| |
| |||||||
Log-Analyse und Auswertung: Hilfe habe Worm/NetSky.B.1Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
19.01.2005, 22:07
| #1 |
| |  Hilfe habe Worm/NetSky.B.1 Kann mir jemand helfen bitte? Hier mein Log Logfile of HijackThis v1.99.0 Scan saved at 22:07:33, on 19.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Program Files\DeskAd Service\DeskAdServ.exe C:\Programme\Parallel Tasking\ptask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Magic Keyboard\MagicKey.exe C:\Program Files\DeskAd Service\DeskAdKeep.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Programme\Magic Keyboard\V3D.exe C:\Programme\Magic Keyboard\OSD.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Hobi\Eigene Dateien\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O4 - HKLM\..\Run: [Parallel Tasking] C:\Programme\Parallel Tasking\ptask.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Magic Keyboard.lnk = C:\Programme\Magic Keyboard\MagicKey.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c11.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.co...veX/winrep.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094661577312 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{753E6B79-50A8-42C7-A506-F81D292DE7FB}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service - Unknown - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe (file missing) |
|
19.01.2005, 22:19
| #2 |
   | Hilfe habe Worm/NetSky.B.1 hm.. dann mach mal das:
__________________1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diese einträge: O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - (no file) O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/C.../bridge-c11.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab O23 - Service: TuneUp WinStyler Theme Service - Unknown - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe (file missing) 3.dateien löschen -lösche die Datei explorer.cab im ordner c:\ -lösche den Ordner C:\Program Files\DeskAd Service\ -lösche natürlich auch die von escan beanstandeten dateien 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
|
20.01.2005, 12:12
| #3 |
| | Hilfe habe Worm/NetSky.B.1 hier die infected
__________________C:\PROGRA~1\PARALL~1\ptask.exe infected by "Trojan-Downloader.Win32.INService.gen" Virus. Action Taken: No Action Taken. C:\PROGRA~1\PARALL~1\ptask.exe infected by "Trojan-Downloader.Win32.INService.gen" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Hobi\LOKALE~1\Temp\temp.fr1EB2 infected by "not-a-virus:AdWare.WinAD.m" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Hobi\LOKALE~1\TEMPOR~1\Content.IE5\4P6RW9Y3\StudioLine_Web_Edition_v1[1].1.zip infected by "TrojanDownloader.Win32.INService.i" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Hobi\LOKALE~1\TEMPOR~1\Content.IE5\RAK3V5OP\LOMALKA[1].RU-PhotoLine_v10.01.zip infected by "Trojan-Downloader.Win32.INService.gen" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Hobi\LOKALE~1\TEMPOR~1\Content.IE5\9RFJTX8E\LOMALKA[1].RU-PhotoLine_v10.04.zip infected by "Trojan-Downloader.Win32.INService.gen" Virus. Action Taken: No Action Taken. C:\DOKUME~1\Hobi\LOKALE~1\TEMPOR~1\Content.IE5\2ZWVPMB2\ysb_prompt[1].php infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken. Thu Jan 20 12:05:13 2005 => Total Files Scanned: 6252 Thu Jan 20 12:05:13 2005 => Total Virus(es) Found: 9 Thu Jan 20 12:05:13 2005 => Total Disinfected Files: 0 Thu Jan 20 12:05:13 2005 => Total Files Renamed: 0 Thu Jan 20 12:05:13 2005 => Total Deleted Files: 0 Thu Jan 20 12:05:13 2005 => Total Errors: 0 Thu Jan 20 12:05:13 2005 => Time Elapsed: 00:05:50 Thu Jan 20 12:05:13 2005 => Virus Database Date: |
|
20.01.2005, 16:30
| #4 |
| | Hilfe habe Worm/NetSky.B.1 alles downloader-trojaner. ok.. dann lösche die genannten dateien im abgesicherten modus. die im temporary internet files kriegste so weg: lade dir clearprog runter, installiere es, starte es im abgesicherten modus,mach einen haken bei "alles löschen" und klicke auf löschen. achja poste danach auch gleich mal ein neues HijackThis log im normalen modus. |
|
| Themen zu Hilfe habe Worm/NetSky.B.1 |
| adobe, antivir update, antivirus, antivirus scan, avg, bho, dateien, einstellungen, excel, explorer, file missing, helfen, hijack, hijackthis, hotkey, internet, internet explorer, messenger, microsoft, msn, pdf, programme, software, symantec, system, system32, tcpip, windows, windows messenger, windows xp |
Linear-Darstellung
