Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
was soll ich nur tun? *heul*

was soll ich nur tun? *heul*


Log-Analyse und Auswertung: was soll ich nur tun? *heul*

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.03.2005, 14:45   #1
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hab hier ein großes Problem.
Jedes Mal, wenn IE6 gestartet wird, wird eine Web-Search-Seite geöffnet.
Antivir meldet sich auch: TR/Dldr.Agent.BQ
Obwohl Antivir angeblich die Datei löscht, tritt das Problem jedes Mal wieder auf.
Habe die Datei addyk.exe aus dem winnt/system32 odner bereits gelöscht.
Hier meine Hijack logfile.
Schon im voraus viellen Dank für Eure Hilfe.
Gruß
Philipp

Logfile of HijackThis v1.99.1
Scan saved at 14:38:34, on 21.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\appnd.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Jenatschek1\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xnafl.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:11523
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.aol.de;*.aol.com;*.compuserve.de;mail-store-01.cso.mediaways.net
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {3EA1A3C3-66F8-C16A-C172-941EB55BA5E4} - C:\WINNT\mfcdu32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [appnd.exe] C:\WINNT\system32\appnd.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM aol chat messenger 5.1\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c337.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3e287833/enter.cab
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cb...standard_1.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093374130047
O17 - HKLM\System\CCS\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3650CF-5204-42AE-AE5A-D1B35F313976}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\system32\addyk.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 21.03.2005, 15:16   #2
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo straightpj,

uploade bitte folgende Dateien:

C:\WINNT\system32\appnd.exe
C:\WINNT\mfcdu32.dll
hier:
http://www.malwareupload.com

Erläuterungen

Desweiteren führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde),http://www.systemwiederherstellung-d...indows-xp.html
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus
__________________
Alt 21.03.2005, 16:40   #3
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Erst mal danke für Deine prompte Antwort!

Habe Deine Anweisungen befolgt, so gut es in meiner Macht stand. Hier nun das Ergebnis:

Habe die Datei C:\WINNT\system32\appnd.exe hochgeladen. Die Datei C:\WINNT\mfcdu32.dll hatte ich nach wildem herumfixen in HijackThis nicht mehr gefunden.


Hier nun die "infected"-Treffer aus der mwav.log:

Mon Mar 21 16:16:20 2005 => File C:\WINNT\system32\mssh32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:16:30 2005 => File C:\WINNT\system32\appnd.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:16:42 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:16:48 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:18:44 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:19:17 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:19:22 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:19:25 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:21:45 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
Mon Mar 21 16:23:22 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken.



Mon Mar 21 16:25:04 2005 => Total Files Scanned: 8825
Mon Mar 21 16:25:04 2005 => Total Virus(es) Found: 10
Mon Mar 21 16:25:04 2005 => Total Disinfected Files: 0
Mon Mar 21 16:25:04 2005 => Total Files Renamed: 0
Mon Mar 21 16:25:04 2005 => Total Deleted Files: 0
Mon Mar 21 16:25:04 2005 => Total Errors: 0
Mon Mar 21 16:25:04 2005 => Time Elapsed: 00:09:04
Mon Mar 21 16:25:04 2005 => Virus Database Date: 2005/03/21
Mon Mar 21 16:25:04 2005 => Virus Database Count: 122759
Mon Mar 21 16:25:05 2005 => Scan Completed.
__________________
Alt 21.03.2005, 16:53   #4
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo,

Zitat:
Mon Mar 21 16:25:04 2005 => Time Elapsed: 00:09:04
Hast Du den Scan mit den Optionen "All Drives" und "Scan all" vorgenommen?
Sieht mir nicht danach aus. Bitte wiederhole den Scan im abgesicherten Modus. Die Funde kannst Du vorher löschen.

dartus

Alt 21.03.2005, 20:49   #5
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Eieieieiei!
Ist ne ganze Menge geworden. Total wurden 43 gefunden. Einige konnte ich sofort ausschließen (Song-titel,..). Der Rest der "infected"-Dateien wie folgt.


Mon Mar 21 17:09:32 2005 => File C:\WINNT\system32\mssh32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:09:40 2005 => File C:\WINNT\system32\appnd.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:09:52 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:09:58 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:11:58 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:12:32 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:12:37 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:12:41 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:15:02 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:16:48 2005 => File C:\DOKUME~1\JENATS~1\LOKALE~1\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:35:33 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:35:36 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\backups\backup-20050321-151308-447.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:37:57 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\jar_cache62619.tmp infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:39:38 2005 => File C:\Dokumente und Einstellungen\Jenats\Lokale Einstellungen\Temp\test.exe infected by "Trojan.Win32.Agent.aq" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:56:38 2005 => File C:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP273\A0060369.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:56:41 2005 => File C:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP274\A0060410.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 17:56:45 2005 => File C:\Windows\system32\winsrvs_1.dll infected by "not-a-virus:AdWare.Ramdud" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:03:01 2005 => File C:\WINNT\Downloaded Program Files\1014021.exe infected by "Trojan.Win32.Dialer.q" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\910185_413963_.exe755 infected by "Trojan.Win32.Dialer.eh" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\DeskAdX.dll infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:03:02 2005 => File C:\WINNT\Downloaded Program Files\inst2.dll infected by "Trojan.Win32.StartPage.vh" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:04:53 2005 => File C:\WINNT\gpedi.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:19:49 2005 => File C:\WINNT\system32\sdkfh.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:20:44 2005 => File C:\WINNT\system32\xnafl.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:20:48 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Mon Mar 21 18:29:15 2005 => File D:\Downloads\Programme komprimiert\Internet\DSL\befaster.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.

Mon Mar 21 20:15:50 2005 => File D:\System Volume Information\_restore{975CDA01-C510-4BCF-910C-95A85B17388D}\RP248\A0058605.exe infected by "not-a-virus:AdWare.Ramdud" Virus. Action Taken: No Action Taken.


Mon Mar 21 20:25:28 2005 => ***** Scanning complete. *****
Mon Mar 21 20:25:28 2005 => Total Files Scanned: 152758
Mon Mar 21 20:25:28 2005 => Total Virus(es) Found: 43
Mon Mar 21 20:25:28 2005 => Total Disinfected Files: 0
Mon Mar 21 20:25:28 2005 => Total Files Renamed: 0
Mon Mar 21 20:25:28 2005 => Total Deleted Files: 0
Mon Mar 21 20:25:28 2005 => Total Errors: 83
Mon Mar 21 20:25:28 2005 => Time Elapsed: 03:16:12
Mon Mar 21 20:25:28 2005 => Virus Database Date: 2005/03/21
Mon Mar 21 20:25:28 2005 => Virus Database Count: 122759
Mon Mar 21 20:25:28 2005 => Scan Completed.


Alt 21.03.2005, 21:44   #6
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo straightpj,

downloaden Adaware und spybot S&D, jeweils installieren und updaten.

Ebenfalls downloadenclearprog 1.4.1 final.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung:
http://www.systemwiederherstellung-d...indows-xp.html

clearprog starten --> Häckchen bei alles Löschen und auf Löschen Klicken (Temp-Ordner leer)
anschliessend alle als infected identifizierten Dateien manuell löschen, ausser die in den Ordnern "Temp" und "C:\System Volume Information\_restore"

Adaware und spybot scannen lassen und alle Funde löschen.

Papierkorb leeren

Neustart und Systemwiederherstellung aktivieren.

... sowie ein neues Logfile.

dartus
Geändert von dartus (21.03.2005 um 21:54 Uhr)

Alt 21.03.2005, 23:32   #7
straightpj
 
was soll ich nur tun? *heul* - Daumen hoch

was soll ich nur tun? *heul*


Hi Dartus!
Hast schon jetzt nen Ordnen verdient!

Hab all Deine Anweisungen genau ausgeführt.
System läuft wieder geschmeidiger und ich kann wieder meinen Explorer öffnen!
:-)

Aber ich bin gespannt, was die MWAV-logfile nun noch anzeigt wird. Ich möchte am liebsten ne Komplettsäuberung erwirken.

Ich kann die logfile aber heute nicht mehr anfertigen, da meine bessere Hälfte ihre Rechte einfordert und ich ihr mal in die Pofe folge.

Ich werde also morgen die nächst log hinzufügen.

Also erstmal bis denne
Philipp

Alt 21.03.2005, 23:57   #8
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo straightpj,

danke!

Wichtig auch noch ein HJT-Logfile, da noch mit Sicherheit etwas gefixt werden muss.

Eine Komplettreinigung geht am besten so:

http://www.trojaner-board.de/showthread.php?t=12154

Ist aber IMHO bei Dir nicht zwingend notwendig.
Die Ausarbeitung solltest Du Dir aber trotzdem beherzigen, insbesondere die 12 Punkte.

dartus

Alt 22.03.2005, 12:36   #9
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo Dartus!
Irgendwas ist wohl doch noch verdächtig.

Ich wollte alle Dateien löschen, die MWAV als vervirt angezeigt hat. Die hier folgenden sind aber nicht auffindbar ?!?! (obwohl versteckte Dateien bei mir angezeigt werden)

Hier also die MWAV-Logfile infected:

Tue Mar 22 09:26:51 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Tue Mar 22 10:05:08 2005 => File C:\WINNT\Downloaded Program Files\1014021.exe infected by "Trojan.Win32.Dialer.q" Virus. Action Taken: No Action Taken.

Tue Mar 22 10:05:08 2005 => File C:\WINNT\Downloaded Program Files\910185_413963_.exe755 infected by "Trojan.Win32.Dialer.eh" Virus. Action Taken: No Action Taken.

Tue Mar 22 10:05:08 2005 => File C:\WINNT\Downloaded Program Files\DeskAdX.dll infected by "not-a-virus:AdWare.WinAD.n" Virus. Action Taken: No Action Taken.

Tue Mar 22 10:22:53 2005 => File C:\WINNT\tluird.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

Tue Mar 22 12:19:44 2005 => ***** Scanning complete. *****
Tue Mar 22 12:19:44 2005 => Total Files Scanned: 137317
Tue Mar 22 12:19:44 2005 => Total Virus(es) Found: 20
Tue Mar 22 12:19:44 2005 => Total Disinfected Files: 0
Tue Mar 22 12:19:44 2005 => Total Files Renamed: 0
Tue Mar 22 12:19:44 2005 => Total Deleted Files: 0
Tue Mar 22 12:19:44 2005 => Total Errors: 49
Tue Mar 22 12:19:44 2005 => Time Elapsed: 02:53:20
Tue Mar 22 12:19:44 2005 => Virus Database Date: 2005/03/21
Tue Mar 22 12:19:44 2005 => Virus Database Count: 122759
Tue Mar 22 12:19:44 2005 => Scan Completed.


So und nun noch HJT:

Logfile of HijackThis v1.99.1
Scan saved at 12:33:18, on 22.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\nvsvc32.exe
d:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jenatschek1\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM aol chat messenger 5.1\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3e287833/enter.cab
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cb...standard_1.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093374130047
O17 - HKLM\System\CCS\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3650CF-5204-42AE-AE5A-D1B35F313976}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe

Alt 22.03.2005, 13:03   #10
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hallo straightpj

downloade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok
Gehe im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei

dartus

Alt 24.03.2005, 17:31   #11
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hi dArtus!
Bin jetzt endlich wieder am PC!
MWAV hat nüscht infiziertes ausgespuckt! Hab die log und die von HJT aber zur Sicherheit nochmal hierein gestellt.

MWAV:

Thu Mar 24 17:23:33 2005 => Total Files Scanned: 95402
Thu Mar 24 17:23:33 2005 => Total Virus(es) Found: 15
Thu Mar 24 17:23:33 2005 => Total Disinfected Files: 0
Thu Mar 24 17:23:33 2005 => Total Files Renamed: 0
Thu Mar 24 17:23:33 2005 => Total Deleted Files: 0
Thu Mar 24 17:23:33 2005 => Total Errors: 46
Thu Mar 24 17:23:33 2005 => Time Elapsed: 06:32:33
Thu Mar 24 17:23:34 2005 => Virus Database Date: 2005/03/21
Thu Mar 24 17:23:34 2005 => Virus Database Count: 122759

HJT:
Logfile of HijackThis v1.99.1
Scan saved at 17:24:49, on 24.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Jenatschek1\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM aol chat messenger 5.1\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3e287833/enter.cab
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/cb...standard_1.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093374130047
O17 - HKLM\System\CCS\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB3650CF-5204-42AE-AE5A-D1B35F313976}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{03D955D4-A308-4A16-9C92-916010F98CE3}: NameServer = 192.168.0.254
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe

Gruß
StraightPJ

Alt 24.03.2005, 20:04   #12
dartus
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hi straightpj,

diese Einträge im abgesicherten Modus noch fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yothz.dll/sp.html#44768
R3 - Default URLSearchHook is missing

Falls Du diese hier nicht kennst ebenfalls:
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/3e287833/enter.cab
O16 - DPF: {31865256-39E0-4E04-8682-F91F6CAD915E} (Zemoh Agent Class) - http://www.cusbrowser.com/install/c..._standard_1.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

LG
dartus

Alt 24.03.2005, 20:35   #13
straightpj
 
was soll ich nur tun? *heul* - Standard

was soll ich nur tun? *heul*


Hi Dartus!
Hab alles yunkie-like weggefixt.

Besten Dank!

Bussi
StraightPJ

Antwort

Themen zu was soll ich nur tun? *heul*
192.168.0.2, antivir update, bho, c.exe, dateien, dll, dsl, einstellungen, explorer, file missing, firefox, helper, hijack, hijackthis, internet, internet explorer, messenger, microsoft, mozilla, mozilla firefox, nvcpl.dll, nvidia, office, programme, rundll, software, temp, update, urlsearchhook, windows, windows messenger, windows xp


« PC bootet immer wieder neu | Hilfe!!!! Bloodhound.32.1 Virus !!! »


Ähnliche Themen: was soll ich nur tun? *heul*


  1. Was soll ich tun?
    Plagegeister aller Art und deren Bekämpfung - 13.09.2009 (1)
  2. Was soll ich machen
    Log-Analyse und Auswertung - 15.05.2008 (3)
  3. Brauche Hilfe bitttee ? Ich heul gleich
    Plagegeister aller Art und deren Bekämpfung - 27.04.2007 (4)
  4. Mein Pc ist verseucht Hilfe. Bitte. ich heul gleich.
    Log-Analyse und Auswertung - 05.03.2007 (6)
  5. *heul* hilfe bitte
    Log-Analyse und Auswertung - 24.10.2005 (1)
  6. Was Soll Das??
    Mülltonne - 05.09.2005 (1)
  7. habe meine fotos verschlüsselt *heul*
    Überwachung, Datenschutz und Spam - 23.07.2005 (6)
  8. *Heul*kriege den Hijack ni weg HILFE
    Plagegeister aller Art und deren Bekämpfung - 29.06.2005 (4)
  9. Was soll ich tun ?
    Log-Analyse und Auswertung - 14.05.2005 (5)
  10. Was soll ich tun?
    Log-Analyse und Auswertung - 03.04.2005 (3)
  11. Heul,Trojan.Startpage
    Plagegeister aller Art und deren Bekämpfung - 26.03.2005 (2)
  12. was soll das den?
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (2)
  13. Was soll ich da tun??
    Plagegeister aller Art und deren Bekämpfung - 21.11.2004 (10)
  14. Brauchte hilfe *heul*
    Plagegeister aller Art und deren Bekämpfung - 21.10.2004 (5)
  15. Mein Internet geht nicht mehr*heul*
    Alles rund um Windows - 13.10.2004 (5)
  16. DLDR.Startpage *heul*
    Log-Analyse und Auswertung - 24.09.2004 (17)
  17. Was soll das?
    Netzwerk und Hardware - 19.08.2003 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema was soll ich nur tun? *heul* - Hab hier ein großes Problem. Jedes Mal, wenn IE6 gestartet wird, wird eine Web-Search-Seite geöffnet. Antivir meldet sich auch: TR/Dldr.Agent.BQ Obwohl Antivir angeblich die Datei löscht, tritt das Problem jedes - was soll ich nur tun? *heul*...
Archiv
Du betrachtest: was soll ich nur tun? *heul* auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131