| |
| |||||||
Log-Analyse und Auswertung: ich glaub ich brech zusammen.............Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.01.2005, 20:26
| #1 |
 |  ich glaub ich brech zusammen.neuer Log bitte mal schauen gerade fertig geworden und dann finde ich im reg cleaner was, was da nicht hingehört, oder habe ich mich nur verschaut.Habe gerade wieder windows/system32/winsys.exe gesehen Logfile of HijackThis v1.98.2 Scan saved at 20:24:41, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Ahead\InCD\InCDsrv.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe E:\WINDOWS\System32\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 Geändert von carsten75 (16.01.2005 um 20:44 Uhr) |
|
17.01.2005, 02:55
| #2 |
  | ich glaub ich brech zusammen............. Dein HijackThis ist nicht aktuell.
__________________Hier der direkte Downloadlink zur neusten Version. Damit bitte einen neuen Log erstellen und posten. Deine Datei, die dir sorgen macht (winsys.exe) kannst du ja mal hier online prüfen lassen : http://virusscan.jotti.org/de
__________________ |
|
17.01.2005, 05:40
| #3 |
| | ich glaub ich brech zusammen............. neuer log
__________________Logfile of HijackThis v1.99.0 Scan saved at 05:38:10, on 17.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Programme\Ahead\InCD\InCDsrv.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe E:\Programme\AVPersonal\AVGNT.EXE E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\system32\nvsvc32.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\wuauclt.exe E:\Programme\Internet Explorer\iexplore.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 O17 - HKLM\System\CCS\Services\Tcpip\..\{EDFC4A4F-6A51-4E32-888D-54DE8E8DCDA9}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich bete die ganze nacht schon :-( |
|
17.01.2005, 11:21
| #4 |
 | ich glaub ich brech zusammen............. Hast du Datei denn nun noch und hast du sie überprüft? Im Log ist erstmal nichts weiter zu sehen. Lass mal E-Scan durclaufen: http://www.trojaner-board.de/42731-escan-anleitung.html |
|
17.01.2005, 19:40
| #5 |
| | ich glaub ich brech zusammen............. also die Datei winsys exe ist nach wie vor da. Escan hat nix gefunden. Muss ich Escan im abgesicherten machen ??? Habe escan nur im normalen modus gemacht Carsten |
|
17.01.2005, 19:42
| #6 | |
| | ich glaub ich brech zusammen.............Zitat:
|
|
17.01.2005, 19:49
| #7 |
| | ich glaub ich brech zusammen............. hmmm, aber wie komme ich dort hin, in den abgesicherten Modus ??? Carsten |
|
17.01.2005, 20:18
| #8 |
| | ich glaub ich brech zusammen............. |
|
17.01.2005, 20:26
| #9 |
| | ich glaub ich brech zusammen............. sorry, bischen Stress ,meine Frau dreht schon am Rad. Nörgelt rum das nur ich immer Viren habe und sie auf ihrem PC der mit meinem via crossover Kabel verbunden ist , nie.....bla bla bla. So Escan findet nix im abgesicherten. Habe noch mal ein Log im abgesicherten gemacht.Weiss zwar nicht ob das was bringt, aber bitte: Logfile of HijackThis v1.99.0 Scan saved at 20:02:13, on 17.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\Explorer.EXE E:\DOKUME~1\carsten\LOKALE~1\Temp\mwavscan.com E:\DOKUME~1\carsten\LOKALE~1\Temp\kavss.exe E:\DOKUME~1\carsten\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ebay.de/_W0QQgotopageZ...sortpropertyZ2 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105895618359 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - E:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - E:\WINDOWS\system32\ZoneLabs\vsmon.exe Carsten |
|
17.01.2005, 20:40
| #10 |
| | ich glaub ich brech zusammen............. @ carsten75 nörgeln ist eine Form einem Menschen zu sagen, wieviel er einem bedeutet ... das muss man halt bloss verstehen ..  --> boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://search.ebay.de/_W0QQgotopage...osortpropertyZ2 Boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu. --> Weisst Du vielleicht, was das ist: O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - Global Startup: 3D!Turbo Experience.lnk = E:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe |
|
17.01.2005, 20:40
| #11 | |
| | ich glaub ich brech zusammen............. Poste mal bitte folgendes aus der mwav.log (unter C:\bases) Zitat:
|
|
17.01.2005, 20:44
| #12 | |
| | ich glaub ich brech zusammen.............Zitat:
Was meinst Du damit ???? 3d turbo ist meine Graka das darüber KA Den Rest werde ich umgehend erledigen @ Haui CARSTEN |
|
17.01.2005, 20:46
| #13 |
| | ich glaub ich brech zusammen............. ich wollte nur wissen, was es ist. Poste bitte das Ergebnis des eScan. |
|
17.01.2005, 21:06
| #14 |
| | ich glaub ich brech zusammen............. So, hier der Escan: Mon Jan 17 20:59:08 2005 => ***** Checking for specific ITW Viruses ***** Mon Jan 17 20:59:08 2005 => Checking for Welchia Virus... Mon Jan 17 20:59:08 2005 => Checking for LovGate Virus... Mon Jan 17 20:59:08 2005 => Checking for CodeRed Virus... Mon Jan 17 20:59:08 2005 => Checking for OpaServ Virus... Mon Jan 17 20:59:08 2005 => Checking for Sobig.e Virus... Mon Jan 17 20:59:08 2005 => Checking for Winupie Virus... Mon Jan 17 20:59:08 2005 => Checking for Swen Virus... Mon Jan 17 20:59:08 2005 => Checking for JS.Fortnight Virus... Mon Jan 17 20:59:08 2005 => Checking for Novarg Virus... Mon Jan 17 20:59:08 2005 => Checking for Pagabot Virus... Mon Jan 17 20:59:08 2005 => Checking for Parite.b Virus... Mon Jan 17 20:59:08 2005 => Checking for Parite.a Virus... Mon Jan 17 20:59:09 2005 => ***** Scanning complete. ***** Mon Jan 17 20:59:09 2005 => Total Files Scanned: 3610 Mon Jan 17 20:59:09 2005 => Total Virus(es) Found: 0 Mon Jan 17 20:59:09 2005 => Total Disinfected Files: 0 Mon Jan 17 20:59:09 2005 => Total Files Renamed: 0 Mon Jan 17 20:59:09 2005 => Total Deleted Files: 0 Mon Jan 17 20:59:09 2005 => Total Errors: 3 Mon Jan 17 20:59:09 2005 => Time Elapsed: 00:02:37 Mon Jan 17 20:59:09 2005 => Virus Database Date: 2005/01/15 Mon Jan 17 20:59:09 2005 => Virus Database Count: 115613 Mon Jan 17 20:59:09 2005 => Scan Completed. Sag mir nur wieso ich den einen Fixen sollte ??? Jetzt ist meine Startseite ja wech.Habe da jetzt about blank stehen ???? Muss das so sein ??? Grüße Carsten |
|
17.01.2005, 21:07
| #15 |
| | ich glaub ich brech zusammen............. Ich habs mir gedacht. Du hast eScan falsch ausgeführt. Scanne erneut mit eScan, halte dich diesmal aber bitte an die Anleitung ("all local drives" muss aktiviert sein!!!) |
|
| Themen zu ich glaub ich brech zusammen............. |
| avg, button, cleaner, dll, excel, explorer, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, nvcpl.dll, office, programme, rundll, rundll32.exe, software, sp2, start, temp, tools, windows messenger, windows xp, zone, zonealarm |
Linear-Darstellung
