Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Kann mal jemand unser Logfile anschauen (!!Anfänger!!)

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Log-Analyse und Auswertung: Kann mal jemand unser Logfile anschauen (!!Anfänger!!)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 09.01.2005, 19:08   #1
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Blinzeln

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Logfile of HijackThis v1.99.0
Scan saved at 18:34:40, on 09.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WIN_XP\system32\sol.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe



danke im Voraus

Alt 09.01.2005, 19:26   #2
cacatoa
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Hi,
mich wundert, daß Ihr auf diesem ungepatchten System nicht mehr drauf habt...
Also, erstmal updaten auf XP Service Pack 2 unter Windowsupdate
Dann folgende Dateien:
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\system32\sol.exe
online bei Jotti scannen. (Auf Durchsuchen gehen, wenn die DAtei gefunden ist, auf "submit".
Die Ergebnisse (jeweils 11 Zeilen) hier rein posten.
Mit HijackThis im abgesicherten Modus das folgende fixen (nach dem scan ein Häkchen bei dem beschriebenen Punkt machen und unten auf "fix checked" clicken)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -

Dann ein neues Logfile posten.
__________________

__________________
Alt 10.01.2005, 00:45   #3
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Hi nochmal, hoffe, wir machen das jetzt richtig!

Die Ergebnisse von "Jotti"
:
Service load: 0% 100%

File: sol.exe
Status: OK
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.63 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.48 seconds taken

Service load: 0% 100%

File: niSvcLoc.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.33 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.65 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.38 seconds taken)
Norman Virus Control No viruses found (0.45 seconds taken)

Gruß
Tina
__________________
Alt 10.01.2005, 01:17   #4
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


...und nochmal ich...

hier das letzte Resultat:

Logfile of HijackThis v1.99.0
Scan saved at 01:06:26, on 10.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\RunDLL32.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105295804919
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe

bin gespannt...

vielen Dank für die Mühe!

Grüßchen,
Christina

PS: Wir haben deshalb nicht mehr Probleme, weil ich gerade mehrmals täglich verschiedene Trojaner und anderes Getier per Hand aufstöbere und entferne...nervt allerdings tierisch, deshalb bin ich auf der Suche nach einer dauerhafteren Lösung!
U.A. wurde mir in den letzten Tagen gemeldet:
Worm Appkills
diverse Adware
TR/Dldr.Small.VQ
Hacker.ag Aktivitäten
TR/Dldr.Dyfuca.dk (wo der wohl herkommt???-habe mich ja schlau gemacht, was das ist,gell? )
und anderes mehr,
bin wirklich dankbar für Hilfe...
escan meldet auch vieles, entfernt ja aber nix...

Alt 10.01.2005, 02:44   #5
Hermes
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Bei einem so Kompromittierten System solltest du eigentlich auf JEDEN Fall auf eine Neuinstallation setzen.

Ich empfehle danach auf jeden Fall alle nicht benötigten Windiows Dienste abzuschalten. Ein Tool dafür findet man unter www.dingens.org

Und nie mit einem 'frisch' Installierten Windows (ohne ServicePacks) ins Netz gehen, weil du sonst spätestens 4 Minuten später schon wieder den Blaster hast. Und der Blastedr wird dann wiederrum von anderen Viren benutzt um auch ins System 'einzufallen'

Mfg Hermes


Alt 10.01.2005, 09:03   #6
cacatoa
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


@ Hermes:
Ich lasse mich gerne belehren; also bitte zeig mir die Kompromittierung.

@ Tina & Maenne
Bitte poste die eScan Auswertung (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
Das Logfile zeigt miraußer folgendem keine Auffälligkeit:
Wieso laufen die Prozesse bei Euch unter: C:\WIN_XP anstelle von C:\Windows...
cacatoa
__________________
--> Kann mal jemand unser Logfile anschauen (!!Anfänger!!)
Geändert von cacatoa (10.01.2005 um 09:48 Uhr)

Alt 10.01.2005, 09:31   #7
MountainKing
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Bitte keine Neuinstallationen ohne entsprechende Begründungen empfehlen.



@ Tina_und_Maenne

Euer Problem scheint mir in erster Linie im Adwarebereich und bei der Konfiguration eurer Internetprogramme und der Pflege der Software zu liegen. Wichtigstes Gebot ist regelmäßiges (wöchentliches) Updaten aller entsprechenden Programme, angefangen bei Windows. Ein alternativer Browser wie Opera oder Firefox ist zu empfehlen, sie sind sicherer und auch besser als der IE. Auch diese dann entsprechend konfigurieren, speziell, was die aktiven Inhalte betrifft. Nicht jede Software aus dem netz laden und ausprobieren, vorher genau informieren, ob sie evtl. Adware enthält.

Weitere Tips:

http://www.mathematik.uni-marburg.de...ompromise.html

http://www.forum-3dcenter.org/vbulle...d.php?t=163074


Die beste dauerhafte Lösung ist es, sich nicht auf Sicherheitssoftware zu verlassen, sondern sich zu informieren und bestimmte Grundregeln zu beachten.


Es wäre tatsächlich wichtig, zu wissen, WO genau sich die von euch gefundenen Schädlinge befunden haben.

Alt 10.01.2005, 11:05   #8
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


guten Morgen,
erstmal die Resultate von escan:

File C:\WIN_XP\System32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\System32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\Dokumente und Einstellungen\Christina.PC\Anwendungsdaten\ougrgiethkthbr.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\Dokumente und Einstellungen\Christina_2\Eigene Dateien\Seals.exe infected by "not-virus:Joke.Win32.JepRuss" Virus
File C:\Downloads\Desktop\3037.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus
C:\Programme\AVPersonal\INFECTED\*.*
File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP761\A0120315.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP761\A0120317.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120341.dll infected by "not-a-virus:AdWare.EZula.ab" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120343.exe infected by "not-a-virus:AdWare.EZula.z" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP762\A0120344.dll infected by "not-a-virus:AdWare.EZula.x" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP792\A0129851.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP792\A0129851.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP811\A0131663.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP811\A0131664.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP813\A0131675.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131718.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131719.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus
File C:\System Volume Information\_restore{FD677B47-A9EC-4122-A475-C10DDF89241C}\RP815\A0131721.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus
Total Virus(es) Found: 23
Mon Jan 10 10:36:14 2005 => Total Disinfected Files: 0

Wieso die Prozesse bei uns unter WIN_XP laufen weiß ich nicht...

bei Software aus dem Netz waren wir in der Tat etwas arglos...

eine Neuinstallation würde ich wenn irgend möglich gerne umgehen, das scheint ja doch eine gruselige Aktion zu sein für einen PC-Laien...

wo sich die Trojaner und co so getummelt haben, weiß ich leider nicht mehr so genau, ich kann mich aber erinnern, daß ich u.a. immer wieder eine Datei "ied_s7m.cab" direkt in C:\ gefunden habe, die ich irgendwann entfernen konnte...seit einigen Tagen taucht sie jedenfalls in der Suche nicht mehr auf!

ich hoffe, diese Informationen sind hilfreich,

Grüßchen,

Christina

Alt 10.01.2005, 12:13   #9
chaosman
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


@Tina_und_Maenne
oke, schritt für schritt, lade dir clearprog hier
programm starten, alle häkchen bei windows und IE setzen, danach löschen
danach systemwiederherstellung deaktivieren, neu starten, systemwiederherstellung aktivieren.
wechsle dann in den abgesicherten modus
http://www.trojaner-board.de/63335-w...s-starten.html
und lösche manuell diese dateien
File C:\WIN_XP\System32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\System32\WebRebates_Auto_InstallSilent.e xe infected by "not-a-virus:AdWare.WebRebates.b" Virus
File C:\Dokumente und Einstellungen\Christina.PC\Anwendungsdaten\ougrgie thkthbr.dll infected by "not-a-virus:AdWare.Lop" Virus
File C:\Dokumente und Einstellungen\Christina_2\Eigene Dateien\Seals.exe infected by "not-virus:Joke.Win32.JepRuss" Virus
File C:\Downloads\Desktop\3037.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus
C:\Programme\AVPersonal\INFECTED\*.*
File C:\Programme\Web Offer\CHPON.dll infected by "not-a-virus:AdWare.EZula.ae" Virus
File C:\WIN_XP\system32\ezPopStub.exe infected by "not-a-virus:AdWare.EZula.u" Virus
File C:\WIN_XP\system32\WebRebates_Auto_InstallSilent.e xe infected by "not-a-virus:AdWare.WebRebates.b"
neu starten.
chaosman
__________________
Bonus vir semper tiro

Alt 10.01.2005, 13:39   #10
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


soooo, habe jetzt alle Tips befolgt und eScan hat im Moment auch nichts mehr zu beanstanden! Gibt es jetzt noch was zu tun?

Besten Dank für die Hilfe an alle!!!!!!!
:aplaus:

Grüßchen,

Christina

Alt 10.01.2005, 16:46   #11
cacatoa
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Hi Tina,
wenn escan nichts mehr findet, dann sollte jatzt alles in Ordnung sein; ein abschließendes HJT-Logfile wäre noch sinnvoll! Und natürlich die Links von MountainKing lesen!
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 10.01.2005, 17:31   #12
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Salut Cacatoa,

wie von Dir vorgeschlagen, hier nochmal ein Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 17:26:05, on 10.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\WIN_XP\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WIN_XP\System32\niSvcLoc.exe
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\System32\MsPMSPSv.exe
C:\WIN_XP\System32\Fast.exe
C:\WIN_XP\System32\taskswitch.exe
C:\WIN_XP\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WIN_XP\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WIN_XP\System32\rundll32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\WIN_XP\system32\ZoneLabs\vsmon.exe
C:\WIN_XP\system32\sol.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christina_2\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\win_xp\downloaded program files\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\win_xp\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WIN_XP\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WIN_XP\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WIN_XP\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN_XP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - Startup: Internetdienstanbieter.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: Spamihilator.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\win_xp\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WIN_XP\System32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105295804919
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D6CDC9C-78D5-41E4-A519-ECDF0832587F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C77241-EB8F-4B85-9D8F-80648C12AA96}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NI Service Locator - National Instruments - C:\WIN_XP\System32\niSvcLoc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WIN_XP\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WIN_XP\system32\ZoneLabs\vsmon.exe

Die Links werde ich mir noch in Ruhe zu Gemüte führen!
Noch eine Frage:
mit Antivir, eScan, adaware, und Spybot (jeweils auf dem neuesten Stand) müsste es doch möglich sein, fast alles an Schweinereien zu erwischen, oder?
Oder gibt es noch was, was Ihr empfehlt?

Grüßchen,
Christina

Alt 10.01.2005, 18:01   #13
Cidre
Administrator, a.D.
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Zitat:
mit Antivir, eScan, adaware, und Spybot (jeweils auf dem neuesten Stand) müsste es doch möglich sein, fast alles an Schweinereien zu erwischen, oder?
Du bewertest die Fähigkeiten deiner Sicherheitsanwendungen über. Sie sind allenfalls eine Ergänzung zu einem Sicherheitskonzept. Die Basis musst du erstmal dafür schaffen und das wäre, dein System sowie die verwendete Software ausreichend zu patchen und aktuell zu halten.
Les dir die Links wirklich durch.
__________________
Gruß, Cidre


Alt 10.01.2005, 18:49   #14
Tina_und_Maenne
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


Hallo Cidre,

das werde ich versuchen. Bin erstmal überascht über die Tatsache, daß Antiviren-Software so wenig sicher ist (zumindest, wenn man sich so sehr auf sie verlässt, wie wir das bisher getan haben).


Danke für die Anregung,

Christina

Alt 11.01.2005, 04:26   #15
Shadowdance
 
Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Standard

Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


@ Tina_und_Maenne

neben den Tipps, welche Euch bereits gegeben worden sind, möchte ich noch gerne auf diese Tipps hinweisen:
Windows sicher einrichten in 15 Schritten und Alternative Browser.

SD

Antwort
Seite 1 von 2 1 2

Themen zu Kann mal jemand unser Logfile anschauen (!!Anfänger!!)
adobe, antivir, antivir update, avgnt.exe, bho, dateien, dll, drivers, einstellungen, explorer, google, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, monitor, national, nvcpl.dll, nvidia, programme, rundll, software, sun java, system, tcpip, temp, usb, windows, windows xp


« hi!bräuchte ein bissl hilfe bei einer HJT auswertung | Fliege nach 3min immer raus »


Ähnliche Themen: Kann mal jemand unser Logfile anschauen (!!Anfänger!!)


  1. PC hängt wiedermal...Kann das jemand anschauen?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2015 (17)
  2. Kann sich jemand das Logfile anschauen?
    Log-Analyse und Auswertung - 20.02.2009 (7)
  3. kann mal bitte jemand mein logfile anschauen?
    Log-Analyse und Auswertung - 10.10.2008 (1)
  4. Kann jemand mein logfile anschauen?
    Log-Analyse und Auswertung - 07.11.2007 (32)
  5. kann mir das jemand anschauen?
    Log-Analyse und Auswertung - 24.08.2007 (1)
  6. Kann sich das jemand anschauen??
    Log-Analyse und Auswertung - 11.07.2007 (6)
  7. Kann bitte mal jemand dieses Log anschauen?
    Log-Analyse und Auswertung - 04.05.2006 (10)
  8. Kann sich jemand das mal anschauen
    Log-Analyse und Auswertung - 30.04.2006 (1)
  9. Kann sich jemand das anschauen
    Log-Analyse und Auswertung - 25.10.2005 (1)
  10. Kann sich das mal bitte jemand anschauen?
    Log-Analyse und Auswertung - 06.09.2005 (1)
  11. kann sich das mal jemand anschauen
    Log-Analyse und Auswertung - 01.04.2005 (3)
  12. Kann sich das ma jemand anschauen?
    Log-Analyse und Auswertung - 08.03.2005 (5)
  13. kann sich das mal jemand anschauen
    Log-Analyse und Auswertung - 07.03.2005 (2)
  14. Kann sich jemand mal die Logfile anschauen?
    Log-Analyse und Auswertung - 27.02.2005 (2)
  15. Kann sich das mal jemand bitte anschauen
    Log-Analyse und Auswertung - 10.02.2005 (4)
  16. Kann sich das bitte mal jemand anschauen.
    Log-Analyse und Auswertung - 27.01.2005 (9)
  17. Kann mal bitte jemand die Logfile anschauen? Trojan.small/super spider
    Log-Analyse und Auswertung - 23.01.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Kann mal jemand unser Logfile anschauen (!!Anfänger!!) - Logfile of HijackThis v1.99.0 Scan saved at 18:34:40, on 09.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WIN_XP\System32\smss.exe C:\WIN_XP\system32\winlogon.exe C:\WIN_XP\system32\services.exe C:\WIN_XP\system32\lsass.exe C:\WIN_XP\system32\svchost.exe C:\WIN_XP\System32\svchost.exe C:\WIN_XP\system32\spoolsv.exe C:\WIN_XP\Explorer.EXE - Kann mal jemand unser Logfile anschauen (!!Anfänger!!)...
Archiv
Du betrachtest: Kann mal jemand unser Logfile anschauen (!!Anfänger!!) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55