Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: DyFuca und evt. mehr

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.03.2005, 04:05   #1
Psyche
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



Moin,
habe Probleme den DyFuca loszuwerden, Ad Aware entfernt ihn, aber er kommt immer wieder. Was kann man da machen? Hier die Hijacklogfile, evt. erkennen eure geschulten Augen noch mehr, was da nicht hingehört. Kenne mich da net so aus.

Logfile of HijackThis v1.99.1
Scan saved at 04:04:34, on 20.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\RunDll32.exe
D:\programme\powerstrip\pstrip.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINNT\wciag.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\switpb.exe
C:\WINNT\system32\winole.exe
D:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\Tunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PowerStrip] d:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Ja08E] C:\WINNT\wciag.exe
O4 - HKLM\..\Run: [switp] C:\WINNT\switpb.exe
O4 - HKLM\..\Run: [Ja082+¿ÎÅè]½Û9àaýžC:\Programme\ISTsvc\istsvc.exe] C:\WINNT\wciag.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62.../bridge-c7.cab
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Alt 20.03.2005, 04:25   #2
cronos
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



Lass mal den Escan noch über dein system rennen:
http://www.trojaner-info.de//hijacker/escan
Bitte gehe genau nach der Anleitung vor.
Teile uns entsprechende Funde mit
__________________

__________________

Alt 20.03.2005, 16:15   #3
Psyche
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



Also Escan hat folgendes gefunden:

File C:\WINNT\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File D:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\WINNT\system32\winole.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\iel.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\CkDfAg.exe infected by "Trojan-Downloader.Win32.IstBar.ii" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\f4dfOhF.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\optimize.exe infected by "Trojan-Downloader.Win32.Dyfuca.dx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\temp.fr12AB\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\temp.frAAA1\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RICHAR~1\LOKALE~1\TEMPOR~1\Content.IE5\R4E97N9S\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\iel.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\CkDfAg.exe infected by "Trojan-Downloader.Win32.IstBar.ii" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\f4dfOhF.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\optimize.exe infected by "Trojan-Downloader.Win32.Dyfuca.dx" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\temp.fr12AB\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\temp.frAAA1\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temp\webrebates.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Richard Lehmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\R4E97N9S\istsvc[1].exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\kb486810.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\winist5.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\winkbupdate32.exe infected by "Trojan-Clicker.Win32.Delf.ah" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\iel.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File C:\winxpM6156.exe infected by "Trojan.Win32.LowZones.d" Virus. Action Taken: No Action Taken.
File D:\--Downloads--\Motherboard\AGP\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\--Downloads--\Motherboard\Gepackt\AGP(113).zip tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File D:\--Downloads--\Programme\Gamers IRC\girc432.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File D:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File D:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File E:\--Burn--\Steinberg Cubasis Vst 5.0.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\--Progs--\Driver\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\--Progs--\Sharing\DCSetup.exe infected by "Virus.Win32.HLLP.Hantaner.a" Virus. Action Taken: No Action Taken.
File I:\--Progs--\Sound\Rebirth_RB338 v2.01+ Addons - Radium.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File I:\--Progs--\Sound\wav-to-mp3.exe infected by "Virus.Win32.HLLP.Hantaner.a" Virus. Action Taken: No Action Taken.
File I:\--Progs--\Utility\aaw6.exe infected by "Virus.Win32.HLLP.Hantaner.a" Virus. Action Taken: No Action Taken.
File I:\--Progs--\Utility\fgf140.exe infected by "Virus.Win32.HLLP.Hantaner.a" Virus. Action Taken: No Action Taken.
File J:\rebirth2\Rebirth 2.0 Addons\setupad1.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File J:\rebirth2\Rebirth_RB338_v201_Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sieht übel aus, oder?
__________________

Alt 20.03.2005, 16:20   #4
Haui45
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



Sorry, aber dein System ist total verseucht (u.a. auch ein Vertreter der RBot-Familie).

=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern".

Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen:
erstens, zweitens und drittens.

Wofür der Rechner missbraucht werden kann:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet


-> Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten, da sich unter den Schädlingen auch Viren befinden). Office-Dokumente solltest du jedoch "relativ" gefahrlos sichern können.


mfg Haui

Alt 21.03.2005, 12:44   #5
Psyche
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



Da bleibt mir wohl keine andere Wahl, hatte schon damit gerechnet.

Bezüglich der Neuinstallatíon hätte ich aber noch Fragen. In einem, der von dir verlinkten Texte, war die Rede davon, alle Daten auf CD zu sichern, und diese, bevor man sie wieder auf das bereinigte System spielt mit EScan zu scannen. Reicht es nicht auch aus, die entsprechenden Partitionen zu scannen, und wenn EScan grünes Licht gibt, diese beizubehalten. Habe fast 100GB an Daten, wäre also sehr viel Arbeit alles auf CD zu sichern.

Außerdem bräuchte ich eine Empfehlung für eine gute Firewall, die umsonst sein sollte. Hab´ bisher Kerio PF genutzt, scheint ja nicht so gut zu sein.

Danke


Alt 21.03.2005, 12:50   #6
chaosman
 
DyFuca und evt. mehr - Standard

DyFuca und evt. mehr



@Psyche
bei diese menge ist fast eine USB HDD angebracht.
Reicht es nicht auch aus, die entsprechenden Partitionen zu scannen, und wenn EScan grünes Licht gibt, diese beizubehalten.
das problem ist, das andere auf dein rechner zugriff hatten, du weißt nie was geändert oder infiziert würde.

ich würde an deiner stelle eine externe platte besorgen,
DateienZurückspielenNachInfektion
Du solltest die Dateien, die Du benötigst auf eine CD (RW) brennen und nachdem Du Dein System neu installiert und die '10-Punkte-Liste' abgearbeitet hast mit einem Virenscanner scannen. Da Du eScan schon hast, solltest Du die heruntergeladene Datei mwav.exe auf jeden Fall ebenfalls sichern und auf bekanntem Wege auf dem neuen System 'installieren' und aktualisieren. Danach scannst Du mit eScan die komplette CD, bevor Du auch nur eine einzige Datei auf den Rechner zurück kopierst. Wenn eScan auf der CD keine infizierte Datei findet, kannst Du einigermaßen(1) sicher sein, dass die CD sauber ist.
Findet eScan etwas auf der CD, diese Datei(en) auf keinen Fall auf den Rechner kopieren.
ZitatLutz

chaosman
__________________
--> DyFuca und evt. mehr

Antwort

Themen zu DyFuca und evt. mehr
acrobat, ad aware, ad-aware, adobe, bho, boot, button, computer, dateien, dll, explorer, file missing, firefox, firewall, hijackthis, icq, internet, internet explorer, microsoft, nvcpl.dll, nvidia, probleme, programme, rundll, skype.exe, software, system, system32, urlsearchhook, windows




Ähnliche Themen: DyFuca und evt. mehr


  1. Dyfuca.J
    Plagegeister aller Art und deren Bekämpfung - 23.05.2009 (5)
  2. Dyfuca.ds ... Hab ich´s im Griff?
    Plagegeister aller Art und deren Bekämpfung - 27.09.2007 (1)
  3. DR/Dyfuca.db.2
    Log-Analyse und Auswertung - 19.03.2007 (1)
  4. Trojaner DR/Dyfuca.db.2 ---> was tun???
    Plagegeister aller Art und deren Bekämpfung - 29.11.2006 (1)
  5. HTJ-Log + TR/Dldr.Dyfuca.ds
    Log-Analyse und Auswertung - 18.10.2005 (6)
  6. Trojaner:Dyfuca
    Plagegeister aller Art und deren Bekämpfung - 13.08.2005 (3)
  7. tr.dldr.dyfuca.bh.1
    Log-Analyse und Auswertung - 29.05.2005 (1)
  8. DYFUCA... und (fast) nix geht mehr!
    Plagegeister aller Art und deren Bekämpfung - 17.03.2005 (10)
  9. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 15.02.2005 (21)
  10. Trojaner DYFuCA DB
    Log-Analyse und Auswertung - 09.02.2005 (1)
  11. TR/dldr.Dyfuca.db
    Plagegeister aller Art und deren Bekämpfung - 26.01.2005 (4)
  12. TR/Dldr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 24.11.2004 (7)
  13. TR/Dldr.Dyfuca.DB
    Log-Analyse und Auswertung - 16.11.2004 (1)
  14. Hilfe: TR/Dldr.Dyfuca.W
    Plagegeister aller Art und deren Bekämpfung - 12.11.2004 (1)
  15. TR/dldr.dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 31.10.2004 (6)
  16. Dldr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 30.09.2004 (2)
  17. TR/DIdr.Dyfuca.DB
    Plagegeister aller Art und deren Bekämpfung - 28.09.2004 (1)

Zum Thema DyFuca und evt. mehr - Moin, habe Probleme den DyFuca loszuwerden, Ad Aware entfernt ihn, aber er kommt immer wieder. Was kann man da machen? Hier die Hijacklogfile, evt. erkennen eure geschulten Augen noch mehr, - DyFuca und evt. mehr...
Archiv
Du betrachtest: DyFuca und evt. mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.