|
Log-Analyse und Auswertung: Popups und gelbes WarndreieckWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.04.2005, 14:14 | #16 |
| Popups und gelbes Warndreieck Die Popups kommen immer noch; so in 20 Minuten-Abständen. Ist zwar jetzt nicht besonders schlimm, nervt aber schon immer noch irgendwas draufzuhaben. Hab jetzt noch mal mit dem neuesten HiJack This ein Log gemacht: Logfile of HijackThis v1.99.1 Scan saved at 15:16:07, on 05.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe Das Fenster geht auf egal ob ich online bin oder nicht; nur das wenn offline natürlich keine Seite erscheint. |
05.04.2005, 14:27 | #17 |
| Popups und gelbes Warndreieck und wenn du dir einen popupstopper nimmst...google toolbar oder irgendeinen...alle haben popupblocker dabei...
__________________1 kannst du dennoch machen: schliese den browser, lösche temporäre internetfiles incl.offlineinhalte! leere den inhalt des ordners TEMP. (dann den papierkorb) somit sollte jeglicher temporäre unrat entfernt sein. |
05.04.2005, 14:28 | #18 |
| Popups und gelbes Warndreieck Schickst Du mir mal bitte die
__________________C:\WINNT\system32\internat.exe und C:\Programme\Winamp\winampa.exe als gezippte oder gerarte Datei mit PW an guide-alby(at)gmx.de ????? Ich schaue mir da mal was an, Gruß Andy
__________________ |
05.04.2005, 15:24 | #21 | |
| Popups und gelbes Warndreieck hatte ich eigentlich auch vermutet Zitat:
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________ --> Popups und gelbes Warndreieck |
05.04.2005, 15:36 | #22 |
| Popups und gelbes Warndreieck Dann dürfte es eigentlich nicht von Lydra sein, was ich erst dachte. LG, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
05.04.2005, 16:51 | #23 |
| Popups und gelbes Warndreieck @Gigamail Er hat sie auch mir eingesendet, auch ich habe nix gefunden.... Nun kann man mehr oder minder nach dem Ausschlußverfahren arbeiten....*seufz*
__________________ Fragen, die die Welt nicht braucht (oder doch ?) Wie setze ich mein System neu auf ? |
05.04.2005, 20:23 | #24 |
| Popups und gelbes Warndreieck Ist das hier vielleicht was (konnte Escan nicht öffnen): Scanning File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe Result: ERROR!!! File C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe is Not Scanned C:\DOKUME~1\ITTERM~1\LOKALE~1\Temp\pbbo.exe not Scanned. Possibly password protected.. Ansonsten wie gesagt nur das hier: Scanning File C:\WINNT\system32\JAVASUP.VXD => Offending value found in HKCU\Software\VB and VBA Program Settings !!! => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. |
05.04.2005, 21:21 | #25 |
| Popups und gelbes Warndreieck die kannst du löschen und zwar so: Windowstaste+R --> %temp% --> enter inhalt löschen Windowstaste+R --> temp --> enter inhalt löschen |
05.04.2005, 21:28 | #26 |
| Popups und gelbes Warndreieck Hab ich gemacht. Wenn ich mir die Favoriten von den Ordnern anschaue steht da sohn Schrott von wegen Adult,Cars und ähnliches. Wie lösche ich den Schrott??? |
06.04.2005, 01:20 | #27 |
| Popups und gelbes Warndreieck So hab jetzt mal E-Scan im Safe-Modus drüberlaufen lassen. Er findet folgendes: Wed Apr 06 02:14:11 2005 => Total Objects Scanned: 142254 Wed Apr 06 02:14:11 2005 => Total Virus(es) Found: 3 Wed Apr 06 02:14:11 2005 => Total Disinfected Files: 0 Wed Apr 06 02:14:11 2005 => Total Files Renamed: 0 Wed Apr 06 02:14:11 2005 => Total Deleted Objects: 0 Wed Apr 06 02:14:11 2005 => Total Errors: 2 Wed Apr 06 02:14:11 2005 => Time Elapsed: 02:29:01 Errors: Wed Apr 06 00:10:05 2005 => Scanning File C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip Wed Apr 06 00:10:05 2005 => Result: ERROR!!! File C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip is Not Scanned Wed Apr 06 00:10:05 2005 => C:\Programme\1&1 Internet\Profi-Dialer\timetable.zip not Scanned. Possibly password protected... Wed Apr 06 00:10:02 2005 => Scanning File C:\pagefile.sys Wed Apr 06 00:10:02 2005 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!! Wed Apr 06 00:10:02 2005 => ERROR!!! ScanFile fails for C:\pagefile.sys Infected: Tue Apr 05 23:45:20 2005 => Scanning File C:\WINNT\system32\JAVASUP.VXD Tue Apr 05 23:45:21 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!! Tue Apr 05 23:45:22 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken. Tue Apr 05 23:45:22 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. Wed Apr 06 01:42:33 2005 => Scanning File D:\Cafe Domino\mirc616.exe Wed Apr 06 01:42:33 2005 => File D:\Cafe Domino\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. Wed Apr 06 00:10:03 2005 => Scanning File C:\program files\mIRC\mirc.exe Wed Apr 06 00:10:03 2005 => File C:\program files\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. Was soll ich mit den gefundenen Files machen? |
06.04.2005, 11:19 | #28 |
| Popups und gelbes Warndreieck Hat irgendjemand noch eine Idee, woher diese Popups in ca. 20 minütigen Abständen herkommen??? Und was ist mit diesem "VB and VBA Program Settings Spyware/Adware" Virus??? Ist das jetzt wirklich einer??? Soll ich den löschen??? |
06.04.2005, 14:54 | #30 |
| Popups und gelbes Warndreieck Die Beiden haben auch nix gefunden. Ich poste nochmal ein HJT; vielleicht findet ja einer noch was. Logfile of HijackThis v1.99.1 Scan saved at 15:57:25, on 06.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Ittermann\Desktop\Virenkiller\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe |
Themen zu Popups und gelbes Warndreieck |
1.exe, adobe, als startseite, bho, button, dateien, desktop, drivers, einstellungen, excel, explorer, icq, icqtoolbar, internet, internet explorer, microsoft, nvcpl.dll, office, popups, problem, programme, rundll, rundll32.exe, seite, software, system, system32, update, urlsearchhook, usb, windows |