| |
| |||||||
Log-Analyse und Auswertung: Könnt Ihr mir helfen??Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.01.2005, 12:24
| #1 |
| |  Könnt Ihr mir helfen?? Guten Tag, ich wende mich jetzt mal vertrauensvoll an euch, weil ich echt ein RIESENPROBLEM mit einem mir anvertrauten PC habe: Der PC hat seine Dienste eigentlich weitestgehend eingestellt. Das Hochfahren funktioniert soweit ja noch, aber auf die Taskleiste habe ich schon keinen Zugriff mehr. Das Starten von Programmen jeglicher Art dauert Minutenlang. Und beim Herunterfahren kommt die Meldung: „Win Min reagiert nicht mehr“. Aus diversen Foren habe ich dann herausgefunden, das es sich um einen Virus handelt und was ich dagegen tuen kann. Doch das war offensichtlich erst der Anfang des Problemes: Beim Suchlauf von Kaspersky AntiVirus fand ich 25 verschiedene Viren und Trojaner. Die meisten hat das Programm dann auch ganz hervorragend entfernt (meine ich zumindest). Bis auf 5 Stück, die konnte es nicht entfernen: Exploit.HTML.Mht c:\\windows\TemporaryInternetfiles\Content.IE5\GDSC3T5E\enter[1].htm/enter[1] Exploit.CodeBaseExec c:\\windows\TemporaryInternetfiles\Content.IE5\GDSC3T5E\online[1].chm/1.htm TrojanDropper.Win32.Small.hx c:\\windows\TemporaryInternetfiles\Content.IE5\GDSC3T5E\online[1].chm/on-line.exe TrojanDownloader.Java.Miner c:\\windows\TemporaryInternetfiles\Content.IE5\81WF27WF\main[1].chm\main.htm TrojanDownloader.VBS.Psyme.ac c:\\windows\TemporaryInternetfiles\Content.IE5\P59A5HAI\EXPLOIT[1].CHM\exploit.htm Das merkwürdige dabei ist, das die „TemporaryInternetFiles“ incl. aller untergeordneten Ordner leer sind. Ich kann die Dateien manuell gar nicht löschen. Also habe ich es weiter versucht. Ich habe CWShredder gestartet. Das Programm hat auch was gefunden und entfernt. Anschließend startete ich AdwareSe. Das Programm nannte mir gut 10 infizierte Eintrage in der Registry. Aber die kann ich doch nicht einfach so löschen, oder?? (Leider habe ich die Namen der Einträge grade nicht zur Hand). Bei den anderen Einträgen habe ich gesehen, das die Teilnehmer HiJacker über ihren Rechner haben laufen lassen, also habe ich es auch mal getan. Mit folgendem Ergebniss: Logfile of HijackThis v1.99.0 Scan saved at 22:02:07, on 27.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ANTIVIRUS\KAV5.0PRO\KAVMM.EXE C:\PROGRAMME\ANTIVIRUS\KAV5.0PRO\KAV.EXE C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\ANTIVIRUS\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {1728E020-F2CA-11D8-B9F6-444522B9D945} - C:\WINDOWS\SYSTEM\KHJA.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRAMME\T-ONLINE\ISDN SPEEDMANAGER\TOMCAT.EXE" O4 - HKLM\..\Run: [KAV50Service] "C:\Programme\Antivirus\KAV5.0pro\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 O4 - HKLM\..\Run: [KAV50] "C:\Programme\Antivirus\KAV5.0pro\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.ultraload.net/msits.exe O18 - Filter: text/html - {1728E021-F2CA-11D8-B9F6-44454DF57CDE} - C:\WINDOWS\SYSTEM\KHJA.DLL O18 - Filter: text/plain - {1728E021-F2CA-11D8-B9F6-44454DF57CDE} - C:\WINDOWS\SYSTEM\KHJA.DLL Könnt Ihr mir da bitte mal weiterhelfen? Ich verzweifle langsam an dem Rechner...  |
|
28.01.2005, 12:35
| #2 |
   | Könnt Ihr mir helfen?? Säubere mit www.clearprog.de deine temporären Dateien. Teste
__________________C:\WINDOWS\SYSTEM\runonce.exe hier: http://virusscan.jotti.org/de obwohl Kaspersky sich eigentlich gemeldet haben sollte, falls es eine falsche Version dieser Datei ist. Was genau hat KAV denn gefunden und gelöscht? Fixe und lösche im abgesicherten Modus: O2 - BHO: (no name) - {1728E020-F2CA-11D8-B9F6-444522B9D945} - C:\WINDOWS\SYSTEM\KHJA.DLL (file missing) O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.ultraload.net/msits.exe O18 - Filter: text/html - {1728E021-F2CA-11D8-B9F6-44454DF57CDE} - C:\WINDOWS\SYSTEM\KHJA.DLL O18 - Filter: text/plain - {1728E021-F2CA-11D8-B9F6-44454DF57CDE} - C:\WINDOWS\SYSTEM\KHJA.DLL |
|
28.01.2005, 12:57
| #3 |
| | Könnt Ihr mir helfen?? Was Kaspersky bereits gelöscht hat, kann ich nicht mehr sagen...
__________________...habe vergessen, es mir zu notieren und nachträglich kommt man doch nicht mehr dran, oder?? Den Rest werde ich nachher versuchen... ... in den abgesicherten Modus kommt man mit F8 wenn ich mich richtig erinnere, oder? (Peinliche Frage aber sicherheitsweise doch gestellt...) |
|
28.01.2005, 14:28
| #4 | |
| | Könnt Ihr mir helfen??Zitat:
 |
|
30.01.2005, 16:38
| #5 |
| | Könnt Ihr mir helfen?? Ich habe jetzt eure Tipps befolgt und nachdem ich das Cleaner-Programm gestartet habe und die Dateien im abgesicherten Modus gelöscht habe, habe ich keine Viren mehr gefunden. Kaspersky und Adware zeigen beide nichts mehr an. Also... besten Dank nochmal... war echt super von Euch!!!  |
|
| Themen zu Könnt Ihr mir helfen?? |
| .inf, adobe, anfang, antivirus, bho, content.ie5, entfernen, explorer, file missing, ftp, handel, helfen, herunterfahren, hijackthis, home, infizierte, internet explorer, kaspersky, langsam, microsoft, ordner, ordner leer, problem, programme, reagiert nicht, rundll, software, starten, suchlauf, system, taskleiste, träge, viren, virus, windows |
Linear-Darstellung
