|
Log-Analyse und Auswertung: Hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.04.2005, 15:54 | #1 |
| Hilfe!!! Ich bin eine absolute Computerniete - so viel vorneweg, um euch vorzuwarnen. In letzter zeit ahbe ich zwei Probleme: 1) Verknüpfungen, Programme, Dateien etc. sind plötzlich weg. ich weiß nicht wie ich das sagen soll... So ist Mozilla Firefox zwar noch da, aber ich kann ihn nicht öffnen. Was ist das?? 2) Mein AntiVIr - Guard meldet mir immer wieder, dass in "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll" ein Trojaner hockt. Nämlich: "TR/StartPage.qr.dll" Ich habe "Hijackthis" heruntgeladen, da ich im internet den Hinweis gefunden habe, dass ich das brauche, zum entfernen. Ich habe also gescannt und alle mit se.dll durch Neustart entfernen wollen. Jedoch weiß ich ncith, ob sich da wirklich was getan hat, er hat wzar neu gestartet, aber es ist ekiN programm zum Löschen hochgefahren oder so... Na ja, dann habe ich sie mal nur gefixt, aber sie sind immer noch da... Ich kopier mal das Logfile hier rein udn hoffe,d ass ihr mir helfen könnt... Logfile of HijackThis v1.99.1 Scan saved at 16:53:43, on 17.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\userinit32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\OpenOffice.org1.1.4\program\soffice.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis_199.zip\HijackThis.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Microsoft AntiSpyware\gcasServAlert.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {13EA1A5E-59CC-49A3-98A6-B2DEB7462479} - C:\WINDOWS\System32\ibld.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{30F5FB8B-0132-4152-B9E6-03A86EA4F566}: NameServer = 217.237.150.141 217.237.150.97 O18 - Filter: text/html - {E83F2812-7689-486D-858A-8A77A8136BF4} - C:\WINDOWS\System32\ibld.dll O18 - Filter: text/plain - {E83F2812-7689-486D-858A-8A77A8136BF4} - C:\WINDOWS\System32\ibld.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
17.04.2005, 16:07 | #2 |
| Hilfe!!! @Christoph15
__________________als erstes: Bleibe bitte in einen thread. Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) dein system ist völlig veraltet, also update system und IE ASAP danach das hier downloaden und laufen lassen. dann ein neues HJT logfile posten chaosman
__________________ |
17.04.2005, 16:44 | #3 |
| Hilfe!!! Wie, ine inem Thread bleiben??! Waqs meinst du??
__________________Eigentlich nehme ich ja gar keinen IE, sondern Firefox...Geht das nicht? |
17.04.2005, 16:51 | #4 |
| Hilfe!!! @Christoph15 es reicht um alles in einen thread zu fragen. http://www.trojaner-board.de/showthread.php?t=16766 Eigentlich nehme ich ja gar keinen IE, sondern Firefox...Geht das nicht? zum windows und IE updaten benützt man den IE, würde ich an deiner stelle mal ASAP machen. Mit firefox kannst du dein system nicht updaten. chaosman
__________________ Bonus vir semper tiro |
18.04.2005, 11:11 | #5 |
| Hilfe!!! Der andere Thread war doch auch was anderes... Okay, mit System auf den neuesten Stand bringen meinst du, ich soll mir den Service Pack 2 runterladen, oder? Entschuldigt bitte mein Unwissen. |
18.04.2005, 13:04 | #6 |
| Hilfe!!! Habe mir das ASPA runtergeladen und woltle es installieren, da kam das: Error 1931: Der Windows Installer-Dienst kann die Systemdatei C:\WINDOWS\Sstem32\itircl.dll nicht aktuallisieren, weil die Datei von Windows geschützt wird. Sie müssen möglicherweiße Ds Betriebsystem aktalisieren, damitt dieses Programm korrekt funktionieren kann. |
18.04.2005, 17:35 | #7 |
Administrator, a.D. | Hilfe!!! Zwei Threads mit fast gleichen Inhalt zu erstellen macht keinen Sinn und verärgert nur die Regulars! Entscheide dich nun für diesen Thread. Führe dies aus -> http://www.trojaner-info.de/anleitun...out_blank.html Scanne anschliessend mit eScan AntiVirus im abgesicherten Modus wie beschrieben und entferne die restliche Malware manuell. Poste danach ein aktuelles HJT Log-File. |
23.04.2005, 18:03 | #8 |
| Hilfe!!! Ich hab jetzt das System aktuallisiert und das Ding heruntergeladen hier das LOgfile. Das ist alles: (23.4.05 19:00:29) SPSeHjFix started v1.1.2 (23.4.05 19:00:29) OS: WinXP Service Pack 2 (5.1.2600) (23.4.05 19:00:29) Language: deutsch (23.4.05 19:00:29) Win-Path: C:\WINDOWS (23.4.05 19:00:29) System-Path: C:\WINDOWS\system32 (23.4.05 19:00:29) Temp-Path: C:\DOKUME~1\Besitzer\LOKALE~1\Temp\ (23.4.05 19:00:33) Disinfection started (23.4.05 19:00:33) Bad-Dll(IEP): (not found) (23.4.05 19:00:33) Bad-Dll(IEP) in BHO: (not found) (23.4.05 19:00:33) UBF: 4 - UBB: 1 - UBR: 8 (23.4.05 19:00:33) UBF: 4 - UBB: 1 - UBR: 8 (23.4.05 19:00:33) Bad IE-pages: (none) (23.4.05 19:00:33) Stealth-String not found (23.4.05 19:00:33) Not infected->END Ist so wenig....also nochmal mit dem alten programm: Logfile of HijackThis v1.99.1 Scan saved at 19:03:27, on 23.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\userinit32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\OpenOffice.org1.1.4\program\soffice.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 13 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{30F5FB8B-0132-4152-B9E6-03A86EA4F566}: NameServer = 217.237.150.141 217.237.150.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
23.04.2005, 19:03 | #9 |
| Hilfe!!! @Christoph15 lasse diese datei C:\WINDOWS\system32\userinit32.exe ASAP überprüfen http://virusscan.jotti.org/de/ und poste das ergebnis chaosman
__________________ Bonus vir semper tiro |
23.04.2005, 23:41 | #10 |
| Hilfe!!! Datei: userinit32.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: EXESTEALTH AntiVir Worm/RBot.139684 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Backdoor.RBot.4A4692EE gefunden ClamAV Keine Viren gefunden Dr.Web Win32.HLLW.MyBot.based gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/RBot.B711 gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden mks_vir Trojan.Rbot.A11 gefunden NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante) Norman Virus Control Sandbox: W32/Malware; [ General information ] * **Locates window "NULL [class mIRC]" on desktop. * File length: 139684 bytes. [ Changes to filesystem ] * Creates file C:\WINDOWS\SYSTEM\userinit32.exe. * Deletes file 1. [ Changes to registry ] * Creates key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon". * Sets value "Userinit"="userinit.exe,userinit32.exe" in key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon". * Sets value "restrictanonymous"="" in key "HKLM\System\CurrentControlSet\Control\Lsa". * Sets value "restrictanonymoussam"="" in key "HKLM\System\CurrentControlSet\Control\Lsa". [ Network services ] * Looks for an Internet connection. * Connects to "tokeat.4two0.com" on port 13222 (TCP). * Connects to IRC Server. [ Process/window information ] * Creates a mutex mpnewusit. gefunden VBA32 Backdoor.Win32.Rbot.gen gefunden |
24.04.2005, 00:51 | #11 |
Moderator, a.D. | Hilfe!!! Dir bleibt nichts anderers übrig als http://www.trojaner-info.de/report_i...nleitung.shtml zu beherzigen. Grund dafür ist, dass Dein Betriebssystem völlig veraltet war und somit erhebliche Sicherheitslücken aufwies. Gruß Yopie |
Themen zu Hilfe!!! |
adobe, antispyware, antivir, antivir update, besitzer, bho, computer, einstellungen, explorer, firefox, helfen, hijack, hijackthis, hilfe!!, hilfe!!!, immer wieder, internet, internet explorer, logfile, löschen, microsoft, mozilla, mozilla firefox, neustart, outlook express, programme, software, system, temp, trojaner, userinit.exe, windows, windows xp |