|
Log-Analyse und Auswertung: Bitte um hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.01.2005, 21:39 | #1 |
| Bitte um hilfe! Ist hier noch was zu retten? Mal wieder ein ein verseuchter Rechner kann man noch was machen oder ist der Rechner komprometiert? Bitte um Hilfe: Logfile of HijackThis v1.98.2 Scan saved at 21:06:31, on 01.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\program files\interMute\SpySubtract\SpySub.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.spysubtract.com/regist...5&430=882c5933 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Norton Secure] fsecure.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\RunServices: [Norton Secure] fsecure.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\program files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file) |
01.01.2005, 22:22 | #2 |
Administrator, a.D. | Bitte um hilfe! Hallo,
__________________Überprüfe mal folgende Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: fsecure.exe btw: Poste danach ein aktuelles Log-File (Vers. 1.99), aber diesmal aus dem "normalen " Modus.
__________________ |
01.01.2005, 23:54 | #3 |
| Bitte um hilfe! Hallo Cidre, ich habe hier ein kleines Problem: Ich komme kaum mehr ins Netz geschweige denn, dass ich noch viel surfen kann. Ich versuchte den onlinscanner zu überreden die Datei upzuloaden, jedoch gelangte ich dann auf eine kostenpflichtige Seite. Hier brach ich dann ab, um erst mal zu fragen, ob es nicht andere Alernativen gibt. Meine Kreditkartennummer anzugeben wird alleine daher schon schwierig, da ich keine habe
__________________Gibt es noch andere Möglichkeiten? (nur zur Erklärung, ich sitze hier bei einem Freund und nicht an meinem Rechner. Von Sicherheit (15 Schritte Windows sicher zu konfigurieren - oder Ähnlichem hat dieser Freund noch nie was gehört) Ich gebe mir die größte Mühe |
02.01.2005, 00:14 | #4 | |
Administrator, a.D. | Bitte um hilfe!Zitat:
Führe folgendes aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
02.01.2005, 16:28 | #5 |
| Bitte um hilfe! Hallo Cidre, nun sitze ich wieder an meinem Rechner. Habe gestern Nacht aufgegeben. Im Netz konnt ich nur 2 Minuten bleiben, bevor der Recher die Seiten nicht mehr geöffnet hat oder abgestürzt ist. Es ist ein ALDI Rechner dementsprechend partitioniert und ohne Kennwörter etc. Da mehrere Festplatten vorhanden sind und das Betriebssystem auf C gespeichert ist, habe ich erstmal alle Date auf D geschoben. C zu formatieren und dabei die anderen Festplatten unberührt zu lassen, habe ich noch nie gemacht. Der Rechner hat eine Festplatte welche sich RECOVERY nennt und alle Programme zur Wiederherstellung beinhaltet. Währe es nicht das Sinnvollste C zu formatieren und neu zu bespielen? Würde das nicht ungeimein viel Zeit sparen? Ich experimentiere ja gerne, aber dennoch denke ich, dass das hier der schnellste und sicherste Weg ist. Noch ne Frage: Was hälst Du von dem Program " Windows-Dienste abschalte"? Über Eure Links kommt man ja dorthin. In dem Text steht dann auch, dass dann eine Firewall zweckfrei sei, da keine Angriffspunkte mehr gegeben seien. Vielen Dank schon mal |
02.01.2005, 16:33 | #6 | ||
| Bitte um hilfe!Zitat:
Wenn also definitiv nichts mehr geht,ist es sicherlich sinnvoll c: zu formatieren! Zitat:
|
02.01.2005, 16:38 | #7 | |
Administrator, a.D. | Bitte um hilfe! Da du ja im Besitz einer Recovery CD bist, kannst du mit Hilfe dieser denn Auslieferungszustand wieder herstellen, wie am "1. Tag". Siehe auch http://www.trojaner-board.de/showthread.php?t=8684 Sichere danach dein System dementsprechend VOR der ersten I-net Verbindung ab. http://www.trojaner-board.de/showpos...28&postcount=2 Zitat:
http://www.ntsvcfg.de/linkblock.html http://www.chip.de/forum/thread.html?bwthreadid=659560 |
02.01.2005, 16:46 | #8 |
| Bitte um hilfe! Na super dann habe ich ja endlich wieder einen Rechner zum Formatieren (Ironie!!) Vielen dank -- vielleicht den nächsten Beitrag vom neu gestalteten ALDI Rechner |
Themen zu Bitte um hilfe! |
.com, .inf, acrobat, adobe, bho, bitte um hilfe, button, ctfmon.exe, dateien, explorer, file missing, hijack, hijackthis, home, internet, internet explorer, links, microsoft, programme, rundll, rundll32, secure, software, start, system, system32, t-online, windows, windows xp |