![]() |
|
Log-Analyse und Auswertung: was soll ich nur tun? *heul*Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
| ![]() was soll ich nur tun? *heul* Hab hier ein großes Problem. Jedes Mal, wenn IE6 gestartet wird, wird eine Web-Search-Seite geöffnet. Antivir meldet sich auch: TR/Dldr.Agent.BQ Obwohl Antivir angeblich die Datei löscht, tritt das Problem jedes Mal wieder auf. Habe die Datei addyk.exe aus dem winnt/system32 odner bereits gelöscht. Hier meine Hijack logfile. Schon im voraus viellen Dank für Eure Hilfe. Gruß Philipp Logfile of HijackThis v1.99.1 Scan saved at 14:38:34, on 21.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\appnd.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\AVPersonal\AVGNT.EXE d:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Jenatschek1\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xnafl.dll/sp.html#44768 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:11523 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.aol.de;*.aol.com;*.compuserve.de;mail-store-01.cso.mediaways.net R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {3EA1A3C3-66F8-C16A-C172-941EB55BA5E4} - C:\WINNT\mfcdu32.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunOnce: [appnd.exe] C:\WINNT\system32\appnd.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM aol chat messenger 5.1\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c337.cab O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3e287833/enter.cab O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cb...standard_1.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093374130047 O17 - HKLM\System\CCS\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3650CF-5204-42AE-AE5A-D1B35F313976}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254 O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\addyk.exe (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe |
![]() | #2 |
![]() ![]() | ![]() was soll ich nur tun? *heul* Hallo straightpj,
__________________uploade bitte folgende Dateien: C:\WINNT\system32\appnd.exe C:\WINNT\mfcdu32.dll hier: http://www.malwareupload.com Erläuterungen Desweiteren führe bitte dies mal aus: 1. Downloade Dir escan und befolge diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
![]() | #3 |
| ![]() was soll ich nur tun? *heul* Erst mal danke für Deine prompte Antwort!
__________________Habe Deine Anweisungen befolgt, so gut es in meiner Macht stand. Hier nun das Ergebnis: Habe die Datei C:\WINNT\system32\appnd.exe hochgeladen. Die Datei C:\WINNT\mfcdu32.dll hatte ich nach wildem herumfixen in HijackThis nicht mehr gefunden. Hier nun die "infected"-Treffer aus der mwav.log: Mon Mar 21 16:16:20 2005 => File C:\WINNT\system32\mssh32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 16:16:30 2005 => File C:\WINNT\system32\appnd.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 16:16:42 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 16:16:48 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 16:18:44 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 16:19:17 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 16:19:22 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Mon Mar 21 16:19:25 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 16:21:45 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken. Mon Mar 21 16:23:22 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken. Mon Mar 21 16:25:04 2005 => Total Files Scanned: 8825 Mon Mar 21 16:25:04 2005 => Total Virus(es) Found: 10 Mon Mar 21 16:25:04 2005 => Total Disinfected Files: 0 Mon Mar 21 16:25:04 2005 => Total Files Renamed: 0 Mon Mar 21 16:25:04 2005 => Total Deleted Files: 0 Mon Mar 21 16:25:04 2005 => Total Errors: 0 Mon Mar 21 16:25:04 2005 => Time Elapsed: 00:09:04 Mon Mar 21 16:25:04 2005 => Virus Database Date: 2005/03/21 Mon Mar 21 16:25:04 2005 => Virus Database Count: 122759 Mon Mar 21 16:25:05 2005 => Scan Completed. |
![]() | #4 | |
![]() ![]() | ![]() was soll ich nur tun? *heul* Hallo, Zitat:
Sieht mir nicht danach aus. Bitte wiederhole den Scan im abgesicherten Modus. Die Funde kannst Du vorher löschen. dartus |
![]() | #5 |
| ![]() was soll ich nur tun? *heul* Eieieieiei! Ist ne ganze Menge geworden. Total wurden 43 gefunden. Einige konnte ich sofort ausschließen (Song-titel,..). Der Rest der "infected"-Dateien wie folgt. Mon Mar 21 17:09:32 2005 => File C:\WINNT\system32\mssh32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 17:09:40 2005 => File C:\WINNT\system32\appnd.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 17:09:52 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 17:09:58 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 17:11:58 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 17:12:32 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 17:12:37 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Mon Mar 21 17:12:41 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 17:15:02 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken. Mon Mar 21 17:16:48 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken. Mon Mar 21 17:35:33 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Mon Mar 21 17:35:36 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 17:37:57 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken. Mon Mar 21 17:39:38 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken. Mon Mar 21 17:56:38 2005 => File C:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP273\A0060369.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 17:56:41 2005 => File C:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP274\A0060410.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 17:56:45 2005 => File C:\Windows\system32\winsrvs_1.dll infected by "not-a-virus:AdWare.Ramdud" Virus. Action Taken: No Action Taken. Mon Mar 21 18:03:01 2005 => File C:\WINNT\Downloaded Program Files\1014021.exe infected by "Trojan.Win32.Dialer.q" Virus. Action Taken: No Action Taken. Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\910185_413963_.exe755 infected by "Trojan.Win32.Dialer.eh" Virus. Action Taken: No Action Taken. Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\DeskAdX.dll infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken. Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\inst2.dll infected by "Trojan.Win32.StartPage.vh" Virus. Action Taken: No Action Taken. Mon Mar 21 18:04:53 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 18:19:49 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken. Mon Mar 21 18:20:44 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken. Mon Mar 21 18:20:48 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. Mon Mar 21 18:29:15 2005 => File D:\Downloads\Programme komprimiert\Internet\DSL\befaster.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken. Mon Mar 21 20:15:50 2005 => File D:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP248\A0058605.exe infected by "not-a-virus:AdWare.Ramdud" Virus. Action Taken: No Action Taken. Mon Mar 21 20:25:28 2005 => ***** Scanning complete. ***** Mon Mar 21 20:25:28 2005 => Total Files Scanned: 152758 Mon Mar 21 20:25:28 2005 => Total Virus(es) Found: 43 Mon Mar 21 20:25:28 2005 => Total Disinfected Files: 0 Mon Mar 21 20:25:28 2005 => Total Files Renamed: 0 Mon Mar 21 20:25:28 2005 => Total Deleted Files: 0 Mon Mar 21 20:25:28 2005 => Total Errors: 83 Mon Mar 21 20:25:28 2005 => Time Elapsed: 03:16:12 Mon Mar 21 20:25:28 2005 => Virus Database Date: 2005/03/21 Mon Mar 21 20:25:28 2005 => Virus Database Count: 122759 Mon Mar 21 20:25:28 2005 => Scan Completed. |
![]() | #6 |
![]() ![]() | ![]() was soll ich nur tun? *heul* Hallo straightpj, downloaden Adaware und spybot S&D, jeweils installieren und updaten. Ebenfalls downloadenclearprog 1.4.1 final. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html clearprog starten --> Häckchen bei alles Löschen und auf Löschen Klicken (Temp-Ordner leer) anschliessend alle als infected identifizierten Dateien manuell löschen, ausser die in den Ordnern "Temp" und "C:\System Volume Information\_restore" Adaware und spybot scannen lassen und alle Funde löschen. Papierkorb leeren Neustart und Systemwiederherstellung aktivieren. ... sowie ein neues Logfile. dartus Geändert von dartus (21.03.2005 um 21:54 Uhr) |
![]() |
Themen zu was soll ich nur tun? *heul* |
192.168.0.2, antivir update, bho, c.exe, dateien, dll, dsl, einstellungen, explorer, file missing, firefox, helper, hijack, hijackthis, internet, internet explorer, messenger, microsoft, mozilla, mozilla firefox, nvcpl.dll, nvidia, office, programme, rundll, software, temp, update, urlsearchhook, windows, windows messenger, windows xp |