|
Log-Analyse und Auswertung: Hallo! Look this log!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.01.2005, 20:08 | #1 |
| Hallo! Look this log! Hallo da draußen! Wie viele hier im Forum habe auch ich ein Porb mit meinem PC! Folgender Werdegang! 1. IE meldet nach Abmeldung "eine Bibliotheksdatei würde fehlen" 2. Beim nächsten Start des IE braucht dieser wesentlich länger zum finden meiner Startseite! 3. Beim Anklicken bestimmter Seiten (Konfiguratoren von Pkw-Herstellern pp.) werde ich aus dem IE geworfen und muß mich neu einloggen. 4. Das ging ca. 6 Wochen so! Fehlermeldung von etrust, zonealarm, adaware null! Keine außergewöhnlichen Prozesse im taskmanager feststellbar! 5. Nach 6 Wochen wird das System grottenlangsam! 6. escan und antivir sowie bitfender und a2 rüberlaufen lassen und escan findet eine "Application.ProcKill.JK" sowie den Trojaner "Trojan.Downloader DyfucaDP". Beide gemeuchelt und System neu aufgesetzt. 2 Tage Arbeit 7. Jetzt meldet mir der IE nach Abmeldung wieder "eine Bibliotheksdatei würde fehlen" 8. Beim aktivieren meines DVD-Brenners (nur DVD) fährt sich der Computer fest und wiederum lange Startzeit der Startzeite! 9. Surfverhalten sicher bis supersicher! 10. Bin mit meinem Latein am Ende! Hier das log! Logfile of HijackThis v1.99.0 Scan saved at 19:47:37, on 04.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\locator.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\mdmprs32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\RNapxs.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\a2\a2guard.exe C:\WINDOWS\mdmps32.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\alg.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\cidaemon.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bär\Eigene Dateien\Eigene Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.1und1.de/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/d1redirect O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [LnkSet] C:\WINDOWS\RNapxs.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7E00C4-5A40-48DD-8A7B-73728C01A514}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{C28582C3-FD0C-4CAC-ADCB-B300F10A1E1D}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: WinSock Extention Manager - Unknown - C:\WINDOWS\mdmprs32.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe Bitte um Hilfe oder gut gemeinten Rat, da ich nicht schon wieder Bock auf format C habe! odysseus |
04.01.2005, 20:16 | #2 |
| Hallo! Look this log! Hallo,
__________________überprüfe mal bitte C:\WINDOWS\mdmprs32.exe hier: http://virusscan.jotti.org/de Ach ja, wo genau hat E-Scan die beiden Viren gefunden? |
04.01.2005, 20:20 | #3 |
| Hallo! Look this log! @totdenwürmern
__________________überprüfe auch C:\WINDOWS\RNapxs.exe bei http://virusscan.jotti.org/de poste bitte das ergebnis chaosman
__________________ |
04.01.2005, 20:39 | #4 |
| Hallo! Look this log! Hi! Also laut Überprüfung sind beide iO! Das erste ist eine Windowssache und die zweite gehört zu unserer Kindersicherung! Übrigens vergaß ich zu erwähnen, dass ich seit 14 Tagen mit Sasser per email bombardiert werde! Gedankt sei der firewall meines Providers. totdenwürmern Sorry für den odysseus (war mein erster nickname-Wunsch |
04.01.2005, 20:58 | #5 |
| Hallo! Look this log! @totdenwürmern poste doch mal EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." chaosman
__________________ Bonus vir semper tiro |
04.01.2005, 21:11 | #6 |
| Hallo! Look this log! Ist in Bearbeitung! Hier die neueste Meldung! 04.01.2005,20:48:55 [WARNUNG] Enthält Signatur des Droppers DR/Small.OF.H! C:\PROGRAMME\A2\IPWORKS6.DLL [INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben! Ein Jahr im Internet und nichts passiert und jetzt! totdenwürmern |
04.01.2005, 21:41 | #7 |
| Hallo! Look this log! Hier die Meldungen von escan! C:\WINDOWS\toolx.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. C:\WINDOWS\tool1.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. C:\DOKUME~1\BR2739~1\LOKALE~1\Temp\temp.frB6C3\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\toolx.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. C:\WINDOWS\tool1.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken. Das war sie alle vor dem löschen mit escan! Aktueller Durchlauf von heute erbrachte "und sie leben glücklich und zufrieden mit ihren PC in alle Ewigkeit!" 0 infected 0 error 0 problems Nach den letzten Problemen kann ich den Frieden aber nicht so richtig trauen! Oder kann einer von den da oben eventl. Treiber, .dll etc. beschädigt haben? Werde Morgen noch mal mit ner Linux-CD und aktuellen Virensignaturen rübergehen! Falls noch jemand tipps hat, dann bitte Meldung! totdenwürmern |
04.01.2005, 21:47 | #8 |
| Hallo! Look this log! @totdenwürmern wenn du dieser im system hattest http://www.sophos.de/virusinfo/analy...2forbotdg.html dann kann man dir nur Neuaufsetzen empfehlen hier ein paar tips http://board.protecus.de/showtopic.p...me=1097944155& sry chaosman
__________________ Bonus vir semper tiro |
04.01.2005, 21:57 | #9 |
| Hallo! Look this log! Scheiße! Wie erkenne ich denn, ob es der W32/Forbot-DG war! Wenn ich das richtig verstanden habe, ist mein Wootbot auch nen Aliasteil von diesem, als auch weniger gefährliche Würmern! Reicht da Format C! Weil ich das ja schon mal mit scheinbar negativen Erfolg durchgeführt habe! Schreibt der sich eventl. auch in die Partionen D und E? Oder könnte der von meinem Backup-Laufwerk runtergekommen sein? Allerdings hab ich da nach der Neuinstallation nichts runtergezogen! Maaaaaaaaaaaaaannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn totdenwürmern |
04.01.2005, 22:00 | #10 |
| Hallo! Look this log! @totdenwürmern http://www.google.com/search?q=Wootb...utf-8&oe=utf-8 lese den tips, mache es wie beschrieben wird, dann müßte es eigentlich gehen chaosman
__________________ Bonus vir semper tiro |
Themen zu Hallo! Look this log! |
.inf, adobe reader, antivir, antivir update, bho, computer, dsl, einstellungen, fehlermeldung, file missing, format, google, heulen, hijack, hijackthis, internet, internet explorer, langsam, monitor, prozesse, rundll, server, software, symantec, system, system neu, taskmanager, tcpip, trojan.downloader, trojaner, windows, windows messenger, windows xp |