|
Log-Analyse und Auswertung: "Tolle" Links und PopupsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.02.2005, 21:20 | #1 |
| "Tolle" Links und Popups Hallo Leute, 12 Tage Urlaub, ein paar "Kollegen" die meinen Rechner "nutzen" und jetzt steppt der Bär. Einige sehr sonderbare Prozesse, die IE-Startseite fliegt immer weg, und wechselnde Popups (u.a. ADS-Spywareremover ). Die mit bekannten Prozesse hab ich mit OK markiert die absolut unbekannten mit ??? Kann wer helfen Logfile of HijackThis v1.98.2 Scan saved at 20:58:35, on 03.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: ??? C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe OK C:\Programme\AVPersonal\AVGUARD.EXE OK C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe OK C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE OK C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe OK C:\Programme\Analog Devices\SoundMAX\Smax4.exe OK C:\Programme\Microsoft IntelliPoint\point32.exe C:\WINDOWS\System32\RUNDLL32.EXE OK C:\Programme\AVPersonal\AVGNT.EXE ??? C:\WINDOWS\system32\appce.exe ???C:\WINDOWS\system32\ipns.exe C:\WINDOWS\System32\taskmgr.exe C:\Schutzsoftware\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eiczu.dll/sp.html#93256 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {726D2B7F-C41E-24A8-CA2E-30DD6D5653C9} - C:\WINDOWS\ipeo.dll O4 - HKLM\..\Run: [ipns.exe] C:\WINDOWS\system32\ipns.exe Danke schon mal euch allen! Gruß Peter |
03.02.2005, 21:23 | #2 |
| "Tolle" Links und Popups @wirkau
__________________lade dir die aktuelle version von HJT hier lade escan anleitung überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) scan dauert mindestens 1 stunde chaosman
__________________ |
03.02.2005, 21:27 | #3 |
| "Tolle" Links und Popups Hallo chaosman,
__________________schon mal DANKE für die schnelle Antwort. Fange gleich an. Gruß Peter |
04.02.2005, 06:45 | #4 |
| "Tolle" Links und Popups Hallo Leute, da bin ich wieder. Hier das Ergebnis. Hängt aber noch mal als TXT dran. Thu Feb 03 21:54:05 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu Feb 03 21:54:06 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken. Thu Feb 03 21:54:10 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken. Thu Feb 03 21:54:44 2005 => File C:\WINDOWS\System32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken. Thu Feb 03 21:55:43 2005 => File C:\WINDOWS\System32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken. Thu Feb 03 21:55:45 2005 => File C:\WINDOWS\System32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken. Thu Feb 03 21:55:57 2005 => File C:\WINDOWS\System32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken. Thu Feb 03 21:59:06 2005 => File C:\Burning\Fuer_Ilja\Schutzsoftware\hijackthis_198\backups\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken. Thu Feb 03 22:04:00 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchYexe9.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Thu Feb 03 22:04:41 2005 => File C:\Dokumente und Einstellungen\frank\Anwendungsdaten\oute.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken. Thu Feb 03 22:10:06 2005 => File C:\ntdetect.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\AMAX.EXE.VIR infected by "Trojan-Downloader.Win32.Agent.eb" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.001 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.002 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.003 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.004 infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS.EXE.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\DKTIBS[1].HTM.VIR infected by "Trojan-Downloader.Win32.Delf.dg" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.001 infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\ETILE.EXE.VIR infected by "Trojan-Clicker.Win32.Agent.af" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:01 2005 => File C:\Programme\AVPersonal\INFECTED\INSTALLER2.EXE.VIR infected by "Trojan-Dropper.Win32.Delf.z" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSINFO.EXE.VIR infected by "Trojan-Downloader.Win32.WinShow.am" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\MSTASKS2.EXE.VIR infected by "Trojan.Win32.Favadd.c" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.001 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.002 infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\TOOLBAR.EXE.VIR infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken. Thu Feb 03 22:44:02 2005 => File C:\Programme\AVPersonal\INFECTED\XLOLA.ECSTAZY[1].HTM.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Thu Feb 03 22:50:26 2005 => File C:\RECYCLER\S-1-5-21-323552604-226954533-428635543-1204\Dc149\backup-20050203-202012-936.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus. Action Taken: No Action Taken. Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062367.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. Thu Feb 03 22:50:41 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP75\A0062368.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. Thu Feb 03 22:50:48 2005 => File C:\System Volume Information\_restore{03D9C15F-3A2C-4898-A364-7B1AC76DDFE5}\RP76\A0063304.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\autoheal.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. Thu Feb 03 22:53:03 2005 => File C:\WINDOWS\ceres.dll infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Thu Feb 03 22:53:04 2005 => File C:\WINDOWS\com452.exe infected by "Trojan-Downloader.Win32.Small.afs" Virus. Action Taken: No Action Taken. Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ5.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Thu Feb 03 22:59:56 2005 => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken. Thu Feb 03 23:05:14 2005 => File C:\WINDOWS\mstasks1.exe infected by "Trojan-Downloader.Win32.Small.agy" Virus. Action Taken: No Action Taken. Thu Feb 03 23:14:10 2005 => File C:\WINDOWS\system32\eakoeee.dll infected by "not-a-virus:AdWare.AdultIt.a" Virus. Action Taken: No Action Taken. Thu Feb 03 23:15:16 2005 => File C:\WINDOWS\system32\odfyehp.exe infected by "Trojan.Win32.Agent.ay" Virus. Action Taken: No Action Taken. Thu Feb 03 23:15:26 2005 => File C:\WINDOWS\system32\otmsd.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken. Thu Feb 03 23:15:47 2005 => File C:\WINDOWS\system32\sby.exe infected by "Trojan-Downloader.Win32.Zdesnado.gen" Virus. Action Taken: No Action Taken. |
04.02.2005, 08:48 | #5 |
| "Tolle" Links und Popups @wirkau ich würde mal zum chef gehen. du hast vieles im system, der hier http://www.sophos.de/virusinfo/analy...ojagentec.html ist der übelste. Troj/Agent-EC ist ein Backdoortrojaner, der im Hintergrund auf eingehende Verbindungen wartet und remoten Eindringlingen die Steuerung über den infizierten Computer ermöglicht. Troj/Agent-EC versucht, alle auf dem Computer aktiven Sicherheitsanwendungen zu beenden, und wartet auf Benachrichtigungen, dass neue Updates heruntergeladen und installiert werden können. deswegen kann ich dir nur empfehlen dein system neuaufzusetzen, da es wahrscheiilich kompromittiert ist. http://www.mathematik.uni-marburg.de...ompromise.html hier eine hilfestellung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman
__________________ Bonus vir semper tiro |
Themen zu "Tolle" Links und Popups |
about, bho, bla, c:\windows, dll, drivers, explorer, hijack, hijackthis, internet, internet explorer, leute, links, microsoft, nutzen, popup, popups, programme, prozesse, rechner, rundll, seite, system, system32, urlsearchhook, windows, windows xp, windows\system32\drivers |