| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe VirusalarmWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
20.01.2005, 21:02
| #1 |
| |  Hilfe Virusalarm Hallo zusammen, hoffentlich kann mir jemand von Euch bei meinem Virenproblem helfen!? Antvir und e-scan zeigen mir jede Menge Viren (TR/HideProc.a, TR/Lefeat, TR/pldr.BloBlockz.2) an die ich nicht entfernen kann; habe nach studieren des Forums HijackThis drüberlaufen lassen und bekomme folgende Logdatei. Hoffe das sich jemand erbarmt und mir beim Virenentfernen für Dummies hilft!? Logfile of HijackThis v1.99.0 Scan saved at 20:54:00, on 20.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe C:\WINDOWS\system32\ntod32.exe C:\WINDOWS\mszz.exe C:\DOKUME~1\Georg\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Georg\LOKALE~1\Temp\kavss.exe C:\DOKUME~1\Georg\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dxpdb.dll/sp.html#10001 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {BB3FF3DC-55A0-A73D-487B-4DC196F9E42A} - C:\WINDOWS\system32\apieq32.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [mszz.exe] C:\WINDOWS\mszz.exe O4 - HKLM\..\RunOnce: [ntod32.exe] C:\WINDOWS\system32\ntod32.exe O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/ O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23ea10ff...dxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093960221125 O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} (WMService Class) - http://download.overpro.com/WildApp.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Pinnacle Systems tvtv Spooler - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pinnacle Systems Media Service - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe |
|
20.01.2005, 21:08
| #2 |
  | Hilfe Virusalarm @geosve
__________________lade dir escan download anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) scan dauert 1 stunde chaosman
__________________ |
|
20.01.2005, 21:21
| #3 |
| | Hilfe Virusalarm Gesagt, getan...hier das Infected Mwav.log
__________________Thu Jan 20 20:39:54 2005 => File C:\WINDOWS\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Thu Jan 20 20:40:35 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\1A.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken. Thu Jan 20 20:41:00 2005 => File C:\WINDOWS\system32\ntod32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:41:00 2005 => File C:\WINDOWS\mszz.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken. Thu Jan 20 20:41:01 2005 => File C:\WINDOWS\system32\apieq32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:41:24 2005 => File C:\WINDOWS\mszz.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken. Thu Jan 20 20:41:24 2005 => File C:\WINDOWS\system32\ntod32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:42:11 2005 => File C:\WINDOWS\javabb32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:42:11 2005 => File C:\WINDOWS\ksqaxg.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:42:23 2005 => File C:\WINDOWS\WildApp.dll infected by "not-a-virus:AdWare.MetaDirect.c" Virus. Action Taken: No Action Taken. Thu Jan 20 20:42:24 2005 => File C:\WINDOWS\wrchwtet.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Thu Jan 20 20:44:23 2005 => File C:\WINDOWS\system32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken. Thu Jan 20 20:46:00 2005 => File C:\WINDOWS\system32\SahHtml.exe infected by "not-a-virus:AdWare.Sahat.i" Virus. Action Taken: No Action Taken. Thu Jan 20 20:47:23 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\1A.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken. Thu Jan 20 20:47:24 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\84.tmp infected by "Trojan-Downloader.Win32.IstBar.gv" Virus. Action Taken: No Action Taken. Thu Jan 20 20:47:24 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\bundle.exe infected by "not-a-virus:AdWare.Sahat.h" Virus. Action Taken: No Action Taken. Thu Jan 20 20:47:25 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Thu Jan 20 20:47:36 2005 => File C:\DOKUME~1\Georg\LOKALE~1\Temp\sahagent.exe infected by "not-a-virus:AdWare.Sahat.h" Virus. Action Taken: No Action Taken. Thu Jan 20 20:48:12 2005 => File C:\DOKUME~1\Georg\LOKALE~1\TEMPOR~1\Content.IE5\FFT3RDKW\ysb_prompt[1].htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: No Action Taken. Thu Jan 20 20:48:12 2005 => Total Virus(es) Found: 19 Thu Jan 20 20:48:12 2005 => Total Disinfected Files: 0 |
|
| Themen zu Hilfe Virusalarm |
| .inf, adobe, antivir update, antivirus, avgnt.exe, bho, computer, dll, entfernen, explorer, helfen, hijack, hijackthis, icq, internet, internet explorer, messenger, microsoft, monitor, mssql, problem, programme, rundll, server, software, system, temp, urlsearchhook, windows, windows messenger, windows xp |
Linear-Darstellung
