| |
| |||||||
Log-Analyse und Auswertung: Hab ich einen Wurm oder nicht?????Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
21.03.2005, 10:19
| #1 |
| |  Hab ich einen Wurm oder nicht????? Moin zusammen, seit gestern bekomme ich von meinem AnitVir die Meldung, dass ich ein Backdoorwurm bei mir eingenistet hat. Der soll angeblich im C\:System Volume drinstecken. Habe also alle Dateien sichtbar gemacht, aber in dem Ordner ist nix drin ( Unter Eigenschaften 0 Byte und 0 Ordner ). Habe Win XP und date eine Firewall und das AnitVir alle 2 Tage up. Und trotzdem..... Oder ist es nur eine Fehlermeldung???? Habe auch die Fehlermeldung in Word gespeichert, aber zum anhängen ist sie zu groß und als JPG bekomme ich sie nicht gespeichert. Dann habe mal mit HijackThis ein Logfile erstellt und werde sie hier posten. Kann mir jemand sagen, ob mein Rechner nun infiziert ist oder nicht??  Wenn nötig, kann ich auch noch im abgesicherten Modus einen Escan machen. Logfile of HijackThis v1.98.2 Scan saved at 09:44:31, on 21.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\RUNDLL32.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ArchibaldPicks.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O1 - Hosts: 69.64.35.177 auto.search.msn.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Archibald Picks] C:\WINDOWS\System32\ArchibaldPicks.exe /h O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU" O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - I:\Eigene Dateien\Anita\Anita\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - I:\Eigene Dateien\Anita\Anita\XM2002.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {81C37002-CC70-4A00-8B10-B5A298320505} - http://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: FtpTree - http://www.ferag.ch/iss/ActiveX/FtpTree.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab O16 - DPF: {97438FE9-D361-4279-BA82-98CC0877A717} (Cubis Control) - http://www.worldwinner.com/games/v55/cubis/cubis.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex...amesplayer.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-intern.de/In...sAssistent.ocx Bin wirklich für jede Hilfe dankbar!!! Liebe Grüße alphacanados |
|
21.03.2005, 11:56
| #2 | |
 |  Hab ich einen Wurm oder nicht????? Hallo alphacanados,
__________________Zitat:
Vor dem Wechsel in den abgesicherten Modus deaktiviere die Systemwiederherstellung. http://www.systemwiederherstellung-d...indows-xp.html Teile dann alle als "infected" identifizierten Funde mit. dartus |
|
21.03.2005, 20:19
| #3 |
| | Hab ich einen Wurm oder nicht????? Moin zusammen,
__________________habe meinen Escan im abgesicherten Modus gemacht und poste ihn hier. Vielleicht kann mir ja jemand was dazu sagen. HiJackThis- Log ist weiter unten Mon Mar 21 13:02:42 2005 => File C:\WINDOWS\tsad.dll infected by "not-a-Virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken. Mon Mar 21 13:02:42 2005 => File C:\WINDOWS\tsad.dll infected by "not-a-virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken. Mon Mar 21 13:13:26 2005 => File C:\Dokumente und Einstellungen\Marc und Anita\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0D.dat infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken. Mon Mar 21 13:42:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* C:\Programme\MySearch\bar\1.bin\NPMYSRCH.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken. C:\Programme\MySearch\bar\1.bin\S4BAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken. C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus. Action Taken: No Action Taken. C:\Programme\Shareaza\Downloads\cubis gold 2_zipped.zip infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken. Mon Mar 21 14:19:23 2005 => File C:\WINDOWS\Downloaded Program Files\axload.dll infected by "Trojan.Win32.Dialer.ep" Virus. Action Taken: No Action Taken. Mon Mar 21 14:19:24 2005 => File C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx infected by "Trojan-Downloader.Win32.Stardler.a" Virus. Action Taken: No Action Taken. Mon Mar 21 14:40:57 2005 => Scanning File C:\WINDOWS\tsad.dll Mon Mar 21 14:40:58 2005 => File C:\WINDOWS\tsad.dll infected by "not-a-virus:AdWare.TimeSink.c" Virus. Action Taken: No Action Taken. C:\WINDOWS\wt\wtupdates\webd\4.1.1\files\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken. Mon Mar 21 14:41:24 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.2.0.007\npwthost.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken. Mon Mar 21 14:41:26 2005 => File C:\WINDOWS\wt\wtupdates\wtwebdriver\files\3.2.0.007\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken. Mon Mar 21 14:41:26 2005 => File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken. Mon Mar 21 14:45:38 2005 => File D:\Downloads\Spiele\Cubis\cubis gold 2_zipped.zip infected by "not-a-virus:AdWare.Beginto.a" Virus. Action Taken: No Action Taken. Mon Mar 21 14:52:49 2005 => File D:\Spass\Matthias\jokes\joe cartoon\tester.exe infected by "not-a-virus:AdWare.WebHancer.16" Virus. Action Taken: No Action Taken. Mon Mar 21 15:02:27 2005 => Scanning Folder: J:\Programme\AntiViren\INFECTED\*.* Mon Mar 21 15:06:15 2005 => File J:\Beta Laufwerk B\Downloads\Toolz\GetRight\getrt45a.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. Mon Mar 21 15:06:16 2005 => File J:\Beta Laufwerk B\Downloads\Toolz\GetRight\getrt45d.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. B\Downloads\Toolz\Ripper\Freerip\freerip.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. D\Reverci\Downloads\Toolz\GetRight\getrt45a.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. D\Reverci\Downloads\Toolz\Ripper\freerip.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Mon Mar 21 15:17:36 2005 => File K:\Übertrag von D\Downloads\Toolz\GetRight\getrt45a.exe infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. Mon Mar 21 15:17:40 2005 => File K:\Übertrag von D\Downloads\Toolz\Ripper\freerip.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. _____________________________________________________________________________ Alle mit ERROR Mon Mar 21 15:17:21 2005 => Result: ERROR!!! File K:\Übertrag von D\Downloads\Toolz\wzip80g.exe is Not Scanned Mon Mar 21 15:17:21 2005 => K:\Übertrag von D\Downloads\Toolz\wzip80g.exe not Scanned. Possibly password protected... Mon Mar 21 15:17:21 2005 => Scanning File K:\Übertrag von D\Downloads\Toolz\ipro.exe Mon Mar 21 15:17:21 2005 => File K:\Übertrag von D\Downloads\Toolz\ipro.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:41:45 2005 => Result: ERROR!!! File D:\Downloads\Blaster\SetupPestPatrolEvalBlitzBoxGerman_comp.exe is Not Scanned Mon Mar 21 14:41:45 2005 => D:\Downloads\Blaster\SetupPestPatrolEvalBlitzBoxGerman_comp.exe not Scanned. Possibly password protected... Mon Mar 21 13:41:24 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!! Mon Mar 21 13:02:17 2005 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\SVKP.sys. Removing SYSTEM\CurrentControlSet\Services\SVKP... Mon Mar 21 13:02:14 2005 => Scanning File C:\WINDOWS\system32\svchost.exe Mon Mar 21 13:02:14 2005 => ERROR!!! Invalid Entry C:\WINDOWS\System32\srvany.exe. Removing SYSTEM\CurrentControlSet\Services\ntser32ex... Mon Mar 21 13:02:14 2005 => ERROR!!! Invalid Entry C:\WINDOWS\System32\srvany.exe. Removing SYSTEM\CurrentControlSet\Services\ntsrvctl... Weitere... Anita\Desktop\Desktop2\KartenspieleVolume_2\Patiencen\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 13:48:40 2005 => File C:\Programme\Karten- und Brettspiele\Patiencen\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 13:56:27 2005 => File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. Mon Mar 21 13:56:27 2005 => File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. Mon Mar 21 13:56:27 2005 => File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. Mon Mar 21 14:10:51 2005 => File C:\Programme\YDKJ\Uninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:19:24 2005 => File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. D:\Downloads\Bildschirmschoner\2000lich.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. D:\Downloads\Bildschirmschoner\3dhand.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. D:\Downloads\Bildschirmschoner\electric.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. D:\Downloads\Bildschirmschoner\firestorm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. D:\Downloads\Bildschirmschoner\kablaam.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. D:\Downloads\Chatprogramme\mirc61.exe tagged as not-a-virus:RiskWare.mIRC.6.1. No Action Taken. D:\Downloads\Mail\incredimail_install.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken. D:\Downloads\Screenmate\Setup.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. Mon Mar 21 14:45:30 2005 => File D:\Downloads\Spiele\bubball.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:46:29 2005 => File D:\Downloads\Spiele\kalaha.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:46:48 2005 => File D:\Downloads\Spiele\Neuer Ordner\dthemes.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:46:51 2005 => File D:\Downloads\Spiele\Neuer Ordner\xearth.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:46:58 2005 => File D:\Downloads\Spiele\smuehle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:46:59 2005 => File D:\Downloads\Spiele\Tetris\sechsex_1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:47:28 2005 => File D:\Downloads\Tools\atime.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:47:47 2005 => File D:\Downloads\Unbekannt\bkumrech.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:52:37 2005 => File D:\Spass\Lustiges\Volker.EXE tagged as not-a-virus:Joke.Win32.Coke. No Action Taken. Mon Mar 21 14:52:37 2005 => File D:\Spass\Matthias\jokes\BSE.exe tagged as not-a-virus:Simulator.Win16.CardView. No Action Taken. Mon Mar 21 14:53:28 2005 => File D:\Spass\Matthias\spiele\KARTEN\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 21 14:53:56 2005 => File D:\TOOLS\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. _____________________________________________________________________ Und hier ist das Ende der Logfile: Mon Mar 21 15:18:26 2005 => ***** Checking for specific ITW Viruses ***** Mon Mar 21 15:18:26 2005 => Checking for Welchia Virus... Mon Mar 21 15:18:26 2005 => Checking for LovGate Virus... Mon Mar 21 15:18:26 2005 => Checking for CodeRed Virus... Mon Mar 21 15:18:26 2005 => Checking for OpaServ Virus... Mon Mar 21 15:18:26 2005 => Checking for Sobig.e Virus... Mon Mar 21 15:18:26 2005 => Checking for Winupie Virus... Mon Mar 21 15:18:26 2005 => Checking for Swen Virus... Mon Mar 21 15:18:26 2005 => Checking for JS.Fortnight Virus... Mon Mar 21 15:18:27 2005 => Checking for Novarg Virus... Mon Mar 21 15:18:27 2005 => Checking for Pagabot Virus... Mon Mar 21 15:18:27 2005 => Checking for Parite.b Virus... Mon Mar 21 15:18:27 2005 => Checking for Parite.a Virus... Mon Mar 21 15:18:27 2005 => ***** Scanning complete. ***** Mon Mar 21 15:18:27 2005 => Total Files Scanned: 117562 Mon Mar 21 15:18:27 2005 => Total Virus(es) Found: 107 Mon Mar 21 15:18:27 2005 => Total Disinfected Files: 0 Mon Mar 21 15:18:27 2005 => Total Files Renamed: 0 Mon Mar 21 15:18:27 2005 => Total Deleted Files: 0 Mon Mar 21 15:18:27 2005 => Total Errors: 9 Mon Mar 21 15:18:27 2005 => Time Elapsed: 02:16:39 Mon Mar 21 15:18:28 2005 => Virus Database Date: 2005/03/17 Mon Mar 21 15:18:28 2005 => Virus Database Count: 122324 Mon Mar 21 15:18:28 2005 => Scan Completed. Mon Mar 21 15:26:57 2005 => Virus Database Date: 2005/03/17 Mon Mar 21 15:26:57 2005 => Virus Database Count: 122324 Mon Mar 21 15:27:15 2005 => AV Library Unloaded (3)... Vielen Dank schon jetzt alphacanados  |
|
21.03.2005, 21:28
| #4 |
| | Hab ich einen Wurm oder nicht????? Hallo alphacanados, downloade Dir Lspfix bei Problemen ins Internet zu kommen, damit die Winsock reparieren (Beschreibung auf der Seite vorhanden). Ebenfalls downloaden Adaware und spybot S&D, jeweils installieren und updaten. Sichere bitte vor dem Löschen, falls Du nicht mit reinem DSL ins Netz gehst, folgende Dateien auf Diskette wegen ev. erhöhter Onlinekosten: C:\WINDOWS\Downloaded Program Files\axload.dll infected by "Trojan.Win32.Dialer.ep" C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx infected by "Trojan-Downloader.Win32.Stardler.a Deinstalliere über Systemsteuerung-->Software wenn vorhanden "MySearch" und "MyWay" Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Folgende Dateien/Ordner löschen: C:\Programme\MySearch C:\Programme\MyWay C:\Dokumente und Einstellungen\Marc und Anita\Lokale Einstellungen\Anwendungsdaten\Wildtangent C:\WINDOWS\wt sowie alle einzelnen Dateien, die als infected bezeichnet sind. Adaware und spybot nacheinander scannen lassen und alle Funde löschen. Papierkorb leeren. Neustart--> Systemwiederherstellung aktivieren Neues Logfile bitte. dartus |
|
21.03.2005, 23:39
| #5 |
| | Hab ich einen Wurm oder nicht????? Hi Dartus, downloade Dir Lspfix bei Problemen ins Internet zu kommen, damit die Winsock reparieren (Beschreibung auf der Seite vorhanden). Ebenfalls downloaden Adaware und spybot S&D, jeweils installieren und updaten. Sichere bitte vor dem Löschen, falls Du nicht mit reinem DSL ins Netz gehst, folgende Dateien auf Diskette wegen ev. erhöhter Onlinekosten: Ich gehe nur über DSL ins Netz das 56k Modem ist nicht mehr angeschlossen C:\WINDOWS\Downloaded Program Files\axload.dll infected by "Trojan.Win32.Dialer.ep" C:\WINDOWS\Downloaded Program Files\InstallationsAssistent.ocx infected by "Trojan-Downloader.Win32.Stardler.a Diese Dateien gibt es NICHT in dem Ordner. Wie soll ich sie löschen?? Deinstalliere über Systemsteuerung-->Software wenn vorhanden "MySearch" und "MyWay" Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Folgende Dateien/Ordner löschen: C:\Programme\MySearch C:\Programme\MyWay C:\Dokumente und Einstellungen\Marc und Anita\Lokale Einstellungen\Anwendungsdaten\Wildtangent C:\WINDOWS\wt sowie alle einzelnen Dateien, die als infected bezeichnet sind. Ist vielleicht eine blöde Frage, aber auch die, die als "not-a-virus" bezeichnet werden??? Das sind z.B der Downloadmanager Getright. Adaware und spybot nacheinander scannen lassen und alle Funde löschen. Papierkorb leeren. Neustart--> Systemwiederherstellung aktivieren Neues Logfile bitte. Von Escan , HijackTihs oder beides? Sorry,wenn ich so nachfrage, aber ich habe mit den Dinger leider ( oder Gott sei Dank ???) nicht so viel Erfahrung und will nichts falsch machen Gruß alphacanados |
|
21.03.2005, 23:47
| #6 | ||||
  | Hab ich einen Wurm oder nicht?????Zitat:
 Zitat:
Zitat:
Zitat:
|
|
22.03.2005, 00:17
| #7 |
| | Hab ich einen Wurm oder nicht????? Hallo Haui45, habe mir erst einmal alles runtergeladen. Werde mich also gleich morgen früh um alles kümmern. Kennst Du denn einen guten Downloadmanager, der nicht mit adware infiziert ist? Vielen Dank für Deine schnelle Antwort. Gute Nacht alphacanados |
|
22.03.2005, 00:23
| #8 | |
| | Hab ich einen Wurm oder nicht?????Zitat:
Trotzdem ein paar Infos: Für Firefox und Mozilla gibt's z.B. FlashGot, aber ich hab's nie getestet (man muss dann zusätzlich noch einen DL-Manager einbinden). Für den IE, den du nicht verwenden solltest, z.B. LeechGet. Das müsste es aber auch für Mozilla geben. mfg Haui |
|
22.03.2005, 11:45
| #9 |
| |  Hab ich einen Wurm oder nicht????? Hallo Ihr lieben, ich habe alles erledigt, was mir aufgetragen wurde. Wo ich allerdings ein bisschen Bauchschmerzen hatte, war, als ich die REG.-Schlüssel löschen sollte. So, nun hier das Logfile von HiJackThis. Ich hoffe, jetzt habe ich wieder ein sauberes System?!? Logfile of HijackThis v1.98.2 Scan saved at 11:38:48, on 22.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Mixer.exe C:\PROGRA~1\ICQ\ICQNet.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\ArchibaldPicks.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\HiJackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Archibald Picks] C:\WINDOWS\System32\ArchibaldPicks.exe /h O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /M "Stylus C66" /EF "HKCU" O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - I:\Eigene Dateien\Anita\Anita\XM2002.exe O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - I:\Eigene Dateien\Anita\Anita\XM2002.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {81C37002-CC70-4A00-8B10-B5A298320505} - http://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: FtpTree - http://www.ferag.ch/iss/ActiveX/FtpTree.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab O16 - DPF: {97438FE9-D361-4279-BA82-98CC0877A717} (Cubis Control) - http://www.worldwinner.com/games/v55/cubis/cubis.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex...amesplayer.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-intern.de/In...sAssistent.ocx Vielen Dank fürs Helfen alphacanados |
|
22.03.2005, 12:03
| #10 | |
| | Hab ich einen Wurm oder nicht????? Hallo alphacanados, folgendes kannst Du noch fixen(Scan mit HJT, Häckchen vor folgenden Einträgen und auf Fix checked klicken: O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dl l",cdaEngineMain O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u Falls Du hier von eine nicht kennst, ebenfalls: (hab alle genommen, war einfacher zu kopieren)  O16 - DPF: FtpTree - http://www.ferag.ch/iss/ActiveX/FtpTree.cab O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {7A32634B-029C-4836-A023-528983982A49} (MSN Chat Control 4.2) - http://fdl.msn.com/public/chat/msnchat42.cab O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab O16 - DPF: {97438FE9-D361-4279-BA82-98CC0877A717} (Cubis Control) - http://www.worldwinner.com/games/v55/cubis/cubis.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.adultpark.de/vod/dmd/WMDownload.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/active...gamesplayer.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?322 O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.download-intern.de/I...nsAssistent.ocx Zitat:
dartus |
|
22.03.2005, 12:18
| #11 |
| |  Hab ich einen Wurm oder nicht????? Hallo dartus, hab ich gemacht. Was bedeutet eigendlich "fixen"?. Wenn die Seite sich noch mal öffnen will, geht es nicht, oder was? Wie ist das mit der add- und spyware, kann ich sie im Hintergrund laufen lassen? Oder manuell starten? Wie oft? Und muss sie ins Startmenü? Danke für Deine Hilfe alphacanados |
|
22.03.2005, 12:57
| #12 |
| | Hab ich einen Wurm oder nicht????? Hallo alphacanados, hier eine Seite in der HJT gut beschrieben wird: http://www.trojaner-board.de/51130-a...ijackthis.html Adaware und spybot besitzen keine Guardfunktion. Wie oft Du das manuell startest liegt an Dir. Beachte dabei das diese Tools keine Virenscanner sind. Eine bessere Absicherung Deines Systems findest Du hier, insbesondere sind die 12 Punkte empfehlenswert. dartus |
|
22.03.2005, 13:19
| #13 |
| | Hab ich einen Wurm oder nicht????? Hallo dartus, ich hatte vorher schon alles gemacht, was da steht bzw. gar nicht genutzt, wie Outlook. Den Nachrichtendienst habe ich nach der Installation deaktiviert, und updates mache ich auch regelmäßig. Den IE habe ich auch nicht genutzt, sondern den Avantbrowser, aber ich werde den Firefox installieren. Habe WinXP SP2, Zonealarm, Luke Firewalker. Mailen tu ich nur im Netz. Was ist eigendlich mit Onlinebanking? Hab gelesen, dass mein System "bloßgestellt" ist. Was muss ich da jetzt ändern? Habe das onlinebanking das letzte Mal Anfang März benutzt. MfG alphacanados |
|
22.03.2005, 13:40
| #14 |
| | Hab ich einen Wurm oder nicht????? Hallo, bei der Abschaltung unnötiger Dienste geht es nicht nur um den Nachrichtendienst. ( 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org) Der Avantbrowser ist nur ein aufgesetzter IExplorer. Als "blossgestellt" bzw. "kompromettiert" wird ein System bezeichent was von einem Trojaner mit Backdoorfunktionalität befallen ist. http://de.wikipedia.org/wiki/Backdoor Beim Thema Online-Banking kann ich Dir nicht helfen, da ich dies nicht nutze. Nutze dazu die Boardsuche. dartus |
|
22.03.2005, 13:47
| #15 |
| | Hab ich einen Wurm oder nicht????? Streng genommen ist jedes Computersystem, auf dem Malware aktiv war, als kompromittiert anzusehen. Wenn du ganz sicher sein willst, solltest du dein System neu aufsetzen, vor der ersten Internetverbindung absichern und alle Zugangsdaten ändern! |
|
| Themen zu Hab ich einen Wurm oder nicht????? |
| .inf, ?????, abgesicherten modus, adobe, antivirus, antivirus scan, avg, bho, browser, control center, drivers, explorer, fehlermeldung, fehlermeldung?, file missing, firewall, ftp, hijack, hijackthis, hängen, internet, internet explorer, logfile, rundll, server, software, starten, sun java, symantec, system, windows, windows messenger, windows xp, wurm |
Linear-Darstellung
