Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bin ich wieder clean?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 07.03.2005, 19:43   #1
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Hallo zusammen!

Habe mir den Trojaner TR/Drop.Delf.DJ.3 gefangen, der von AntiVir entdeckt wurde. Habe ihn durch Antivir löschen lassen. Außerdem bekam ich folgende Meldung:

C:\DOKUMENTE UND EINSTELLUNGEN\STEFAN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\O4DV365A\T-7968[1].HTM
Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Habe ich auch löschen lassen. Ist mein System nun wieder sauber?
Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:38:31, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\hijackthis1982\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253


Vielen Dank für Hilfe!

Alt 07.03.2005, 19:50   #2
Cidre
Administrator, a.D.
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Hallo,

das Log-File sieht soweit sauber aus.
Wo wurde denn der TR/Drop.Delf.DJ.3 von AntiVir gefunden?
Lösche die Temporary Internet Files und führe vorsichtshalber mal dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

EDIT:
Erstelle auch noch ein aktuelles HJT Log-File mit der neuen Version 1.99.1.
__________________

__________________

Alt 07.03.2005, 23:11   #3
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Hier also die Virus Log Informationen von e-scan und das Log-File mit HJT 1.99.1



Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Mar 07 22:52:38 2005 => ***** Scanning complete. *****

Mon Mar 07 22:52:38 2005 => Total Files Scanned: 67443
Mon Mar 07 22:52:38 2005 => Total Virus(es) Found: 4
Mon Mar 07 22:52:38 2005 => Total Disinfected Files: 0
Mon Mar 07 22:52:38 2005 => Total Files Renamed: 0
Mon Mar 07 22:52:38 2005 => Total Deleted Files: 0
Mon Mar 07 22:52:38 2005 => Total Errors: 33
Mon Mar 07 22:52:38 2005 => Time Elapsed: 01:45:22
Mon Mar 07 22:52:38 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:52:38 2005 => Virus Database Count: 120659

Mon Mar 07 22:52:38 2005 => Scan Completed.

Mon Mar 07 22:54:19 2005 => Virus Database Date: 2005/03/07
Mon Mar 07 22:54:19 2005 => Virus Database Count: 120659
Mon Mar 07 22:54:37 2005 => AV Library Unloaded (3)...





Logfile of HijackThis v1.99.1
Scan saved at 23:06:38, on 07.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\DitExp.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe



Was bleibt zu tun?

Danke für Hilfe!
__________________

Geändert von ArmerUser (07.03.2005 um 23:52 Uhr) Grund: Gesamtergebnis von escan ergänzt

Alt 08.03.2005, 11:03   #4
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Hallo!
Wollte nochmal die Bitte stellen über die neuen Protokolle drüberzuschauen.
Wäre dankbar für Rückmeldung.

Alt 08.03.2005, 11:21   #5
chaosman
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



@ArmerUser
der hier ist im system
http://www.sophos.de/virusinfo/analy...ojagentec.html

deswegen kann ich dir leider nur raten dein system neuaufzusetzen(formatC)
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

__________________
Bonus vir semper tiro

Alt 08.03.2005, 13:26   #6
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Danke für die Antwort!

Möchte aber nochmal nachfragen: Ist wirklich mein System von dem Backdoor.Win32.Agent.ec befallen oder ist das nur noch der Rest, der im Antivir Infected-Ordner gelegen hat (und den ich inzwischen geleert habe)?

Was ist mit dem eigentlichen Plagegeist TR/Drop.Delf.DJ.3 wegen dem ich mich eigentlich gemeldet habe?


Sorry für den Zweifel aber wer macht schon gerne sein System platt?!

Alt 08.03.2005, 13:45   #7
chillout
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Es gibt eine Automatische Auswertung, schau mal hier:

http://www.hijackthis.de/index.php

Da siehst Du dann, was Di fixen solltest. Immer die Bemerkungen mit anschauen!

Alt 08.03.2005, 14:08   #8
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Danke für den Tipp!

Log-File sieht nach der automatischen Auswertung sauber aus. Was aber sagt mir das e-scan Ergebnis (siehe unten)?

Wär doch für eine persönliche Rückmeldung bezüglich Log-File und E-scan dankbar!


Hier noch mal die aktuellen Protokolle:


Logfile of HijackThis v1.99.1
Scan saved at 13:56:59, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\MistUndVerflucht\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {CCB1B892-287D-49A8-9F7F-C012D65F85E9} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {3F0EECCE-E138-11D1-8712-0060083D83F5} (LPViewer Class) - http://www.mgisoft.com/ActiveX/LPControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67E2B263-B0F4-4FF8-9311-6DF53445FE24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe




Mon Mar 07 21:25:52 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Mar 07 21:25:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR

Mon Mar 07 21:25:53 2005 => File C:\Programme\AVPersonal\INFECTED\mtwiy.VIR infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

Mon Mar 07 21:07:39 2005 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:38:24 2005 => File E:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Mon Mar 07 22:48:45 2005 => File E:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.



Danke für Hilfe!

Alt 08.03.2005, 18:54   #9
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Hallo zusammen!

Bin wieder hier und wäre dankbar, wenn sich nochmal jemand meiner Probleme annehmen könnte...

Alt 08.03.2005, 19:11   #10
Cidre
Administrator, a.D.
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Es stellt sich die Frage, ob dieser Backdoor.Win32.Agent.ec jemals aktiv gewesen ist oder er 'nur' brach auf deiner Festplatte war und von AntiVir entfernt wurde?
Aufschlussreich für die weitere Vorgehensweise wäre es, wenn du im Report (sofern es nicht überschrieben wurde) von AntiVir nachsiehst, WO dieser denn gefunden wurde.
__________________
Gruß, Cidre


Alt 08.03.2005, 19:38   #11
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Der Backdoor wurde von mir damals mithilfe von Antivir gelöscht. Ein von mir in eurem Forum eingestelltes LogFile und das Escan Protokoll wurden als sauber eingestuft, so dass der Backdoor wohl gar nicht aktiv war. Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?

Alt 08.03.2005, 19:43   #12
Cidre
Administrator, a.D.
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Zitat:
Was aber ist eigentlich mit meinem neuen "Freund" TR/Drop.Delf.DJ.3, den ich auch direkt mit Antivir gelöscht habe?
Nachdem ich nicht über hellseherische Fähigkeiten verfüge und ungern spekuliere...

Vermutlich wurde dieser im Ordner Temporary Internet Files gefunden oder vielleicht auch nicht.
__________________
Gruß, Cidre


Alt 08.03.2005, 19:56   #13
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Was heißt das nun?

Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen? Ist mein escan sauber; und was sagt das LogFile??????
Sauber oder nicht?

Sorry - falls ich begriffsstutzig sein sollte?!

Alt 08.03.2005, 20:19   #14
Cidre
Administrator, a.D.
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Zitat:
Chaosman hat mir Format C empfohlen oder soll ich nochmal scannen?
Es kann mit Sicherheit nie schaden, dass man im Zweifelsfall einmal zu oft ein Neuaufsetzen des Systems empfiehlt und ausführt als zu wenig.

Zitat:
Sauber oder nicht?
Wie ich bereits sagte, das Log-File weist keine mehr Auffälligkeiten auf!
Leere den Quarantäne Ordner von AntiVir und scanne sicherheitshalber, wenn es dich beruhigt, nochmals mit eScan AntiVirus.

Danach arbeitest du mindestens folgende Punkte vom Link in meiner Sigantur ab:
3, 5 und 6
__________________
Gruß, Cidre


Alt 08.03.2005, 22:49   #15
ArmerUser
 
Bin ich wieder clean? - Standard

Bin ich wieder clean?



Habe den Quarantäne Ordner geleert, IE sicherer konfiguriert, SPII aufgespielt, das System upgedatet und Firefox runtergeladen und als Standardbrowser festgelegt.
Gibt es für Firefox auch eine Anleitung, wie man ihn am sichersten konfiguriert?


Werde dann jetzt nochmal escan drüber laufen lassen.

Antwort

Themen zu Bin ich wieder clean?
.inf, adobe, antivir, bho, canon, clean, content.ie5, dateien, dsl, einstellungen, explorer, file missing, hijack, hijackthis, home, internet, internet explorer, log, löschen, mein log, messenger, microsoft, programme, software, system, trojaner, virus, windows, windows xp




Ähnliche Themen: Bin ich wieder clean?


  1. Proxyserver ließ sich nicht abschalten / durch Malewarebyte behoben / System wieder Clean?
    Log-Analyse und Auswertung - 23.04.2015 (22)
  2. Nach Daemon Tools Lite installation eine Infektion, bin ich wieder clean?
    Log-Analyse und Auswertung - 10.01.2015 (7)
  3. Advanced System Protector, Reg Clean Pro, MyPC Backup, Adware - hab ich sie schon wieder in Gänze los?
    Plagegeister aller Art und deren Bekämpfung - 15.04.2014 (9)
  4. GVU Trojaner Mai 2013 gelöscht, System wieder "clean" ?
    Log-Analyse und Auswertung - 08.05.2013 (7)
  5. File Restore / File Recovery - bin ich wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  6. BKA Virus Juli 2012 Österreich System wieder clean?
    Log-Analyse und Auswertung - 24.07.2012 (12)
  7. System wieder clean? Spam-Mails von meinem Account und Banksperre
    Log-Analyse und Auswertung - 06.01.2012 (22)
  8. BKA-Trojaner (Rechner gesperrt) / ukash / Tronjan.Dropper / PUP.VshareRedir - bin ich wieder clean?
    Log-Analyse und Auswertung - 17.12.2011 (7)
  9. Hatte Backddor Trojaner. Jetzt wieder clean?
    Log-Analyse und Auswertung - 25.05.2010 (15)
  10. PC wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 30.11.2008 (1)
  11. Nach Trojaner entfernung, ist mein System wieder clean?
    Mülltonne - 20.11.2008 (0)
  12. Bagle - ist der Rechner wieder Clean?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2007 (3)
  13. system wieder clean?
    Log-Analyse und Auswertung - 25.06.2007 (2)
  14. Hatte Virus Win32.Nsag.b / PC wieder clean?
    Log-Analyse und Auswertung - 14.10.2005 (4)
  15. Bin ich wieder clean?
    Log-Analyse und Auswertung - 08.03.2005 (1)
  16. Wieder Clean?
    Log-Analyse und Auswertung - 02.03.2005 (1)
  17. ist mein rechner jetzt wieder clean???
    Log-Analyse und Auswertung - 21.01.2005 (1)

Zum Thema Bin ich wieder clean? - Hallo zusammen! Habe mir den Trojaner TR/Drop.Delf.DJ.3 gefangen, der von AntiVir entdeckt wurde. Habe ihn durch Antivir löschen lassen. Außerdem bekam ich folgende Meldung: C:\DOKUMENTE UND EINSTELLUNGEN\STEFAN\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\O4DV365A\T-7968[1].HTM - Bin ich wieder clean?...
Archiv
Du betrachtest: Bin ich wieder clean? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.