| |
| |||||||
Log-Analyse und Auswertung: Mal wieder 180Search AssistantWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.03.2005, 00:34
| #1 |
| |  Mal wieder 180Search Assistant Hallo Jungs! Bin bestimmt der x-hier, aber würde trotzdem gern ein paar Tips bekommen. Hab mir vor einiger Zeit das Spyware Programm 180Search eingefangen und werde es nun nicht mehr los. Ich habe es "normal" deinstalliert und auch Adaware und Spybot ueber mein System laufen lassen. (ohne Ergebinsse) Ein Online Virenscan mit Trend Micro Houscall brachte uch nix... Leider bekomme ich nun immer noch (Online und Offline) ein Popup zur Wiederherstellung des Progs. ""180search Assistent" ... und die Aufforderung zu weiteren (Installations)-Schritten. Ich hänge mal meinen Hijack Log an, vielleicht faellt euch ja was auf. Wäre totalö froh wenn ihr mir helfen könntet. Hab namäich keine Ahnung wie ich das Ding los werde. Logfile of HijackThis v1.99.1 Scan saved at 00:33:26, on 03.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\niSvcLoc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Dit.exe C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\WINDOWS\sfotub.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Johannes\LOKALE~1\Temp\Rar$EX16.1875\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [UFD Monitor] C:\Programme\TwinMOS\Mobile Disk V3.0\MobMon.exe O4 - HKLM\..\Run: [UFD Utility] C:\Programme\TwinMOS\Mobile Disk V3.0\UsbTD.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [sfotub] C:\WINDOWS\sfotub.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://office.microsoft.com O17 - HKLM\System\CCS\Services\Tcpip\..\{5C15D092-E1AF-4722-A0B2-7934E86A716E}: NameServer = 192.168.100.10 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NILM License manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
03.03.2005, 01:05
| #2 |
 |  Mal wieder 180Search Assistant Hallo Joefisch,
__________________laß bitte folgende Dateien: C:\WINDOWS\system32\niSvcLoc.exe C:\WINDOWS\sfotub.exe online scannen: http://virusscan.jotti.org sowie hier nach einem Upload überprüfen: http://www.malwareupload.com ---> Erläuterungen Teile abschliessend die Ergebnisse mit. dartus Geändert von dartus (03.03.2005 um 10:53 Uhr) |
|
03.03.2005, 11:49
| #3 |
| |  Mal wieder 180Search Assistant Hallo Dartus!
__________________Danke für deine schnelle Antwort. Wie es scheint ist die Datei "sfotub.exe" die Ursache für mein Problem. Hänge schon mal die Ergebnisse vom OnlineScan an. Die Prüfung bei Malwareupload.com dauert noch... Viielleicht hilft dir das ja schon weiter. Schon mal vielen Dank! Gruß Johannes File: niSvcLoc.exe Status: OK Packers detected: None AntiVir No viruses found (0.40 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.45 seconds taken) BitDefender No viruses found (0.52 seconds taken) ClamAV No viruses found (0.59 seconds taken) Dr.Web No viruses found (0.86 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.44 seconds taken) Kaspersky Anti-Virus No viruses found (1.00 seconds taken) mks_vir No viruses found (0.25 seconds taken) NOD32 No viruses found (0.48 seconds taken) Norman Virus Control No viruses found (0.67 seconds taken) File: sfotub.exe Status: INFECTED/MALWARE Packers detected: UPX AntiVir No viruses found (0.74 seconds taken) Avast No viruses found (2.03 seconds taken) AVG Antivirus No viruses found (0.84 seconds taken) BitDefender Adware.180Solutions.5.11 (0.99 seconds taken) ClamAV Trojan.Spy.Ncase-1 (1.41 seconds taken) Dr.Web No viruses found (1.65 seconds taken) F-Prot Antivirus No viruses found (0.36 seconds taken) Fortinet Adware/180Solutions (0.76 seconds taken) Kaspersky Anti-Virus not-a-virus: AdWare.180Solutions (2.13 seconds taken) mks_vir No viruses found (1.34 seconds taken) NOD32 No viruses found (1.15 seconds taken) Norman Virus Control W32/Ncase.J (0.37 seconds taken) |
|
03.03.2005, 12:07
| #4 |
| | Mal wieder 180Search Assistant Hallo Joefisch, die "sfotub.exe" kannst Du bereits löschen. Gehe dazu in den abgesicherten Modus bei deaktivierter Syszemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html ... und Papierkorb leeren. Die Prüfungergebnis der anderen Datei von Malwareupload.com teile unbedingt mit. dartus |
|
04.03.2005, 11:18
| #5 |
| | Mal wieder 180Search Assistant Hallo Dartus, Hier die Ergebinssie von Malwareupload.com ... Dateiname: niSvcLoc.exe 49152 Bytes Unsere Antwort: Bestandteil der National Instruments Software. Harmlos! Dateiname: sfotub.exe 46080 Bytes Unsere Antwort: sfotub.exe -> Adware.180Solutions Nach wechsenl in den abgesicherten Modus und löschen der Datei ist das Popupfenster bisher nicht mehr aufgetaucht. Soweit also schon mal ein Erfolg! Kann es sein das sich noch weitere Datenreste auf der Platte befinden? z.B. Verzeichnisse oder so? Schon mal ein Dickes Danke für die so schnelle und gute Hilfe! Joefisch |
|
| Themen zu Mal wieder 180Search Assistant |
| adobe, antivir, antivir update, askbar, avgnt.exe, bho, computer, drivers, ellung, explorer, firefox, helfen, hijack, hijackthis, internet, internet explorer, keine ahnung, log, microsoft, monitor, mozilla, mozilla firefox, national, popup, programm, programme, rundll, scan, spyware, sun java, system, temp, trend micro, usb, windows, windows messenger, windows xp |
Linear-Darstellung
