Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Großes Problem

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.01.2005, 16:29   #1
Frogga
 
Großes Problem - Standard

Großes Problem



Ich hab ein großes Problem (bzw nicht ich sondern ein Freund)
er hat auf seinem PC anscheinend sehr viel spyware, was soweit führt das es sogar schon als "Hintergrund" erscheint...

Hier sein Hintergrund, der von irgendwelcher Spyware gemacht wurde...

Weiß jemand was das ist?
Hijack.Log folgt gleich
Miniaturansicht angehängter Grafiken
-spy.jpg   -spy.jpg  

Alt 29.01.2005, 16:33   #2
Chris14
 

Großes Problem - Standard

Großes Problem



wow! eine "you have malware" malware der sich selbst erkannt hat^^
das kommt doch gleich in meinen "windows-nachahmungs" ordner.

ich wette zu 30% das da malware aktiv is, die anzeigt, dass sie selbst böse is.

aber ok ich warte aufs log..
__________________


Alt 29.01.2005, 16:34   #3
Frogga
 
Großes Problem - Standard

Großes Problem



Logfile of HijackThis v1.99.0
Scan saved at 16:32:38, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
F:\SpyFighter\SpyFighterScanner.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



escan log auch von Nöten?
__________________

Alt 29.01.2005, 16:41   #4
Chris14
 

Großes Problem - Standard

Großes Problem



oh..
ein rapidblaster, ein W32/Cone-F, diverse trojan-downloader..
der bluescreen hatte recht (ironischerweise)
dann führe mal das aus:
1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\System32\explorer.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)

-mach auch das was dort steht um die O15-Einträge zu löschen.

3.dateien löschen
-lösche die dateien systime.exe, explorer.exe und spoolsrv32.exe im ordner c:\windows\system32
-lösche die datei SVCHOST.EXE im ordner C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Alt 29.01.2005, 16:50   #5
Dirty
 
Großes Problem - Standard

Großes Problem



frage eines dritten:
was ist eigentlich die datei svchost.exe??? und der generic host process for win32 services???


Alt 29.01.2005, 16:52   #6
Chris14
 

Großes Problem - Standard

Großes Problem



der generic host process for win32 services ist wie schon der englische name sagt, der hauptprozess für die anderen dienste.
svchost.exe ist sozusagen ein "sammeldienst" für zb. den taskplaner,RPC-Server,ras-verbindungsverwaltung, Intelligenter Hintegrundübertragungsdienst usw.
ohne den svchost.exe wären in der prozessliste nicht 10programme zu finden, sondern 20 bis 25.

Alt 29.01.2005, 17:44   #7
Frogga
 
Großes Problem - Standard

Großes Problem



File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.WinTraces of "CodeRed" found and cleaned !!!

es ist nur dieser zu sehen im Virus.Log Feld allerdings zeigt er 57 gefundene an und als ich vorher mal reingeschaut habe, waren viel mehr zu sehen...

Wo finde ich die?

Alt 29.01.2005, 17:46   #8
Chris14
 

Großes Problem - Standard

Großes Problem



ein codered-virus.. bei dem musst du keine sorge haben, der infiziert nur php und html dateien und macht sie ggf. unbrauchbar.
zu dem log:
stehen im escanlog mehrere mit infected?
kopiere alle infected gefundenen dateien von escan vom log hierher und poste sie.

Alt 29.01.2005, 18:14   #9
Frogga
 
Großes Problem - Standard

Großes Problem



Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006719.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006720.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006721.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006722.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006723.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006724.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006725.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006728.exe infected by "Trojan-Downloader.Win32.Small.ahg" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:07 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006737.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:19 2005 => File C:\WINDOWS\Downloaded Program Files\load.exe infected by "TrojanDownloader.Win32.Small.yx" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:17:00 2005 => File C:\WINDOWS\system32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:18:58 2005 => File C:\WINDOWS\system32\drivers\etc\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:13 2005 => File C:\WINDOWS\system32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:20 2005 => File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:24 2005 => File C:\WINDOWS\system32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:20:25 2005 => File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Alt 29.01.2005, 18:15   #10
Frogga
 
Großes Problem - Standard

Großes Problem



Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.DLL infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:28 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:40 2005 => File C:\WINDOWS\system32\Explorer.exe infected by "Trojan-Downloader.Win32.Small.aho" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\systime.exe infected by "Trojan.Win32.StartPage.pu" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:41 2005 => File C:\WINDOWS\System32\Services\{EC11EB1D-620D-4982-89C2-D55F19091C43}\SVCHOST.EXE infected by "Trojan-Clicker.Win32.Agent.bw" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:42 2005 => File C:\WINDOWS\System32\spoolsrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:45:52 2005 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.

Sat Jan 29 16:46:13 2005 => File C:\WINDOWS\System32\dktibs.exe infected by "TrojanDownloader.Win32.Delf.dc" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:18 2005 => File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:22 2005 => File C:\WINDOWS\System32\tnsdrv32.exe infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:23 2005 => File C:\WINDOWS\System32\txfdb32.dll infected by "Trojan.Win32.Small.cr" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:44 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:47:57 2005 => File C:\124493.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i3E.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:51:56 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\i40.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:01 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:18 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\V63SVF31\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.

Sat Jan 29 16:52:28 2005 => File C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VHHBHTIZ\rdgAT10[1].exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006690.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006693.exe infected by "Trojan-Downloader.Win32.Monurl.gen" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006694.exe infected by "Backdoor.Win32.Padodor.al" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006696.exe infected by "Backdoor.Thunk.d" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:04 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006700.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006708.exe infected by "Trojan.Win32.LowZones.y" Virus. Action Taken: No Action Taken.

Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006709.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006710.exe infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006711.exe infected by "Trojan-Downloader.Win32.Dyfuca.dk" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:05 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006712.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.


Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006717.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken.

Alt 29.01.2005, 18:16   #11
Frogga
 
Großes Problem - Standard

Großes Problem



Antworte bitte mit "Alles löschen außer" - Danke )

Alt 29.01.2005, 18:22   #12
Haui45
 
Großes Problem - Standard

Großes Problem



Das System ist total verseucht (auch diveres Backdoortrojaner).
Um wieder einen vertrauenswürdigen Zustand herzustellen sollte das System neu aufgesetzt werden.
Wenn du nicht ausschließlich mit DSL ins Netz gehst, die Dialer bitte zur Beweissicherung auf Diskette speichern.

Alt 29.01.2005, 18:23   #13
Frogga
 
Großes Problem - Standard

Großes Problem



-mach auch das was dort steht um die O15-Einträge zu löschen.

bis dahin habe ich jetzt alles gemacht - das neue logfile nachdem ich die 015 Einträge mit diesem DelDomains gelöscht habe ist:

Logfile of HijackThis v1.99.0
Scan saved at 18:20:03, on 29.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\SpyFighter\SpyFighterScanner.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Hannes\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SpyFighterMonitor] "F:\SpyFighter\SpyFighterScanner.exe" monitor
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AAA1DA-5D88-499C-A6F5-0D03D6E4B184}: NameServer = 195.195.100.1,195.3.96.67
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

so jetzt lösche ich alle "infected" dateien und diese die ihr mir auch angesagt habe

Alt 29.01.2005, 18:25   #14
Haui45
 
Großes Problem - Standard

Großes Problem



Zitat:
so jetzt lösche ich alle "infected" dateien und diese die ihr mir auch angesagt habe
Das kannst du dir schenken....

Alt 29.01.2005, 18:30   #15
chaosman
 
Großes Problem - Standard

Großes Problem



@Frogga
die dialer auf diskette sichern zwecks beweismittel
Sat Jan 29 16:47:49 2005 => File C:\DOKUME~1\Hannes\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\85Y7CDEF\124493[1].exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:46 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP60\A0004110.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:09:59 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP68\A0004190.exe infected by "not-a-virus:Porn-Dialer.Win32.Intexdial" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006715.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006726.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
Sat Jan 29 17:11:06 2005 => File C:\System Volume Information\_restore{6815CF4A-7308-4BD5-97A5-4B769E844416}\RP99\A0006727.exe infected by "Trojan.Win32.Dialer.ff" Virus. Action Taken: No Action Taken.

ich empfehle dir bei dieser sammlung dein system neu aufzusetzen
Format C
einer der ursachen
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
hier eine hilfestellung
sry

@Haui45 warst wieder mal schneller
chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Großes Problem
erschein, freund, führt, großes, hintergrund, proble, problem, schei, spyware




Ähnliche Themen: Großes Problem


  1. Großes Problem!
    Plagegeister aller Art und deren Bekämpfung - 31.07.2009 (3)
  2. großes Problem
    Plagegeister aller Art und deren Bekämpfung - 18.04.2009 (23)
  3. großes Problem mit a.exe
    Log-Analyse und Auswertung - 22.11.2008 (1)
  4. Großes Problem
    Log-Analyse und Auswertung - 27.02.2008 (4)
  5. Großes Problem???
    Plagegeister aller Art und deren Bekämpfung - 21.12.2007 (5)
  6. großes Problem
    Log-Analyse und Auswertung - 12.08.2007 (25)
  7. großes problem
    Log-Analyse und Auswertung - 26.05.2007 (2)
  8. Großes problem!!!!
    Log-Analyse und Auswertung - 24.12.2006 (8)
  9. großes Problem
    Plagegeister aller Art und deren Bekämpfung - 21.07.2006 (9)
  10. Großes Problem !
    Log-Analyse und Auswertung - 27.03.2006 (5)
  11. Großes Problem =(
    Plagegeister aller Art und deren Bekämpfung - 10.12.2005 (5)
  12. Großes Problem
    Plagegeister aller Art und deren Bekämpfung - 08.12.2005 (2)
  13. Hab ein großes problem
    Log-Analyse und Auswertung - 30.11.2005 (3)
  14. Großes problem!
    Plagegeister aller Art und deren Bekämpfung - 17.11.2005 (8)
  15. großes problem! ist wer da?
    Log-Analyse und Auswertung - 09.02.2005 (33)
  16. Großes Problem
    Plagegeister aller Art und deren Bekämpfung - 26.11.2003 (2)
  17. Großes Problem
    Plagegeister aller Art und deren Bekämpfung - 12.08.2003 (6)

Zum Thema Großes Problem - Ich hab ein großes Problem (bzw nicht ich sondern ein Freund) er hat auf seinem PC anscheinend sehr viel spyware, was soweit führt das es sogar schon als "Hintergrund" erscheint... - Großes Problem...
Archiv
Du betrachtest: Großes Problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.