| |
| |||||||
Log-Analyse und Auswertung: Troj/Clicker-L ???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.03.2005, 19:18
| #1 |
| |  Troj/Clicker-L ??? Ich bin absoluter Amateuer, Anfänger... Seit drei Tagen versuche herauszufinden, wie ich folgendes Phänomen beseitigen kann: Es öffnen sich verschiedene Pop up's vorallem einer Strippoker-Seite und eine Meldung "your computer might be at risk" mit Ballon. Sowie die Meldung meine Microsoft Firewall funktioniere nicht ausreichend (dabei hab ich keine Firewall) Die Info die ich bisher darüber finden konnte ist: http://www.sophos.com/virusinfo/anal...jclickerl.html ein ähnliches Problem wird im folgenden Beitrag behandelt: http://www.trojaner-board.de/archive...p/t-10712.html <= die dort verhandelten schritte sind aber echt zu hoch für mich... bei der analyse von hijack this wurden die folgenden mir nichts sagenden elemente als fragwürdig eingestuft (kann mir jemand sagen, was das ist?): O2 - BHO: Name - {F3FB7EFC-6108-403D-BA33-ABA92DB6D65A} - C:\WINDOWS\SYSTEM\MSRKH.DLL O2 - BHO: Name - {5AF7ED72-5EBC-4997-8D30-42228A872C97} - C:\WINDOWS\SYSTEM\MSRKH.DLL außerdem hatte/ habe ich etwas, das sich "freshbar" nennt spybot hat das zwar gefixt, aber XsoftSpy findet sie immer noch antivir und bitedefender finden nichts mehr Spybots letzter fund war: FindSpy.A C:\WINDOWS\ballon.wav denke das könnte zusammenhämgen, wegen dem ballon, aber das problem ist nicht weg... bitte berücksichtigen: ich hab zwar alle diese programme laufen lassen, weiß aber nicht wirklich auf welchen ebenen sie funktionieren und hab keine ahnung von regestry einträgen, bootsektoren und sonstigen innereien meines rechners für jede hilfe dankbar blint |
|
15.03.2005, 19:24
| #2 |
| Administrator, a.D.   | Troj/Clicker-L ??? Hallo,
__________________poste doch mal das HijackThis Log-File, damit wir mehr Infos über dein infiziertes System bekommen. Ebenso empfehlenswert wäre -> Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ |
|
16.03.2005, 13:32
| #3 |
| | Troj/Clicker-L ??? Uiuiui... Da ich leider keine Ahnung habe, wie ich im abgesicherten Modus die von escan geforderte Internetverbindung herstellen kann, hier die Scanresultate aus dem normalen Modus (Betriebssystem is übrigens Windows ME, falls das wichtig ist):
__________________File C:\WINDOWS\SYSTEM\DOSXPD.EXE infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\DOSXPD.EXE infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\AUDISSRP.EXE infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\AUDISSRP.EXE infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\FIXMAPIRS.EXE infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\FIXMAPIRS.EXE infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\dosxpd.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\audissrp.exe infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\fixmapirs.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\autodmfp.exe infected by "Trojan-Dropper.Win32.Agent.gp" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\docntrop.dll infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\chkntfsfat.exe infected by "Trojan.Win32.StartPage.vt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\dwcrnt.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. (Anmerkung blint: Hierzu kam heute die AntiVir Meldung, dass diese Datei einen Virus Namens DDS/Hidd.E.1 enthalte und nach den Standardeinstellungen verschoben wurde) File C:\_RESTORE\TEMP\A0246701.CPY infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0246702.CPY infected by "Trojan-Clicker.Win32.Agent.cn" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0246703.CPY infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. File C:\_RESTORE\TEMP\A0246721.CPY infected by "HackTool.Win32.Hidd.h" Virus. Action Taken: No Action Taken. File C:\_RESTORE\ARCHIVE\FS3.CAB infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken. Das klingt selbst für mein Verständnis ziemlich übel  Soll man die nun einfach löschen??????Die Log-File von HijacThis ist: Logfile of HijackThis v1.99.1 Scan saved at 13:19:04, on 16.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\DESKTOP\VIRENDEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Name - {5AF7ED72-5EBC-4997-8D30-42228A872C97} - C:\WINDOWS\SYSTEM\MSRKH.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: Name - {F3FB7EFC-6108-403D-BA33-ABA92DB6D65A} - C:\WINDOWS\SYSTEM\MSRKH.DLL O2 - BHO: Name - {45A523F8-FF82-482B-BC56-613F1F40567D} - C:\WINDOWS\SYSTEM\MSRKH.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\Programme\DirectCD\DIRECTCD.EXE O4 - HKLM\..\Run: [Norton CrashGuard Monitor] "C:\PROGRAMME\NORTON CRASHGUARD\CGMenu.EXE" O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [BitDefender Scan Server] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\\bdss.exe O4 - HKLM\..\RunServices: [BitDefender Communicator] C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\\xcommsvr.exe O4 - HKLM\..\RunServices: [BitDefender Live! Init] C:\Programme\Softwin\BitDefender Free Edition\\bdinit.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Sitecom WLAN Client Utility.lnk = C:\Programme\Sitecom\Sitecom WLAN\WLANUTL.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab Ich bin dankbar für jede Hilfe. Ausserdem schliesst sich noch folgende Frage an: Durch den aktuellen Fall hab ich alle möglichen Virenprogramm runtergeladen, um irgendwas rauszufinden... Welche aus der folgenden Liste sind denn sinnvoll zu behalten und was wäre weiterhin sinnvoll, um das System zu schützen? (Z.B. hab ich keine Firewall...) eScan AntiVir Bitdefender Spybot Hijack Spysubstract mit CWShredder (30Tage Testversion) XoftSpy (Testversion, findet aber keine Aktionen) Können die sich gegenseitig negativ beeinflussen? Herzlichen Dank im voraus... blint (sich ziemlich unbeholfen fühlt) |
|
| Themen zu Troj/Clicker-L ??? |
| beseitigen, bho, c:\windows, computer, einträge, firewall, folge, fund, funktionieren, hijack, hijack this, keine ahnung, keine firewall, meldung, microsoft, nichts, phänomen, pop up, problem, programme, system, this, träge, verschiedene, windows, your computer might be at risk, zu hoch, öffnen |
Linear-Darstellung
