|
Log-Analyse und Auswertung: Trojaner VX2 + Solutions180Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.03.2005, 15:38 | #1 |
| Trojaner VX2 + Solutions180 Hallo zusammen, ich bin zur Zeit im Ausland tätig und die wenige Zeit zuhause muss ich doch tatsächlich damit verbringen, zu versuchen einen Hijacker von meinem System zu eliminieren. ÄRGERLICH!!! Wie gesagt, ich versuche! ... komme aber nicht wirklich klar und habe in meinem Explorer (egal ob IE oder Firefox) ständig die <lb3.netster/..> Startseite. Mit ad-aware, AntivirXP, Spybot und CWshredder (in den aktuellsten Versionen) kam ich nicht weiter! Heute habe ich escan 5.1.4 im abgesicherten Modi drüber lauen lassen und das hat mir "180solution/Spyware" und "VX2/Spyware" angezeigt. Hier mein Hijack-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:11:02, on 28.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Download\HijackThis19802.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html Das Blöde an der Sache ist natürlich auch, dass ich von der besagten Startseite nicht wegkomme, also online nur über einen Zweitrechner verfüge. Mit dem verseuchten Laptop kann ich machen was ich will, jeder Link bringt mich auf die lb3.netster Seite. Bin Euch für Hilfe ewig dankbar! Gruss Jörg |
28.03.2005, 15:51 | #2 |
| Trojaner VX2 + Solutions180 Also deine Logfile sieht sauber aus
__________________Aber du besitzt eine alte HijackThis Version Bitte lade dir hier die neuste runter |
28.03.2005, 15:52 | #3 |
| Trojaner VX2 + Solutions180 Erstelle erneut einen Log mit der aktuellen Verson von Hijackthis.
__________________Direktdownload Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
__________________ |
28.03.2005, 16:00 | #4 |
| Trojaner VX2 + Solutions180 Ok, hier die aktuelle Version: Logfile of HijackThis v1.99.1 Scan saved at 16:57:16, on 28.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE c:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Joerg\LOKALE~1\Temp\Rar$EX00.219\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.unmik.net:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe |
28.03.2005, 16:02 | #5 |
| Trojaner VX2 + Solutions180 Und bitte noch die Logdatei von Escan. Habs dir oben beschrieben, wie du sie findest
__________________ Only cronos endures |
28.03.2005, 16:06 | #6 |
| Trojaner VX2 + Solutions180 Log schaut sauber aus, aber 1.) Java ist veraltet 2.) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = proxy2.unmik.net:80 kenne ich nicht. 3.) Leere mal alle Temp Dateien (System-Temp, TIFs des IE Cache von Firefox z.B. mit www.clearprog.de) 4.) eScan Infos posten 5.) evtl mal den Inhalt der Hosts-Datei posten: Win-Taste + R -> "notepad c:\windows\system32\drivers\etc\hosts" (ohne "")-> Enter-> Inhalt ins Forum kopieren |
28.03.2005, 16:25 | #7 |
| Trojaner VX2 + Solutions180 Ist heute nicht mein Tag! Gerade eben ist mein Internetverbindungsrechner, mein alter zuverlässiger Athlon 500, mit einem Bluescreen "hardware-malfunction" abgestürzt! Ich habe ihn aber wieder zum Laufen gebracht. Die eScan Ergebnisse deshalb etwas verspätet: Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Könnt ihr damit was anfangen? |
28.03.2005, 16:38 | #8 |
| Trojaner VX2 + Solutions180 Hosts Inhalt, wie unten beschrieben: # Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost |
28.03.2005, 16:42 | #9 | ||||
| Trojaner VX2 + Solutions180 Poste bitte folgendes aus der mwav.log (steht ganz am Ende): Zitat:
Zitat:
Zitat:
Zitat:
Win-Taste + R -> regedit-> Enter -> HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{30D02401-6A81-11D0-8274-00C04FD5AE38} sicher bin ich mir aber auch da nicht. EDIT: sollte auch gutartig sein: http://msdn.microsoft.com/workshop/b...browserbar.asp Hosts-Datei schaut gut aus. Geändert von Haui45 (28.03.2005 um 16:54 Uhr) |
28.03.2005, 16:55 | #10 |
| Trojaner VX2 + Solutions180 Haui45: Mon Mar 28 15:56:24 2005 => Total Objects Scanned: 2391 Mon Mar 28 15:56:24 2005 => Total Virus(es) Found: 2 Mon Mar 28 15:56:24 2005 => Total Disinfected Files: 0 Mon Mar 28 15:56:24 2005 => Total Files Renamed: 0 Mon Mar 28 15:56:24 2005 => Total Deleted Objects: 0 Mon Mar 28 15:56:24 2005 => Total Errors: 0 Mon Mar 28 15:56:24 2005 => Time Elapsed: 00:02:11 Mon Mar 28 16:09:29 2005 => Virus Database Date: 2005/03/28 Mon Mar 28 16:09:29 2005 => Virus Database Count: 123725 Wenn ich meine XP CD da hätte würde ich das Ding plattmachen. Nervig, nervig! Aber die CD liegt etwa 2000 Km entfernt von hier! |
28.03.2005, 20:16 | #12 |
| Trojaner VX2 + Solutions180 So, jetzt sieht das mit dem eScan doch etwas anders aus. Sorry. Wie rücke ich dem(n) Problem(en) jetzt zu Leibe? Mon Mar 28 15:07:42 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 15:07:42 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 15:07:42 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:23:59 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 18:23:59 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:23:59 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 18:23:59 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:48:01 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken. Mon Mar 28 18:48:01 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 18:48:01 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken. Mon Mar 28 18:48:01 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken. Mon Mar 28 19:21:05 2005 => File C:\Dokumente und Einstellungen\Joerg\Eigene Dateien\UNMIK\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNAFS.EXE.VIR Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNIQUE.EXE.VIR Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UNSHADOW.EXE.VIR Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006087.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken. Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005825.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR Mon Mar 28 19:35:27 2005 => File C:\Programme\AVPersonal\INFECTED\A0005826.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:27 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\LSAEXT.DLL.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:35:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR Mon Mar 28 19:35:28 2005 => File C:\Programme\AVPersonal\INFECTED\PWSERVICE.EXE.VIR tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 19:59:11 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP25\A0004186.exe tagged as not-a-virus:RiskWare.PSWTool.Lopht.205b. No Action Taken. Mon Mar 28 20:05:12 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006085.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mon Mar 28 20:05:13 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP39\A0006089.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 20:07:29 2005 => File C:\System Volume Information\_restore{6B916A41-8485-4A6A-BC69-669605E696B1}\RP41\A0006401.exe tagged as not-a-virus:RiskWare.PSWTool.PWDump3. No Action Taken. Mon Mar 28 20:38:08 2005 => Total Objects Scanned: 47778 Mon Mar 28 20:38:08 2005 => Total Virus(es) Found: 13 Mon Mar 28 20:38:08 2005 => Total Disinfected Files: 0 Mon Mar 28 20:38:08 2005 => Total Files Renamed: 0 Mon Mar 28 20:38:08 2005 => Total Deleted Objects: 0 Mon Mar 28 20:38:08 2005 => Total Errors: 8 Mon Mar 28 20:38:08 2005 => Time Elapsed: 01:55:08 Mon Mar 28 20:38:08 2005 => Virus Database Date: 2005/03/28 Mon Mar 28 20:38:08 2005 => Virus Database Count: 123725 Mon Mar 28 20:38:08 2005 => Scan Completed. |
29.03.2005, 16:00 | #13 |
| Trojaner VX2 + Solutions180 Würde mich auch interessieren meine Schwester hat genau die gleiche auf ihrem PC... |
29.03.2005, 16:34 | #14 |
| Trojaner VX2 + Solutions180 @DONE Ich weiss leider auch nicht mehr weiter. Beim "richtigen" umfassenden Scan mit eScan wurde auch der Eintrag "HackTool.Win32.John" Virus gefunden. Wie dem auch sei, ich komme da nicht weiter. Ständig die Startseite lb3/netster.., andere Zugriffe sind nicht mehr möglich. Ich weiss nicht genau, werde aber mal versuchen mit einer Start-CD den Systemstart von XP zu umgehen und dann mit den versch. Virenescannern versuchen, was zu erreichen. Wenn das micht klappt ---> Plattmachen. Ist für mich aber, da ich wieder ins Ausland muss, die umständlichste Art. Frage: Macht es Sinn die HJT Log von DONE hier zu posten um evtl. mit meiner zu vergleichen? Ich bin mir letztlich immer noch nicht im klaren, welche(r) Virus/en hier sein Unwesen treibt. |
Themen zu Trojaner VX2 + Solutions180 |
acrobat, ad-aware, adobe, avgnt.exe, bho, ctfmon.exe, download, escan, explorer, firefox, google, hijackthis, internet, internet explorer, laptop, microsoft, online, programme, software, spybot, system, system32, trojaner, windows, windows xp |