auf dem er seine Kalkulation, etc laufen hat und diesen vom INET trennen.
Sehe ich genauso.

Zitat:
Komischerweise war die dapextie.htm nicht auf dem System vorhanden.
Dein Log-File ist sauber. Lösche, falls noch nicht geschehen, diesen Ordner C:\PROGRA~1\DAP.

btw:
Wenn eine Malware auf deinem System gegriffen hat, sprich aktiv geworden ist, dann kann sie sich je nach Schadroutine durchaus weiter versenden.
__________________
Gruß, Cidre


Alt 29.12.2004, 10:24   #8
maltejahn
 
Log Datei - Standard

Log Datei


Hallo nochmal,

ich drehe noch durch. Ich hätte den PC schon lange Formatiert. Jetzt hat er unter Trend Micro eine Anleitung zu entfernen gefunden(div. Registry Einträge löschen - die es allerdings nicht gab). Jetzt hat er mir eine neue Log geschickt. Die NVSD32.exe ist komischerweise weg, aber dafür neue sachen.

Code:
ATTFilter
Logfile of HijackThis v1.99.0
Scan saved at 15:18:47, on 28.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Microsoft SQL ServerMSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Martin Fink\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103969014545
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Was ist das?
Code:
ATTFilter
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253
Das er den scheiß drauf hat:
Code:
ATTFilter
O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dial...b?x=1047497548
zeigt doch für mich, das noch reste des Wurms noch drauf sind.

Und was soll eigentlich dies:
Code:
ATTFilter
http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103969014545
Normal?

Wirklich komisch finde ich, das besagt NVSC32.exe nicht an den von Trend Micro beschriebenen orten der Registry zu finden war.

Kann es sein, ds er das Ding wegbekommen hat?
Er liegt mir seit Tagen in den Ohren und ruft mich ständig an, aber ich weiß doch auch nichts(außer format c

Malte

Alt 29.12.2004, 10:47   #9
MountainKing
 
Log Datei - Standard

Log Datei


Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Hat er denn alle Sicherheitspatches installiert?

Dieser Eintrag

http://v5.windowsupdate.microsoft.co...?1103969014545

stammt ja von windowsupdate, aber ich sehe keine Servicepacks und der IE ist auch nicht auf dem aktuellen Stand. Falls Windows nicht upgedated wird, braucht man auch gar keine zusätzlichen Trojaner, da genügen schon die Sicherheitslücken des Betriebssystems als Angriffspunkte.

O17 - HKLM\System\CCS\Services\Tcpip\..\{EF14A8CF-EC39-45F5-BA3D-8E182F824FB8}: NameServer = 192.168.120.252,192.168.120.253

ist ok


O16 - DPF: {978A4DB6-D22A-4D55-B350-DAB71097BF69} (Wsd Control) - http://install.sofortzugang.com/dia...ab?x=1047497548

ist sicher ein Dialer, gehört also gefixt und gelöscht.

Die besondere Gefährlichkeit von backdoorprogrammen wie wootbot besteht darin, dass, sobald jemand von Außen darüber Zugriff hatte, weitreichende Manipulationen des Rechners möglich sind, die man nicht mehr oder zumindest nicht so einfach nachvollziehen kann. Der erste Trojaner dient sozusagen nur für die Erstinfektion, danach können weitere entsprechende Programme so versteckt werden, dass man sie nicht mehr so leicht entdecken kann. Es kann also gut sein, dass der Wootbot zwar weg ist, aber sich inzwischen weitere, noch nicht aufgefundene Schädlinge auf dem Rechner befinden. Bei Rechnern, die sensible Daten enthalten, ist der Verzicht auf eine saubere Neuinstallation, die allein in einem solchen Fall ein definitv sauberes System garantieren kann, nur als fahrlässig zu bezeichnen, da man hier immer vom schlimmstmöglichen Fall ausgehen sollte.

Antwort

Themen zu Log Datei
adobe, antivir, antivir update, bho, canon, dateien, desktop, einstellungen, explorer, fritz!, gainward, hijack, hijackthis, internet, internet explorer, log, log datei, messenger, microsoft, monitor, mozilla, nvcpl.dll, nvidia, programme, rundll, software, system, tcpip, temp, windows, windows xp


« Alles okay? | schei** trojaner und co »


Ähnliche Themen: Log Datei


  1. scr. Datei heruntergeladen, Link war als png. Datei angegeben
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (3)
  2. Windows7 X64: Antivir Fund: "TR/Spy.ZBot.aaop" Meldung: Zugriff auf Datei wurde blockiert. Datei war in E-Mail- Anhang.
    Log-Analyse und Auswertung - 28.11.2013 (9)
  3. Mahnung von www.wahlbusch.de zip-Datei und darin enthaltene Datei geöffnet
    Log-Analyse und Auswertung - 18.04.2013 (7)
  4. OTL erzeugt keine Extra.txt-Datei, nur die OTL.txt-Datei
    Plagegeister aller Art und deren Bekämpfung - 28.02.2013 (27)
  5. 3G Box Log Datei
    Log-Analyse und Auswertung - 22.02.2013 (2)
  6. Photshop datei von Adebo geladen und TROJ_GEN.RC1H1AV in der Datei gefunden
    Log-Analyse und Auswertung - 11.02.2013 (1)
  7. H1N1 Datei fehlt in meiner rundll Datei, was tun?
    Log-Analyse und Auswertung - 19.01.2013 (13)
  8. Avira findet TR/ATRAPS.gen kann die Datei aber nicht löschen. Wie bekomme ich die Datei vom System?
    Plagegeister aller Art und deren Bekämpfung - 25.06.2012 (1)
  9. Datei: Postetikett#1485-245DE.zip Datei herunterladen
    Log-Analyse und Auswertung - 14.06.2012 (1)
  10. Glaube Verschlüsslungstrojaner(vor Datei locked nach datei pffp und andere änderungen)
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (1)
  11. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  12. ICQ- SCR Datei
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (1)
  13. Trojaner in .rar Datei! Bitte um Analyse dieser Datei!!!
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (12)
  14. SPYBOT LOG DATEI mysteriös. bitte um auswertung der HIJACKTHIS LOG DATEI
    Log-Analyse und Auswertung - 29.01.2008 (0)
  15. 3 MB große Datei test.txt-Datei auf C:
    Plagegeister aller Art und deren Bekämpfung - 21.01.2007 (11)
  16. datei
    Antiviren-, Firewall- und andere Schutzprogramme - 27.12.2004 (4)
  17. Trojaner in datei gefunden (datei aber nicht vorhanden)
    Plagegeister aller Art und deren Bekämpfung - 29.11.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Log Datei - Hallo erstmal, eine Kollege von mir hat Probleme. Er kann plötzlich keine Dos Programme mehr unter XP öffnen. Bisher gings. Code: Alles auswählen Aufklappen ATTFilter Logfile of HijackThis v1.99.0 Scan - Log Datei...
Archiv
Du betrachtest: Log Datei auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19