| |
| |||||||
Log-Analyse und Auswertung: DR\180SolutionWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.03.2005, 12:48
| #1 |
 |  DR\180Solution Hallo alle zusammen. Habe das Problem das mir mein Antivir ständig anzeigt das ich von dem dropper DR\180Solution befallen bin. Habe auch schon HijackThis runtergeladen. Aber wie gehts jetzt weiter? Hier ist meine hijack logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:37:20, on 10.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\temp\salm.exe C:\Program Files\Windows AdStatus\WinStat.exe C:\Program Files\Windows AdStatus\WinStatKeep.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\PC-TV\WinManager\WinManager.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\TamTam\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - Default URLSearchHook is missing O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\TamTam\LOKALE~1\Temp\bundle.exe O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [Ares Galaxy FasterDownload] "C:\Programme\DCPlus FasterDownloads\DCPlus FasterDownloads.exe" -tray O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c11.cab O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.internetclearing.de/StarInstall.ocx O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?325 O17 - HKLM\System\CCS\Services\Tcpip\..\{33EEE5BA-6472-4375-B4F8-BC18A1DF3990}: NameServer = 145.253.2.196 195.50.140.250 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe Kann mir vieleicht jemand helfen? |
|
10.03.2005, 13:30
| #2 | |
 | DR\180Solution Hallo TamTam81,
__________________das sieht ziemlich übel aus und zwar deswegen: Zitat:
folgende Datei: C:\WINDOWS\System32\winmedplay.exe Teile bitte das Ergebnis mit. Uploade bitte diese Datei hier: ---> http://www.malwareupload.com Erläuterungen Schon deswegen: teekids.exe = http://securityresponse.symantec.com...er.c.worm.html solltest Du Dein System nach dieser Anleitung neuinstallieren: http://www.trojaner-board.de/showthread.php?t=12154 dartus Geändert von dartus (10.03.2005 um 13:45 Uhr) |
|
10.03.2005, 13:39
| #3 |
| | DR\180Solution Zur Kontrolle kannsu auch nochmal eScan über Dein System rattern lassen !!!!
__________________Wo und wie ? Siehe meine Signatur  Dann bitte die Ergebnisse, was und wo wie gefunden wurde, hier Posten, dann wissen wir mehr über den Schaden. Aber ansonsten, hat Dartus schon recht - einmal System neu aufsetzen, nach Cidre's Anweisungen. (siehe AUCH Signatur)
__________________ |
|
10.03.2005, 21:15
| #4 |
| | DR\180Solution @FancyAndy, das ist absolut verlorene Zeit!  dartus |
|
10.03.2005, 22:31
| #5 |
| | DR\180Solution C:\WINDOWS\System32\winmedplay.exe kann die datei nicht finden, sie befindet sich nicht im system32 ordner!!?? |
|
10.03.2005, 22:41
| #6 |
  | DR\180Solution @TamTam81 Im Windows-Explorer: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Zitat Haui45 chaosman
__________________ --> DR\180Solution |
|
10.03.2005, 23:14
| #7 |
| | DR\180Solution @TamTam81, dann schau unter C:/windows oder benutze die Suchfunktion. dartus |
|
11.03.2005, 13:38
| #8 |
| | DR\180Solution unter C:\windows ist sie auch nicht zu finden und die suchfunktion bringt auch nichts. Habe auch die Ordneroptionen umgestellt---> nichts! Kann es sein das ich diese Datei nicht auf dem Rechner habe? |
|
| Themen zu DR\180Solution |
| adobe, antivir, antivir update, askbar, bho, desktop, drivers, einstellungen, explorer, file missing, firefox, firewall, galaxy, helfen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, pdf, problem, programme, software, solution, sun java, system, temp, urlsearchhook, windows, windows xp, yahoo |
Linear-Darstellung
