|
Log-Analyse und Auswertung: Es wird immer schlimmer ....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.04.2005, 19:17 | #1 |
| Es wird immer schlimmer .... Hallo nochmal allerseits, zur Erinnerung, die letzten Tage gab es Probleme mit der Startseite, siehe http://www.trojaner-board.de/showthread.php?t=16353. Leider ohne Erfolg. Die Startseite ändert sich nach wie vor, wenn die Netzwerkumgebung, bzw Router aktiviert sind. Doch heute plötzlich eine heftige Attake aus heiterem Himmel, AntiVir hat gar nicht mehr aufgehört, Meldungen abzusetzen. Ich habe jedesmal überschreiben und löschen angeklickt. Hier die altuellen Files (aus dem abgesicherten Modus ohne Netzwerkumgebung): Logfile of HijackThis v1.99.1 Scan saved at 19:05:58, on 10.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Programme\Microsoft AntiSpyware\gcASCleaner.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Und E scan: File System Found infected by "istsvc Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "ist Spyware/Adware" Virus. Action Taken: No Action Taken. File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\wp\LOKALE~1\TEMPOR~1\Content.IE5\WXSB8N4F\ysb[1].dll infected by "not-a-virus:AdWare.ToolBar.YourSiteBar.c" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\efefe.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\wp\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WXSB8N4F\ysb[1].dll infected by "not-a-virus:AdWare.ToolBar.YourSiteBar.c" Virus. Action Taken: No Action Taken. Jetzt weiß ich wirklich nicht mehr weiter. Währen ich online bin will sich nach wie vor die Startseite ändern, und währen ich hier diese Zeilen schreibe taucht eine Virenwarnung auf (Antivir: TR/Dldr/st/Bar.AB.2) und Microsofts Scanner meldet Zugriffsversuch Active X von http://67.19.178.86/1/rdgDE1742.exe. Jemand noch eine Idee??? Der Verzweiflung nahe, maxmax |
12.04.2005, 16:44 | #2 |
| Ein Wunder ist geschehen ????? Hallo nochmal allerseits,
__________________zur Erinnerung, die letzten Tage gab es Probleme mit der Startseite, siehe http://www.trojaner-board.de/showthread.php?t=16353. bzw. http://www.trojaner-board.de/showthread.php?t=16500 So gestern haben wir die update 2 CD von Microsoft bekommem, die ich aufgrund des Tips von dartus organisiert habne. Nach dem aufspielen waren sämtliche Attaken, Startseitenwechsel usw. plötzlich komplett weg. Das als Tipp für alle, die sich noch nicht auf Update 2 umgestellt haben. Oder täuscht der Friede? Hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:43:14, on 12.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\F-Secure Internet Security\fswsclds.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVSCHED32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\UltimateZip\uzqkst.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quotecenter.de/lang/pwatc...lus=0.69588881 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Startup: PowerReg Scheduler.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Programme\Surfapps.com\PopThis! Free Version\PopThis.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3DA440E6-EB62-4D21-BD27-050F452902EC}: NameServer = 10.0.1.101 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe Sieht jemand noch etwas? Gruß und Dank nochmal an alle Helfer maxmax |
12.04.2005, 17:05 | #3 |
Administrator, a.D. | Es wird immer schlimmer .... Dein Log-File sieht soweit in Ordnung aus.
__________________Hast du eigentlich die von eScan beanstandeten Dateien entfernt? Ein abschliessender Scan mit eScan könnte imho nicht schaden. Ansonsten klicke auf den 'Neuaufsetzen-Link' und lese die Links unter 'Lesenswerte Lektüre...' und handle danach.
__________________ |
12.04.2005, 20:17 | #4 |
| Es wird immer schlimmer .... Hallo, ja, hatte die Dateien alle entfernt, incl. Papierkorbleeren. Wie beschrieben, ich hatte den Eindruck, daß sich die angezeigten Dateien umgewandelt hatten. Aber egal, unsere Kiste läuft einwandfrei, keine Änderungen, kein Virenalarm. SP 2 sei Dank. E-Scan aschließend (abgesicherter Modus): File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\ra-s45a1.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\DesktopLager\setupfrg.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.bin tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida32.exe tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File C:\Dokumente und Einstellungen\wp\Desktop\Downloads Desktop\Aida Systemdiagnose\aida32ee_393\aida_directx.dll tagged as not-a-virus:RiskWare.Tool.AIDA.3862. No Action Taken. File E:\Neu Aktenkoffer\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\SoftwareDownloads\Downloads\vnc_x86_win32\vncviewer\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. File E:\SoftwareDownloads\WOLFS_TO\9_TOOLS\WIN_RAR_\PATCH.EXE tagged as not-a-virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken. File F:\Backup Juli 2004\Downloads\vnc_x86_win32\vncviewer\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. File F:\Backup08062004\Büro\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\BACKUP_Rechner2002\Downloads_Büro\eurot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Hm, was bedeutet "virus:FalseAlarm.DrWeb.Backdoor.Theef.111. No Action Taken." gruß mamax |
12.04.2005, 20:40 | #5 |
| Es wird immer schlimmer .... @maxmax was bedeutet "virus:FalseAlarm.DrWeb.Backdoor.Theef.111. liest sich wie ein fehlalarm ab und zu diese ordner leeren Temporary Internet Files Leere diese Ordner: C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp C:\WINDOWS\Downloaded Program Files C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files chaosman
__________________ Bonus vir semper tiro |
12.04.2005, 21:08 | #6 |
| Es wird immer schlimmer .... mach ich. Danke Euch allen für die Mühen. Hoffentlich nicht bis zum nächstenmal! Gruß maxmax |
12.04.2005, 21:22 | #7 |
| Es wird immer schlimmer .... Ich würde an deiner Stelle mal die Systemwiederherstellung deaktivieren, einen Neustart durchführen und dann bei bedarf die Systemwiederherstellung wieder aktivieren
__________________ Meckern tut gut, Nett sein kann jeder! |
Themen zu Es wird immer schlimmer .... |
abgesicherten modus, adobe, adobe reader, antispyware, antivir, antivir update, asus, avgnt.exe, bho, computer, content.ie5, desktop, einstellungen, explorer, f-secure, firewall, hijack, hijackthis, infected, internet, internet explorer, internet security, löschen, netzwerkumgebung, programme, router, security, security center, software, system, warnung, windows, windows security, windows xp, ändern |