![]() |
|
Log-Analyse und Auswertung: Erbitte HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() Erbitte Hilfe Hallo, Ausgangslage: Im IE hat sich der Trojaner mit About:Blank bemerkbar gemacht, der eine Search- Seite als URL hat, die nicht geändert werden kann.Wenn man eine URL aufruft bricht die nach einiger Zeit ab und die SearchURL ist da.Es erscheinen dann in unregelmäßigen Abständen ein Security iGuard Programm (Habe ich nicht installiert),dass auffordert eine URL aufzusuchen, des weiteren erscheinen unregelmäßig Fenster von einem Warning Blocker mit der URL http://s13.temp.cc mit der Bemerkung das ein Parasit (ist Trojaner gemeint davon gehe ich aus) vorliegt und man soll eine spyware zum killen aufrufen. 1. Habe mit Antivir gescannt und es erscheint folgende Meldung [WARNUNG] Ist das Trojani-sche Pferd TR/StartPage.qr.DLL! C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL Weiter wurde nichts gefunden 2. Habe SpHjfix.exe in der V1.0.0.7 die Desinfektion gestartet. Nach kurzer Zeit ganz oben im Fenster SP.html- Hijack Fixer nicht Infiziert Danach habe ich den Neustart gemacht und dann mit CWS- Shredder V2.13 Button Fix gestartet dort zeigt er viele Dateien an wo als Resultat Not Present steht Bei einer CWS. HiddenDLL steht als Resultat Removed Am Ende des Logs steht: Restoring IE pages 2 Restored Restoring Hidden IE Options tabs Done Restoring Hosts File Redirections None Infected Danach Neustart gemacht und das Ergebnis war das gleiche wie vorher 3. Da Schritt 2. kein Erfolg gebracht hat, habe ich HijackThis laufen lassen. Logfile of HijackThis v1.99.1 Scan saved at 19:08:14, on 17.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\DitExp.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Dieter\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hi-jackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0399A783-30F2-447B-83BE-37DA10A5B6C2} - C:\WINDOWS\system32\eocb.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Datei-en\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Datei-en\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dieter\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Datei-en\aolshare\AOLMIcon.exe O4 - Startup: CAPIControl.lnk = ? O4 - Startup: HomeNet Control.lnk = ? O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Sys-tems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O18 - Filter: text/html - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll O18 - Filter: text/plain - {983313E1-B628-4E43-9861-B7761BE19B24} - C:\WINDOWS\system32\eocb.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Dann den Button auswerten gedrückt und folgende Punkte gefunden: Bitte noch mal nachschauen ob ich es auch richtig interpretiere. R1- HKCU … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL R1- HKLM … erkennt böse C:\DOKUME~1\DIETER\LOKALE~1\TEMP\SE.DLL O2- BHO…C:\Window\system32\eocb.dll wird die benötigt? O4- HKLM.. erkennt die unter R1 genannte DLL als unbekannt O4-HKLM.. erkennt das oben genannte Programm iGuard.exe als unbekannt, wurde von mir nicht installiert O4-HKCU…..Aolmicon.exe weiß nicht ob es was mit AOL zu tun hat war dem Rechner vorkonfiguriert O4-startup CapiControl müsste sich um die CAPI SW der T-Eumex 520PC handeln O4-Startup HomeNetControl müsste sich um die HomeNetControl SW der T-Eumex 520PC handeln O9…Medionshop ist bestimmt von der Vorinstallation da, würde ich fixen wollen? O18 …eocb.dll siehe auch O2-BHO wird die benötigt? O18… eocb.dll siehe auch O2-BHO wird die benötigt? O23…C:\Programme\CA\SharedComponents\CA-LIC\.... weiß nicht ob es zur Vorinstallierten CA-VirenSW gehört Warum am Ende keine aktive FW steht, kann ich nicht verstehen, da SP2 installiert wurde und im Button die FW als grünes Häckchen dargestellt wird. Ich würde unter HijackThis.de die Häckchen fürs Fixen setzen und was mach ich dann??? Da ich nicht weiß wie man dann die bösen Einträge aus der Regrestry entfernen kann… Wo muß die Datei dann eingespielt werden oder manuell geändert werden in der Regrestry ?? Wie komm ich da ran usw. Fragen über Fragen???? Es wäre schon wenn die zu machenden Schritte kurz aufgezeigt werden der Reihe nach, da ich kein Windowsspezi bin. Wollte keine Neuinstallation machen. Würde mich sehr freuen, wenn mir jemand weiterhelfen könnte, denn wie es weiter geht da habe ich so recht nichts in Internet gefunden. Vielen Dank im vor aus. |
Themen zu Erbitte Hilfe |
.inf, antivir, antivir update, antivirus, askbar, aufrufe, auswerten, bho, computer, drivers, entfernen, explorer, file missing, frage, handel, hijack, hijackthis, home, internet, internet explorer, monitor, nicht installiert, parasit, programm, rundll, security, software, spyware, system, trojaner, träge, warnung, windows, windows messenger, windows xp |