|
Log-Analyse und Auswertung: Bitte um auswertung!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.12.2004, 20:12 | #1 |
| Bitte um auswertung! Ich hab von einem netten user aus einem anderen board gesagt bekommen dasheir profis sitzen die wissen was das zu bedeuten hat!Ich hab keien ahnung und bitte um hilfe!!!! Vielen dank schon im voraus!!! Logfile of HijackThis v1.99.0 Scan saved at 20:10:33, on 29.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\dit.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\flcss.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\DitExp.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\Anvshell.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\SYSfit.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Reischl Mathias\Desktop\Daten von Mathias Reischl\Spiele von Mathias\HijackThis.exe C:\WINDOWS\system32\ntvdm.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe |
29.12.2004, 20:16 | #2 |
| Bitte um auswertung! Bist du sicher, dass das das komplette Logfile ist? Wenn nicht, dann ergänze es bitte.
__________________btw: Was ist dein Problem? |
29.12.2004, 20:16 | #3 |
| Bitte um auswertung! Hi,
__________________was ist die Veranlassung von deinem Besuch!? Lass bitte die beiden Dateien überprüfen C:\WINDOWS\System32\flcss.exe C:\WINDOWS\SYSfit.exe und zwar hier: http://virusscan.jotti.org/de Poste bitte das Ergebnis! Gruss |
29.12.2004, 20:28 | #4 | |
| Bitte um auswertung! also erstmal auch hallo! der anlass meines besuches ist ein programm das immer wieder werbung in regelmäßigen abständen (so alle 30 minuten) öffnet (add shooter heisst es glaub ich)!es wird von spybot und ad-aware SE personal nicht ausfindig gemacht! und hier das ergebnis des scanns von C:\WINDOWS\System32\flcss.exe: File: flcss.exe Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database) Packers detected: None AntiVir No viruses found (0.16 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.34 seconds taken) ClamAV No viruses found (0.36 seconds taken) Dr.Web No viruses found (0.57 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.70 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken) Norman Virus Control No viruses found (0.92 seconds taken) und hier das ergebnis des scanns von SYSfit.exe: File: SYSfit.exe Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.54 seconds taken) BitDefender No viruses found (0.60 seconds taken) ClamAV No viruses found (0.41 seconds taken) Dr.Web No viruses found (0.55 seconds taken) F-Prot Antivirus No viruses found (0.12 seconds taken) Kaspersky Anti-Virus No viruses found (0.72 seconds taken) mks_vir No viruses found (0.41 seconds taken) NOD32 No viruses found (0.51 seconds taken) Norman Virus Control No viruses found (0.85 seconds taken) @ haui: sorry ich hab offensichtlich nicht alles kopiert danke! Hier nochmal alles!!!sorry!!!! Logfile of HijackThis v1.99.0 Scan saved at 20:30:29, on 29.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\dit.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\flcss.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\WINDOWS\DitExp.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\Anvshell.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\SYSfit.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\ntvdm.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [dit] dit.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SYSfit] C:\WINDOWS\SYSfit.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - http://www.rovion.com/Controls/Rovio...affiliate=WBZT O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} - http://de.easports.com/downloads/gam...y/iesnoopy.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CS2\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe Ich hoffe ihr könnt mir helfen! Zitat:
Geändert von daniel1 (29.12.2004 um 20:44 Uhr) |
29.12.2004, 20:52 | #7 |
| Bitte um auswertung! Wundert mich, daß Jotti den nicht gefunden hat. Weg damit. Mach doch mal folgendes: Erstelle einen Ordner C:\bases Lade Dir eScan (mwav.exe) runter, entpacke die Datei in C:\bases, update (kavupd.exe) und lass das prog im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen (mwavscan.com) Berichte dann, was eScan gefunden hat. (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen) Der eScan kann schon mal ne Stunde dauern.... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
29.12.2004, 20:57 | #8 |
| Bitte um auswertung! Wo wir schon dabei sind SYSfit.exe dürft für die Werbung verantwortlich sein -> http://computercops.biz/startuplist-6557.html Auf der von cacatoa verlinkten Seite findest du auch Hinweise zur Entfernung des W32/Flcss |
29.12.2004, 21:00 | #9 | |
| Bitte um auswertung!Zitat:
aber was ist der abgesicherte modus?und wie kann man die Systemwiederherstellung deaktivieren und wie wiederherstellen?? sorry das sind sicher dumme fragen aber ich muss das wissen!! |
29.12.2004, 21:02 | #10 |
| Bitte um auswertung! abgesicherter Modus -> http://www.trojaner-board.de/63335-w...s-starten.html Systemwiederherstellung deaktivieren -> http://service1.symantec.com/SUPPORT...30807105707924 Das nächste Mal bitte selbst aktiv werden (=>www.google.de) |
29.12.2004, 21:03 | #11 | |
| Bitte um auswertung!Zitat:
alle löschen??? |
29.12.2004, 21:05 | #12 |
| Bitte um auswertung! Hier gehts zum abgesicherten Modus. Systemwiederherstellung deaktivieren: Arbeitsplatz rechte Maustaste, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren. Nicht vergessen, nach dem scan neu normal booten und Systemwiederherstellung aktivieren. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
29.12.2004, 21:06 | #13 | |
| Bitte um auswertung!Zitat:
|
29.12.2004, 21:08 | #14 | |
| Bitte um auswertung!Zitat:
btw. wenn für den Virus (nicht die SYSfit.exe) schon extra ein Removal-Tool angeboten wird, würde ich dir dringend empfehlen diese auch zu verwenden und nichts von Hand zu löschen. |
29.12.2004, 21:12 | #15 | |
| Bitte um auswertung!Zitat:
ich lass den scan morgen laufen und melde mich dann wieder!!!! vielen dank schonmal!!!!! ihr habt echt was drauf!!!! schöne Grüße aus dem verschneiten Tirol!!!! |
Themen zu Bitte um auswertung! |
adobe, antivirus, auswertung, bho, bitte um hilfe, boot, dateien, desktop, einstellungen, explorer, f-secure, hijack, hijackthis, hilfe, hilfe!!, hilfe!!!, internet, internet explorer, messenger, microsoft, programme, rundll, rundll32, software, symantec, system, system32, windows, windows xp |