| |
| |||||||
Log-Analyse und Auswertung: Bitte um AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.02.2005, 20:05
| #1 |
| |  Bitte um Auswertung Hallo. Ich habe ein ähnliches Problem wie fast alle hier. Und ich weiß auch, dass es total nervig ist, wenn man immer wieder das gleiche fragt... aber ich hab alles versucht und Antivir meldet immer wieder diese drei Funde: -Trojanisches Pferd TR/Dldr.Agent.Il -Trojanisches Pferd TR/Dldl.Agent.GD.1. -Java-Scriptvirus JS/Small.AF Dazu hab ich eine nervige searchMiracle.elitebar, die sich zwar löschen lässt aber immer wieder kommt. Auch AntiSpyware hat nicht geholfen:-( Ich hoffe, ihr könnt mir weiterhelfen. Tausend Dank im Vorraus! Hier hab ich HiJack durchlaufen lassen: Logfile of HijackThis v1.99.1 Scan saved at 19:24:07, on 28.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MSRSS.exe C:\WINDOWS\newsd32.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\ccApp.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\MSRSS.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Katharina\Eigene Dateien\Programme\Messenger\Miranda IM\miranda32.exe C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitepej32.exe O4 - HKLM\..\Run: [WinAmpAgent] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [supernews12] C:\WINDOWS\newsd32.exe O4 - HKLM\..\Run: [RSPC Driver] xrle.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\ccApp.exe /i O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe O4 - HKCU\..\Run: [MicroSoft Remote Secure Service] MSRSS.exe O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O17 - HKLM\System\CCS\Services\Tcpip\..\{56815F5C-495E-4F5F-B809-C75CA5DADE34}: NameServer = 62.53.220.82 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{56815F5C-495E-4F5F-B809-C75CA5DADE34}: NameServer = 62.53.220.82 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
|
28.02.2005, 20:14
| #2 |
 | Bitte um Auswertung wenn du dein system regelmässig updatest (service pack 2, sicherheitsupdates)
__________________dann verringert sich die chance auf probs mit PC. du hast den Win32.Rbot.H auf deinem PC ich, und wahrscheinlich viele andere hier, raten dir, dein system neuaufzusetzen, sprich windows neuinstallieren. denn das ist die einzig sichere lösung bei einem backdoor tut mir leid |
|
28.02.2005, 20:16
| #3 |
  | Bitte um Auswertung Hi,
__________________Du hast etwas ander Probleme.. Dein Rechner ist total verseucht und schon allein der hier ist Grund genug, das System neu aufzusetzen. Halte Dich an alle Tipps in dem Link. Eine bitte noch: Würdest Du die folgenden Dateien an "Malware-upload" senden (siehe meine Signatur)? C:\WINDOWS\msexploren.exe /i C:\WINDOWS\newsd32.exe C:\WINDOWS\System32\MSRSS.exe C:\windows\system32\elitepej32.exe Danke erstmal, leider kann ich Dir keinen anderen RAt geben. cacatoa
__________________ |
|
28.02.2005, 21:13
| #4 |
| | Bitte um Auswertung Na immerhin weiß ich , was es ist. Die Dateien deuten tatsächlich auf den win32.rbot.h hin:-( so ein mist. hab das system doch erst ganz neu drauf. und bevor ich eine firewall installieren konnte war das teil schon drauf. ich werde es nochmal auf eigene faust versuchen, dieses ding zu löschen. ist das schlimm, dass jetzt jemand eine hintertüre auf meine pc hat? was kann da passieren? habe iegentlich jkeine wichtigen daten drauf? danke trotzdem |
|
28.02.2005, 21:24
| #5 |
 | Bitte um Auswertung @KathaS st das schlimm, dass jetzt jemand eine hintertüre auf meine pc hat? was kann da passieren? JA, ist schlimm, dein system ist dann kompromittiert, nicht mehr vertrauenswürdig. Na ja, vielleicht hast du bald besuch von unsre freunde und helfer, die dann dein pc freundlicher weise morgens fruh von zuhause abholen. danach findet man z.B.zigtausend kinderpornofotos und du hast ein riesenproblem. Unwissenheid schütz für Strafe nicht. lese dich hiermal durch http://www.mathematik.uni-marburg.de...ompromise.html also bitte sofort system vom netz nehmen und format C machen. chaosman
__________________ Bonus vir semper tiro |
|
28.02.2005, 21:26
| #6 |
| | Bitte um Auswertung ok,überzeugt. trotzdem danke für die mühe |
|
| Themen zu Bitte um Auswertung |
| adobe, adobe reader, antispyware, antivir, antivir meldet, antivir update, avgnt.exe, computer, ctfmon.exe, cyberlink, dll, einstellungen, excel, explorer, hijack, hijackthis, iexplore.exe, immer wieder, internet, internet explorer, logon.exe, problem, programme, rundll, services.exe, software, super, svchost.exe, system, virus, windows, windows xp, winlogon.exe |
Linear-Darstellung
