|
Log-Analyse und Auswertung: Auswertung + Wie bekomm ich das dann wegWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.03.2005, 08:44 | #1 |
| Auswertung + Wie bekomm ich das dann weg Könnt ihr mir bitte helfen bei der auswertung von meinem log :+ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {41998B8C-B676-4C5F-8BD2-E43EEFFE31D5} - C:\WINDOWS\System32\cidm.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Ag...ridge-c420.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BC49F3BD-F5B4-40D4-9B99-9211360833F1}: NameServer = 192.168.69.254 O18 - Filter: text/html - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll O18 - Filter: text/plain - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe und was muss ich dann machen wenn ich weiß was ich weg machen muss !? mfg shorty |
01.03.2005, 09:32 | #2 |
| Auswertung + Wie bekomm ich das dann weg Hallo shorty,
__________________Dein Log-File ist nicht komplett. Poste bitte alles. dartus |
01.03.2005, 12:19 | #3 |
| Auswertung + Wie bekomm ich das dann weg Logfile of HijackThis v1.99.1
__________________Scan saved at 08:41:09, on 01.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQLite\ICQLite.exe C:\programme\powerstrip\pstrip.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Steam\Steam.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Ventrilo\Ventrilo.exe C:\Dokumente und Einstellungen\Shorty\Desktop\Gamers.IRC\mirc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Shorty\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {41998B8C-B676-4C5F-8BD2-E43EEFFE31D5} - C:\WINDOWS\System32\cidm.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Shorty\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Ag...ridge-c420.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BC49F3BD-F5B4-40D4-9B99-9211360833F1}: NameServer = 192.168.69.254 O18 - Filter: text/html - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll O18 - Filter: text/plain - {B3710376-8228-4655-94DA-5C9D38119DB8} - C:\WINDOWS\System32\cidm.dll O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
01.03.2005, 12:31 | #4 | |
| Auswertung + Wie bekomm ich das dann weg Hallo Shorty, Zitat:
Führe bitte dies mal aus: 1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
01.03.2005, 19:14 | #5 |
| Auswertung + Wie bekomm ich das dann weg Tue Mar 01 15:06:06 2005 => File C:\WINDOWS\Downloaded Program Files\AdToolsX.dll infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken. Tue Mar 01 15:21:29 2005 => File D:\Mp3\Raggea, dance hall, hip hop\kmd171_de.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Tue Mar 01 14:36:33 2005 => File C:\Dokumente und Einstellungen\Shorty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OX23SH6R\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken. Tue Mar 01 14:16:45 2005 => File C:\Dokumente und Einstellungen\Shorty\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2VAVQDMV\a675ae7b[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken. Tue Mar 01 13:52:32 2005 => File C:\DOKUME~1\Shorty\LOKALE~1\TEMPOR~1\Content.IE5\OX23SH6R\bridge-c420[1].cab infected by "not-a-virus:AdWare.WinAD.x" Virus. Action Taken: No Action Taken. Tue Mar 01 13:34:07 2005 => File C:\DOKUME~1\Shorty\LOKALE~1\TEMPOR~1\Content.IE5\2VAVQDMV\a675ae7b[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken. Tue Mar 01 13:27:30 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Tue Mar 01 13:27:24 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Tue Mar 01 13:26:56 2005 => File C:\WINDOWS\System32\cidm.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Tue Mar 01 16:00:36 2005 => Total Files Scanned: 122157 Tue Mar 01 16:00:36 2005 => Total Virus(es) Found: 29 Tue Mar 01 16:00:36 2005 => Total Disinfected Files: 0 Tue Mar 01 16:00:36 2005 => Total Files Renamed: 0 Tue Mar 01 16:00:36 2005 => Total Deleted Files: 0 Tue Mar 01 16:00:36 2005 => Total Errors: 33 Tue Mar 01 16:00:36 2005 => Time Elapsed: 02:32:47 Tue Mar 01 16:00:36 2005 => Virus Database Date: 2005/03/01 Tue Mar 01 16:00:36 2005 => Virus Database Count: 119806 |
01.03.2005, 21:19 | #6 |
| Auswertung + Wie bekomm ich das dann weg Hi, lade Dir clearprog 1.4.1 final. wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung (http://www.systemwiederherstellung-d...indows-xp.html ) Starte das Programm "clearprog" Häckchen bei "Alles Löschen" und auf "Löschen" klicken. (Inhalt der temporären Ordner werden u.a. mitgeleert) Weiter damit: http://www.trojaner-board.de/showthr...ghlight=se.dll die ebenfalls fixen: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/A...bridge-c420.cab Lösche gem. der Anleitung die entspr. Dateien darüberhinaus diesen Ordner: C:\WINDOWS\web und alle als "infected" identifizierten Dateien, die nicht in "temp"-Ordner sind. Wenn Du unter "C:\WINDOWS\Downloaded Program Files" die Datei nicht löschen kannst oder findest, so geht es: Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok Navigiere im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg und "Alle Dateien und Ordner Anzeigen" anklicken Neustart-->Systemwiederherstellung aktivieren und WINDOWSUPDATE besuchen oder hier SP2 CD bestellen: http://www.microsoft.com/windowsxp/d...e/default.mspx Nochmal ein Logfile aber mit SP2 posten. Sonst hat die Mühe keinen Sinn. dartus |
Themen zu Auswertung + Wie bekomm ich das dann weg |
.exe, adobe, auswertung, bho, bla, button, check, dateien, explorer, helfen, helper, icq, internet, internet explorer, links, log, microsoft, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, services, software, system, system32, temp, windows |