![]() |
|
Log-Analyse und Auswertung: Bitte prüft mal nach...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
| ![]() Bitte prüft mal nach... Hallo! Habe mir auch etwas eingefangen, weiß aber nicht was ich jetzt alles fixen soll: Vielelicht kann mir jemanden helfen. DAnke im vorraus... Logfile of HijackThis v1.99.0 Scan saved at 18:18:35, on 13.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\WEBWASHER\WWASHER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP6.EXE C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL |
![]() | #2 |
![]() ![]() ![]() | ![]() Bitte prüft mal nach... @Paddy80
__________________wechsle in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {CAF143C1-640A-11D9-B7F5-4445FF364167} - C:\WINDOWS\SYSTEM\CIKG.DLL O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - http://www.net2phone.com/ (file missing) O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe O18 - Filter: text/html - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL O18 - Filter: text/plain - {CAF143C0-640A-11D9-B7F5-4445907AE4FC} - C:\WINDOWS\SYSTEM\CIKG.DLL die datei manuell löschen C:\WINDOWS\SYSTEM\CIKG.DLL neu starten, neues HJT logfile posten chaosman
__________________ |
![]() | #3 |
| ![]() Bitte prüft mal nach... @chaosman
__________________Danke für die Infos. hab die Sachen gefixt. Aber die C:\WINDOWS\SYSTEM\CIKG.DLL hab ich nicht gefunden (auch wenn versteckte dateien mit angezeigt werden). Beim Start von Windows wird immer als erstes gleich eine DFÜ -Verbindung versucht aufzubauen. Jetzt nach dem Neustart schon wieder. Irgenwas ist wohl immer noch faul. Aktuelle Logfile: Logfile of HijackThis v1.99.0 Scan saved at 19:45:15, on 13.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\UNLOAD\HPQCMON.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\MEDIACTR.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\NETROPA\ONSCREEN DISPLAY\OSD.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE C:\PROGRAMME\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\LAVASOFT\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Touch Manager] C:\Programme\Netropa\Touch Manager\TouchMgr.exe O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKCU\..\Run: [iCounter] C:\PROGRAMME\ICOUNTER\ICOUNTER O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH20\LGXIEBAR.DLL |
![]() | #4 |
| ![]() Bitte prüft mal nach... Hab inzwischen nocheinam escan über meinen pc laufen lassen und dort wurde folgendes gefunden: File C:\WINDOWS\System32\delaybuf.dll infected by "Trojan-Downloader.Win32.Small.agb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\ied.exe infected by "Trojan-Downloader.Win32.Mediket.m" Virus. Action Taken: No Action Taken. Kann mir jemand sagen, ob ich diese beiden dateien bedenkenlos löschen kann ? Danke, im Vorraus. |
![]() | #5 |
![]() ![]() ![]() | ![]() Bitte prüft mal nach... @Paddy80 die dateien in abgesicherten modus bei deaktivieren systemwiederherstellung manuell löschen. chaosman
__________________ Bonus vir semper tiro |
![]() | #6 |
| ![]() Bitte prüft mal nach... @chaosman: wie deaktiviere ich die systemwiederherstellung, wenn ich in den abgesicherten modus gehe? die ied.exe hat sich im abgesicherten modus löschen lassen. File C:\WINDOWS\System32\delaybuf.dll : hier sagt er mir : Wird von windows verwendet, kann nicht gelöscht werden. Naja, werd die Sache morgen abend nochmal angehen. |
![]() | #7 |
![]() ![]() ![]() | ![]() Bitte prüft mal nach... @ Paddy80 1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre) 2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, Datei markieren/kopieren, in die Windows Suche übertragen -> löschen: C:\WINDOWS\SYSTEM\ied.exe 3.) --> Cidre und Chaosman zum löschen von DLL's zitiert: "[i]entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollte die Datei sich löschen lassen: C:\WINDOWS\System32\delaybuf.dll Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten. Erstelle bitte ein neues HJT-Logfile und poste es. |
![]() |
Themen zu Bitte prüft mal nach... |
acrobat, adobe, antivirus, bho, button, danke, dateien, digital, explorer, file missing, hijack, hijackthis, internet, internet explorer, logitech, messenger, microsoft, msn, msn messenger, programme, registry, rundll, rundll32.exe, software, system, temp, windows, windows\temp |