| |
| |||||||
Log-Analyse und Auswertung: Free Browser Plugin????Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
30.03.2005, 12:23
| #1 |
| |  Free Browser Plugin???? Hallo! Hab mal wieder ein Problem. Auf meinem Rechner erscheint in kürzeren Abständen eine Sicherheitswarnung zur Installation eines "Free Browser Plugins". Schein mit dem Media Player in Verbindung zu stehen, denn sobald ich auf Abbrechen gehe, startet dieser. Hier meine Log-File: Logfile of HijackThis v1.99.1 Scan saved at 13:17:35, on 30.03.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\DITASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\CREATIVE\SHAREDLL\AHQ\CTMIX32.EXE C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\PROGRAMME\USB FLASHDISK\UFD UTILITY 2003\UFDLMON.EXE C:\PROGRAMME\USB FLASHDISK\UFD UTILITY 2003\UFDTOOL.EXE D:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOL PRIVACY PROTECTION\AOLSP SCHEDULER.EXE C:\WINDOWS\ANWENDUNGSDATEN\TAAS.EXE C:\WINDOWS\SYSTEM\UMVONJ.EXE C:\PROGRAMME\STEGANOS ANTISPYWARE 7\ASPY7.EXE D:\AOL 9.0\AOLTRAY.EXE D:\CASIO\PLAUTO.EXE C:\PALM\HOTSYNC.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE D:\AOL 9.0\WAOL.EXE D:\AOL 9.0\SHELLMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\DESKTOP\TREIBER\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure O2 - BHO: (no name) - {D1575E19-C8D7-FD2C-FE79-C8C9DEC06E92} - C:\WINDOWS\SYSTEM\WWK.DLL O2 - BHO: (no name) - {845F5E12-C6DF-AA2F-FE79-C8C9DEC06E93} - C:\WINDOWS\SYSTEM\WWK.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [DiTask] C:\WINDOWS\ditask.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\ShareDLL\AHQ\CTMIX32.EXE /T O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE O4 - HKLM\..\Run: [UFD Monitor9382] C:\Programme\USB FlashDisk\UFD Utility 2003\ufdlmon.exe O4 - HKLM\..\Run: [UFD Utility9382] C:\Programme\USB FlashDisk\UFD Utility 2003\UFDTool.exe O4 - HKLM\..\Run: [AOL Spyware Protection] "D:\PROGRA~1\GEMEIN~1\AOL\AOLPRI~1\AOLSP Scheduler.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - HKCU\..\Run: [Nwap] C:\WINDOWS\Anwendungsdaten\taas.exe O4 - HKCU\..\Run: [Upm] C:\WINDOWS\SYSTEM\umvonj.exe O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\ASPY7.EXE" /0 O4 - Startup: AOL 9.0 Tray-Symbol.lnk = D:\AOL 9.0\aoltray.exe O4 - Startup: Photo Loader resident.lnk = D:\Casio\Plauto.exe O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O12 - Plugin for .int/comm/eurostat/Public/datashop/print-product/DE?catalogue=Eurostat&product=KS-PB-04-001-__-N-DE&mode=download: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM) O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/...npseatools.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net Wäre toll, wenn mir jemand helfen könnte. Danke im voraus. |
|
30.03.2005, 14:19
| #2 |
 | Free Browser Plugin???? Hallo yakuzza,
__________________führe bitte dies mal aus: 1. Downloade Dir escan und befolge genau diese Anleitung (Ordner "c:\bases" erstellen, die mwav.exe dorthin entpacken, mit kavupd.exe updaten, dann im ABGESICHERTEN MODUS scannen, Optionen "All local Drices" sowie "Scan all"), 2. starte nach dem Scan wieder in den normalen Modus dauert, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
|
01.04.2005, 14:07
| #3 |
| | Free Browser Plugin???? Hallo!
__________________Hab den Scan durchgeführt. Hier das Ergebnis: => File C:\WINDOWS\SYSTEM\WWK.DLL infected by "not-a-virus:AdWare.PurityScan.ak" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\Anwendungsdaten\taas.exe infected by "not-a-virus:AdWare.PurityScan.v" Virus. Action Taken: No Action Taken. => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken. => File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken. => System found infected with Bargain Buddy Spyware/Adware ({8eee58d5-130e-4cbd-9c83-35a0564e2468})! Action taken: No Action Taken. => File System Found infected by "Bargain Buddy Spyware/Adware" Virus. Action Taken: No Action Taken. System found infected with Bargain Buddy Spyware/Adware ({c6906a23-4717-4e1f-b6fd-f06ebed15678})! Action taken: No Action Taken => File System Found infected by "Bargain Buddy Spyware/Adware" Virus. Action Taken: No Action Taken. => System found infected with Bargain Buddy Spyware/Adware ({8eee58d5-130e-4cbd-9c83-35a0564e5678})! Action taken: No Action Taken => File System Found infected by "Bargain Buddy Spyware/Adware" Virus. Action Taken: No Action Taken. => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! => File System Found infected by "180Solutions Spyware/Adware" Virus => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! => File System Found infected by "VX2 Spyware/Adware" Virus => File C:\WINDOWS\sb.exe infected by "Trojan-Downloader.Win32.Small.il" Virus => File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Agent.eq" Virus => File C:\WINDOWS\scins.exe infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\msopt.dll infected by "Trojan-Downloader.Win32.Small.qr" Virus => File C:\WINDOWS\digfilt.dll infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\digfilt2.dll infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\SYSTEM\addpe32.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus => File C:\WINDOWS\SYSTEM\ipfo.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus => File C:\WINDOWS\SYSTEM\appsys.exe infected by "Trojan-Dropper.Win32.Delf.cj" Virus => File C:\WINDOWS\TEMP\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. => File C:\WINDOWS\TEMP\!update.exe infected by "not-a-virus:AdWare.PurityScan.v" Virus => File C:\WINDOWS\TEMP\sidefind.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus => File C:\WINDOWS\SYSTEM\addpe32.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus => File C:\WINDOWS\SYSTEM\ipfo.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus. => File C:\WINDOWS\SYSTEM\appsys.exe infected by "Trojan-Dropper.Win32.Delf.cj" Virus => File C:\WINDOWS\SYSTEM32\windrv.dll infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\SYSTEM32\scagent.exe infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\TEMP\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus => File C:\WINDOWS\TEMP\!update.exe infected by "not-a-virus:AdWare.PurityScan.v" Virus. => File C:\WINDOWS\TEMP\sidefind.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. 2005 => File C:\WINDOWS\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat infected by "Trojan.Win32.Dialer.fy" Virus. => File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus => File C:\WINDOWS\sb.exe infected by "Trojan-Downloader.Win32.Small.il" Virus. => File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.Agent.eq" Virus => File C:\WINDOWS\scins.exe infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\msopt.dll infected by "Trojan-Downloader.Win32.Small.qr" Virus => File C:\WINDOWS\digfilt.dll infected by "Trojan.Win32.Scagent.c" Virus => File C:\WINDOWS\digfilt2.dll infected by "Trojan.Win32.Scagent.c" Virus => File C:\Program Files\Windows Media Player\dlexport.exe infected by "Trojan-Downloader.Win32.Agent.cb" Virus => File C:\Program Files\Windows Media Player\wmplayer.exe infected by "Trojan-Downloader.Win32.Small.apm" Virus => File C:\w32_API.cab infected by "Trojan-Downloader.Win32.Agent.cb" Virus. => File C:\yqjgec.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus Wed Mar 30 17:41:26 2005 => ***** Checking for specific ITW Viruses ***** Wed Mar 30 17:41:26 2005 => Checking for Welchia Virus... Wed Mar 30 17:41:26 2005 => Checking for LovGate Virus... Wed Mar 30 17:41:26 2005 => Checking for CodeRed Virus... Wed Mar 30 17:41:26 2005 => Checking for OpaServ Virus... Wed Mar 30 17:41:26 2005 => Checking for Sobig.e Virus... Wed Mar 30 17:41:26 2005 => Checking for Winupie Virus... Wed Mar 30 17:41:26 2005 => Checking for Swen Virus... Wed Mar 30 17:41:26 2005 => Checking for JS.Fortnight Virus... Wed Mar 30 17:41:26 2005 => Checking for Novarg Virus... Wed Mar 30 17:41:26 2005 => Checking for Pagabot Virus... Wed Mar 30 17:41:27 2005 => Checking for Parite.b Virus... Wed Mar 30 17:41:27 2005 => Checking for Parite.a Virus... Wed Mar 30 17:41:27 2005 => ***** Scanning complete. ***** Wed Mar 30 17:41:27 2005 => Total Objects Scanned: 34147 Wed Mar 30 17:41:27 2005 => Total Virus(es) Found: 43 Wed Mar 30 17:41:27 2005 => Total Disinfected Files: 0 Wed Mar 30 17:41:27 2005 => Total Files Renamed: 0 Wed Mar 30 17:41:27 2005 => Total Deleted Objects: 0 Wed Mar 30 17:41:27 2005 => Total Errors: 1 Wed Mar 30 17:41:27 2005 => Time Elapsed: 01:00:48 Wed Mar 30 17:41:27 2005 => Virus Database Date: 2005/03/30 Wed Mar 30 17:41:27 2005 => Virus Database Count: 124022 Wed Mar 30 17:41:27 2005 => Scan Completed. Wed Mar 30 17:44:35 2005 => Virus Database Date: 2005/03/30 Wed Mar 30 17:44:35 2005 => Virus Database Count: 124022 Wed Mar 30 17:44:49 2005 => AV Library Unloaded (3)... So, das war alles?!?  Ich hoffe, es kann jemand etwas damit anfangen. Vielen Dank. |
|
01.04.2005, 18:24
| #4 |
| | Free Browser Plugin???? Hallo yakuzza, die "015"-Einträge bekommst Du wie folgt weg: http://www.trojaner-board.de/showpos...6&postcount=31 downloade Dir adaware und spybot S&D. Installieren und updaten. Wechsel in den abgesicherten Modus. http://www.systemwiederherstellung-d...indows-xp.html Leere den "Windows/Temp"-Ordner. Deinstalliere über Systemsteuerung/Software ---> Windows Media Player Adaware und spybot nacheinander scannen lassen und alle Funde löschen. Lösche alle anderen Funde (Escan) manuell und ebenfalls: (Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken) c:\ied_s7.cab c:\wx.cab Falls diese Dateien unbekannt sind ebenfalls: C:\WINDOWS\SYSTEM\UMVONJ.EXE (über Eigenschaften der Datei feststellbar) C:\WINDOWS\ANWENDUNGSDATEN\TAAS.EXE (dito) Falls Du Dateien nicht finden kannst: Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok Navigiere im linken Fenster zum entsprechenden Ordner (markieren -> F8 -> JA) die beanstandete Datei Lass Scan nochmal laufen und lösche die Funde. Leere Deinen Papierkorb System herunterfahren --> Neustart --> HJT-Logfile posten dartus Geändert von dartus (01.04.2005 um 18:31 Uhr) |
|
08.04.2005, 13:09
| #5 |
| | Free Browser Plugin???? Hallo Dartus! Bin nach der Anweisung vorgegangen. Vielen Dank. Hoffe, dass ich alles erwischt habe. Hier meine Logfile: PHP-Code: Gruß! Yakuzza |
|
08.04.2005, 16:36
| #6 |
| | Free Browser Plugin???? Hallo yakuzza, fixe mit HJT folgende Einträge: O2 - BHO: (no name) - {8E8E2DC1-E202-D8F3-2454-EA5B57296197} - C:WINDOWSSYSTEMFBCSHYYP.DLL (file missing) O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-611111193457} - file://c:\wx.cab O16 - DPF: {11111111-1111-1111-1111-611111193458} - file://c:\wx.cab Hast Du diese Dateien gelöscht? c:\ied_s7.cab c:\wx.cab dartus |
|
09.04.2005, 09:55
| #7 |
| | Free Browser Plugin???? Hallo Dartus! Alles erledigt. Die angegebenen Dateien waren auch gelöscht. Vielen Dank für die Hilfe. Dietrich |
|
| Themen zu Free Browser Plugin???? |
| antispyware, bho, browser, button, dateien, desktop, download, explorer, free, helfen, hijack, hijackthis, installation, internet, internet explorer, log-file, microsoft, privacy protection, programme, registry, rundll, rundll32.exe, sicherheitswarnung, software, spyware protection, system, treiber, windows |
Linear-Darstellung
