|
Log-Analyse und Auswertung: C:\ied_s7.cabWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.05.2005, 18:24 | #1 |
| C:\ied_s7.cab Hallo CIDRE, habe ein ziemlich grosses problem mit meinem Rechner. Der ist mir im netz einfach etwas zu lahm geworden und ich habe anhand verschiedenster Scans nichts gefunden. habe meinen Rechner auch 2 mal platt gemacht und trotzdem besteht das problem weiterhin. Diesmal sind aber beim Hijacken folgende Einträge als Böse eingestuft worden... kann mit diesen folder dateien nichts anfangen und finde die auch nicht auf meinem System... kannst du mir vielleicht helfen was diese Einträge bedeuten und kann ich die Fixen ohne das mein System abschmiert ? O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden! O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden! O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden! O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden! O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab Böse Dieser Eintrag ist vermutlich Böse. Sollte gefixt werden! wäre dankbar für eine schnelle antwort coco _____________ Anm. Deine und die zugehörigen Posts wurden aus diesen Thread gelöst. Eröffne das nächste Mal, der Übersichtlichkeit wegen, einen eigenen Thread! LG Cidre S-Mod TB Geändert von Cidre (10.05.2005 um 18:38 Uhr) |
10.05.2005, 18:35 | #2 | |
Administrator, a.D. | C:\ied_s7.cab Hallo coco,
__________________es macht wenig Sinn, wenn du deinen Beitrag in irgendeinen Thread knallst, da dieser nur zur Unübersichtlichkeit und Verwirrung beiträgt! Die logische Konsequenz wäre die nicht Beachtung deines Beitrages und das wollen wir doch alle nicht?! Erstelle zukünftig einen neuen Thread und schildere dort dein Problem. Zitat:
KillBox z.B. kann die Symptome beseitigen, nicht aber die Ursache und diese beseitigst du indem du einen Browserwechsel vollziehst.
__________________ |
10.05.2005, 18:43 | #3 |
| C:\ied_s7.cab Sorry bin neue hier werde das mit den Threads in zukunft beachten !
__________________habe noch ein paar kleine fragen : wie konfiguriere ich den meinen ie so das die probleme besänftigt werden oder besser noch was habe ich falsch konfiguriert ? muss ich den ie komplett runterschmeissen und dann nur noch mit firefox arbeiten ? verbraucht der firefox weniger Ram resourcen als der ie ? ich kann dir auch mein logfile senden und vielleicht findest du ja was auffälliges ? wenn ja was muss ich beim logfile ändern oder weglassen um es richtig zu posten ? LG coco |
10.05.2005, 18:49 | #4 | ||||
Administrator, a.D. | C:\ied_s7.cabZitat:
Zitat:
IE und auch Firefox aktuell halten, aber nur mit letzteren surfen. Zitat:
Zitat:
Halte dich aber an diese Anleitung -> http://www.trojaner-board.de/showthread.php?t=17493 |
10.05.2005, 18:58 | #5 |
| C:\ied_s7.cab ok here it is ... ich habe mittlerweile noch den auffälligen Prozess nwiz.exe gefunden der zu norton wizzard gehört .... jedenfalls sagt der hikack im resultat das der böse ist was auch immer damit gemeint ist... danke dir für die Hilfe .... hier mein log : Logfile of HijackThis v1.99.1 Scan saved at 19:01:03, on 10.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\system32\LXSUPMON.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Plaxo\2.1.0.80\InstallStub.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\devldr32.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Hi-jacker\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.musikwoche.de/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ViewSource Class - {2EF37A01-884F-11d5-AC99-B112050ECB4F} - C:\PROGRA~1\ZEROPO~1\ZERO-P~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.1.0.80\InstallStub.exe -a O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107912270093 O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{AAC38279-B8B4-4561-97CF-E877F3425C25}: NameServer = 213.191.74.18 213.191.92.87 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe LG coco |
10.05.2005, 19:05 | #6 | |
Administrator, a.D. | C:\ied_s7.cabZitat:
Dein Log-File sieht bis auf die O16 Einträge sauber aus. Fixe diese und lösche die darin genannten Archive. Ein abschliessender Check mit eScan könnte imho nicht schaden.
__________________ --> C:\ied_s7.cab |
10.05.2005, 19:24 | #7 |
| C:\ied_s7.cab ok welche 016 einträge soll ich den fixen : O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab die sind klar aber auch die hier ??? : O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107912270093 O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab und wenn ich die gefixt habe wie lösche ich die dazugehörigen archive ? LG coco |
10.05.2005, 19:28 | #8 |
Moderator, a.D. | C:\ied_s7.cab Die kannst Du alle löschen. Gilt für die 016-Einträge grundsätzlich immer. Die Archive kannst Du vermutlich mit Clearprog bzw. über die Einstellungen des IE löschen. Gruß Yopie |
10.05.2005, 19:29 | #9 |
| C:\ied_s7.cab übrigens noch eine komische Sache ... Ich benutze die interne Windows firewall mit Antivir im zusammenspiel hat das bisher das beste ergebnis bei mir gegeben... jedenfalls zu vorherigen programmen und firewalls.... der Hijack erkennt meine firewall aber nicht oder besser noch er sagt das hier : Auf Ihrem System wurde keine aktive Firewall gefunden oder Ihre Firewall ist uns nicht bekannt. Wenn Sie keine Firewall benutzen sollten Sie sich eine herunterladen oder die Windows XP eigene aktivieren. Sollten sie Fragen zur Wahl der richtigen Firewall haben oder möchten Sie uns die unbekannte Firewall mitteilen, so melden sie sich im Forum unter www.hijackthis.de/forum heisst das das die die Firewall nicht kennen oder das meine Firewall echt nicht aktiv ist ? ersteres kann mich mir einfach nicht vorstellen da die XP firewall SP2 doch bekannt ist oder ? Mein Windows service center sagt das alles aktiv und auf dem neuesten stand ist .... ??????????? LG coco |
10.05.2005, 19:40 | #10 |
| C:\ied_s7.cab danke Yopie werde ich machen.... und wie sieht es aus mit der firewall geschichte die ich danach gefragt habe , ist das ein bekanntes problem ? lg coco |
10.05.2005, 19:42 | #11 |
| C:\ied_s7.cab @ YOPIE : ist das clear prg besser als die interne datenträgerbereinigung von windows ? der macht doch eigentlich das gleiche oder ? LG coco |
10.05.2005, 19:45 | #12 |
Moderator, a.D. | C:\ied_s7.cab Zu der Firewallgeschichte kann ich nix sagen. Clearprog löscht auch temporäre Dateien von anderen Programmen, man kann also mehr auf einen Rutsch löschen. Praktische Sache das. Gruß Yopie |
10.05.2005, 19:50 | #13 |
Administrator, a.D. | C:\ied_s7.cab @ coco Wenn du deine Posts abändern willst, dann benutze doch einfach den 'Editieren' Button. Zur Firewall Geschichte: Da die Windows Firewall von mehreren Diensten abhängig ist, wie z.B. Windows-Firewall/Gemeinsame Nutzung der Internetverbindung, Windows-Verwaltungsinstrumentation u.a., läßt es sich aus dem HJT Log-File schwer feststellen, ob diese tatsächlich aktiv ist, da die MS Dienste nicht berücksichtigt werden. Ansonsten wird es vermutlich ein allgemeiner Hinweis sein, wie nützlich doch eine Desktop Firewall wäre. |
10.05.2005, 19:53 | #14 |
| C:\ied_s7.cab @ CIDRE & YOPIE : Ok danke euch jungs für die Hilfe.... könnt das Thread ruhig entfernen hat mir echt geholfen, werde zwischendurch mal wieder mein log mit einem neuen Thread einwerfen wenn wieder wat is.... BIG THANX an Euch .... :aplaus: LG coco |
10.05.2005, 19:56 | #15 | |
Moderator, a.D. | C:\ied_s7.cabZitat:
Gruß Yopie |
Themen zu C:\ied_s7.cab |
antwort, bedeuten, cidre, dateien, einfach, eingestuft, eintrag, einträge, file, fixen, folge, folgende, gefixt, grosses, helfen, hijacken, lahm, nichts, platt, problem, scan, scanner, schnelle, träge, viren, würmer |