| |
| |||||||
Log-Analyse und Auswertung: log bitte checkenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
03.03.2005, 16:45
| #1 |
| |  log bitte checken Hallo, ich werde whansinnig, habe mein System nach besten Wissen und Gewissen mit AV Guard, AdAware und Hijack This gereinigt. Jetzt ist alles schlimmer als vorher. Sofort nach dem Windows XP Start startet ein Programm "Security iGuard", zusätzlich zu den üblichen Popups. Im Vorraus vielen Dank, bin echt am verzweiflen! Wäre Dankbar für eine möglichst einfach Anleitung.  Hier mein Hijack This log: Logfile of HijackThis v1.99.1 Scan saved at 16:39:37, on 03.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\sprmover.exe C:\WINDOWS\System32\ALG32.EXE C:\WINDOWS\System32\SPOOLSVU.EXE C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\mozilla.org\Mozilla\mozilla.exe D:\Tools\av\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: HTDP Class - {9E6EC32A-7C19-4409-99E8-FC980BCDAF26} - C:\WINDOWS\htass.dll O2 - BHO: (no name) - {F0AEC0DB-AD61-4F3F-B2BF-DC5FB9197E01} - C:\WINDOWS\System32\sfcman32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [msnt32s-] C:\WINDOWS\msnt32s-.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [o1ti7kzvi0r9] C:\WINDOWS\system32\o1ti7kzvi0r9.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKCU\..\Run: [SpywareGuard] C:\WINDOWS\system32\winmm64.exe O4 - HKCU\..\Run: [msnt32s-] C:\WINDOWS\msnt32s-.exe O4 - HKCU\..\Run: [Windows Update Checker] C:\WINDOWS\orhh.exe O4 - HKCU\..\Run: [ALG32] C:\WINDOWS\System32\ALG32.EXE O4 - HKCU\..\Run: [SPOOLSVU] C:\WINDOWS\System32\SPOOLSVU.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Corel Network monitor worker - {41B72B7C-96B7-43FE-A1A2-8E385E74A6C6} - C:\WINDOWS\System32\intlmain.dll O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {41B72B7C-96B7-43FE-A1A2-8E385E74A6C6} - C:\WINDOWS\System32\intlmain.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Microsoft AntiSpyware helper - {4116BE89-2942-4F13-A432-EB386B1C90DB} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4116BE89-2942-4F13-A432-EB386B1C90DB} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {41B72B7C-96B7-43FE-A1A2-8E385E74A6C6} - C:\WINDOWS\System32\intlmain.dll (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {41B72B7C-96B7-43FE-A1A2-8E385E74A6C6} - C:\WINDOWS\System32\intlmain.dll (HKCU) O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{0E17D922-C6B9-4787-A8E0-A09F2EC950C2}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{6B6464D6-3B13-4F41-BBCB-9D08AC18A0C6}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{A0236738-23F8-412F-A37C-0793D50FC0A3}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8C1D62F-4860-45CF-A29C-6C77DB7D19C6}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E17D922-C6B9-4787-A8E0-A09F2EC950C2}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CS2\Services\Tcpip\..\{0E17D922-C6B9-4787-A8E0-A09F2EC950C2}: NameServer = 69.50.176.196,195.225.176.37 O18 - Filter: text/html - {BE660E1F-1926-450A-8C95-C2B9AE71588D} - C:\WINDOWS\System32\sfcman32.dll O18 - Filter: text/plain - {BE660E1F-1926-450A-8C95-C2B9AE71588D} - C:\WINDOWS\System32\sfcman32.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\CATIAV5\B09D20\intel_a\code\bin\CATSysDemon.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
03.03.2005, 16:49
| #2 |
 | log bitte checken Hi,
__________________also da sind schon nen paar sachen drin.... als aller erster 100 % Spyware ist der Soundman.exe aber von vorne : WICHTIG : Update auf servicepack 2 mit allen sicherheitspatches dann was ist das hier : C:\WINDOWS\htpatch.exe hier einmal nette spyware : c:\windows\soundman.exe was ist das hier : C:\WINDOWS\System32\PRISMSTA.EXE und was ist ipod für ein programm?? also folgende tips : 1) update auf servicepack 2 mit sicherheitsupdates 2) escan durchführen und dann info an uns. thx. pvpisfun ^^ |
|
03.03.2005, 16:51
| #3 | ||
  | log bitte checken Das Log schaut katastrophal aus.
__________________=> Damit wir sichergehen können ob eine Reparatur überhaupt noch Sinn macht, scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so: Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren. Poste außerdem folgendes aus der mwav.log (steht ganz am Ende): Zitat:
Du kannst dir das imho aber auch schenken und dein System nach dieser Anleitung neu aufsetzen. Solltest du dich dazu entschließen, wäre es nett, wenn du die Dateien Zitat:
Geändert von Haui45 (03.03.2005 um 16:59 Uhr) |
|
03.03.2005, 16:57
| #4 | ||
| | log bitte checken @PvPisFun C:\WINDOWS\htpatch.exe -> http://www.iamnotageek.com/a/htpatch.exe.php Zitat:
C:\WINDOWS\System32\PRISMSTA.EXE -> http://startup.iamnotageek.com/srch-PRISMSTA.EXE.html Zitat:
Die sind mit Sicherheit kein Problem... |
|
03.03.2005, 17:04
| #5 |
| | log bitte checken dann is die frage bei soundman.exe ob er ne ac97 on board hatte. hatte vor Neuaufsetzen meines systems ne soundman.exe drauf das war spyware. online check hatte es ergeben. würde das teil aslo vorsichtshalber mal online checken lassen. wenns keine ac97 on board is dann isses spyware ^^ |
|
03.03.2005, 17:06
| #6 |
| | log bitte checken Die Datei ist keine Spyware. Zudem würde ich dir wirklich empfehlen, dein System vom Netz zu nehmen und den eScan auszuführen... |
|
03.03.2005, 18:17
| #7 |
| | log bitte checken Hallo hier mein log von escan: File C:\WINDOWS\System32\msckv.dll infected by "Trojan-Downloader.Win32.Murlo.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htass.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\sfcman32.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File C:\WINDOWS\system32\sysobj.exe infected by "HackTool.Win32.Hidd.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\sprmover.exe infected by "Trojan-Downloader.Win32.Small.agg" Virus. Action Taken: No Action Taken. File C:\WINDOWS\3264.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\32s-hhnts-.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\32sysyhhor.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\PEms.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\s-64oror.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\s-SPhh.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.FastLook.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\connmie.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ctbasxt.exe infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\dxconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\hdfrc.dll infected by "HackTool.Win32.Hidd.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\iecustme.exe infected by "Trojan.Win32.StartPage.vb" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\iecustom32.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\mxbkup.exe infected by "Trojan.Win32.DNSChanger.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\s-msms.exe infected by "Trojan-Downloader.Win32.Small.it" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\system_52537.dat infected by "not-a-virus:PornWare.Dialer.Kotu.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\truettf.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. Total Files Scanned: 7451 Total Viruses Found 23 Total Errors 7 Time Elapsed 00:15:23 alles andere hatte den Wert 0 |
|
| Themen zu log bitte checken |
| .inf, adobe, antispyware, antivir, antivir update, avg, bho, computer, drivers, excel, explorer, file missing, generic, hijack, hijack this, hijackthis, internet, internet explorer, log, nvcpl.dll, nvidia, obfuscated, programm, programme, rundll, security, software, sun java, system, usb, vielen dank, windows, windows xp |
Hybrid-Darstellung
