bitte um hilfe

test4me · 14.05.2005, 09:14

so hier ist mein log, bitte um support thnx
lg natasha k.

----------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 10:09:33, on 14.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EzButton\CPATR10.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\USB MOUSE\mouse32a.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DameWare Development\DameWare Mini Remote Control\DWRCS.exe
C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\Config2500.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\DVDREG~1\DVDRegionFree.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://global.acer.com/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\USB MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Config2500.lnk = C:\WINDOWS\system32\Config2500.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://global.acer.com/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1107087860529
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BD87BCB-A468-4D1D-965C-B1A8FFAB8970}: NameServer = 195.58.160.194,195.58.161.3
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development - C:\Programme\DameWare Development\DameWare Mini Remote Control\DWRCS.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Rene-gad · 14.05.2005, 09:28

@test4me

Zitat:

so hier ist mein log, bitte um support thnx

Merkst du ein Problem?
BTW: Dein Nickname reicht völlig aus

.
Die Datei bitte bei http://virusscan.jotti.org/ online überprüfen.

Zitat:

C:\WINDOWS\system32\Config2500.exe

Fixen/nicht fixen von dem Eintrag ist scanergebnisabhängig.

Zitat:

O4 - Global Startup: Config2500.lnk = C:\WINDOWS\system32\Config2500.exe

Die Beiten sind unnötig (Datei fehlt)

Zitat:

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

bambuswolle · 14.05.2005, 09:30

Alles kopieren und hier einfügen und auswerten. Dann deine bösen fixen!

test4me · 14.05.2005, 09:34

Zitat:

Zitat von Rene-gad

Merkst du ein Problem?

Wenn ich Adaware starte springt plötzlich mein avast antiviren programm auf und schreit achtung trojaner Win32:Istbar - L.

Hätt ich noch eventuell dazuschreiben sollen =)
lg natasha. k

Rene-gad · 14.05.2005, 09:40

@test4me

Zitat:

Wenn ich Adaware starte springt plötzlich mein avast antiviren programm auf und schreit achtung trojaner Win32:Istbar - L. ...Hätt ich noch eventuell dazuschreiben sollen =)

Nicht nur das, sondern auch Pfad wäre wichtig.
In deinem Log sind keine Spuren von IstBar sichtbar.
Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. Mach alles sauber, dann AdAware updaten und Starten. Falls es noch etwas findet, bitte Name und Pfad notieren und hier posten.

Zum 2. mal: Dein Nickname reicht völlig aus

Zitat:

lg natasha. k

@bambuswolle
die automatische Auswertung schlägt öfters fehl, z.B. h**p - Einträge werden automatisch als Böse eingestufft

.

test4me · 14.05.2005, 09:57

Zitat:

Zitat von Rene-gad

Nicht nur das, sondern auch Pfad wäre wichtig.
In deinem Log sind keine Spuren von IstBar sichtbar.
Falls es noch etwas findet, bitte Name und Pfad notieren und hier posten.

Habe deine Anweisungen befolgt und das war das Ergebnis

Pfad:
C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\242D3E\crack.exe
MalwareName: Win32:Istbar-L[Trj]

Rene-gad · 14.05.2005, 10:08

@test4me

Zitat:

Habe deine Anweisungen befolgt

Nee, hast du nicht, bzw. nicht ganz.
Zum 2. mal:

Die Datei bitte bei http://virusscan.jotti.org/ online überprüfen.

Zitat:

C:\WINDOWS\system32\Config2500.exe

Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen.

test4me · 14.05.2005, 12:42

zum 1. mal danke funktioniert wieder alles

zum 2. mal danke

test4me · 14.05.2005, 17:11

so ich bins wieder

leider ist das dieser virus doch noch da, was jetzt tun?
habe mit dem clearprog alles gelöscht aber das ding taucht immer wieder auf

Rene-gad · 14.05.2005, 17:11

@test4me
Ich möchte nicht zu aufdringlich sein, aber

Zitat:

C:\WINDOWS\system32\Config2500.exe

hast du die Datei gescannt?

Zitat:

habe mit dem clearprog alles gelöscht aber das ding taucht immer wieder auf

Noch mal die Frage: Pfad
EDIT: Inhalt des Ordners C:\Dokumente und Einstellungen\test4me\Lokale Einstellungen\Temp über Explorer einfach löschen.

test4me · 14.05.2005, 17:49

Zitat:

Zitat von Rene-gad

@test4me
Ich möchte nicht zu aufdringlich sein, aber

hast du die Datei gescannt?

Noch mal die Frage: Pfad
EDIT: Inhalt des Ordners C:\Dokumente und Einstellungen\test4me\Lokale Einstellungen\Temp über Explorer einfach löschen.

ja das file config2500 ist in ordnung!

und über den explorer hab ich die temp datei auch schon gelöscht nur dieser ordner AAWTMP
C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\ 242D3E\crack.exe
generiert sich immer wieder von selber wenn ich adaware starte und da drinnen befindet sich ja laut meinem virenprogram der trojaner

Rene-gad · 14.05.2005, 18:02

@test4me

Zitat:

C:\DOKUME~1\test4me\LOKALE~1\Temp\AAWTMP\C3880349\ 242D3E\crack.exe
generiert sich immer wieder von selber wenn ich adaware starte

EDIT: ...\AAWTMP\C3880349\ ist ein Ordner, der AdAware nach dem Start vom Scanvorgeng erstellt. In den Ordner werden die Funde von Adware verschoben. Quelle von Adware musst du im AdAware-Scanprotokoll nachschauen.
Versuche noch das: eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten.

Cidre · 14.05.2005, 18:12

@ test4me

So wie's aussieht, wird dieser temporäre Ordner von Ad-Aware angelegt, siehe auch http://forums.pcper.com/showthread.p...65&postcount=7.

btw:
Beim Scannen mit Ad-Aware sollte natürlich der aktive Guard von Avast vorrübergehend deaktiviert werden.

EDIT:
Doppelt gemoppelt hält besser, Rene-gad.

test4me · 14.05.2005, 18:48

ok!

Super das mit avast abdrehen lol das wusste ich nicht und prompt hat adaware das gemacht was es machen soll mailware ist weg, hoffentlich endgültig.
nachmals danke and rene-gad für deine geduld und cidre lg n.k.

cronos · 14.05.2005, 18:50

BTW-es heist malware (engl. malicious = boshaft und Software) und nicht mailware.Hat nix mit Post zu tun

bitte um hilfe

Log-Analyse und Auswertung: bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

bitte um hilfe

Ähnliche Themen: bitte um hilfe

14.05.2005, 09:30	#3
bambuswolle	bitte um hilfe Alles kopieren und hier einfügen und auswerten. Dann deine bösen fixen! __________________

14.05.2005, 12:42	#8
test4me	bitte um hilfe zum 1. mal danke funktioniert wieder alles zum 2. mal danke

14.05.2005, 17:11	#9
test4me	bitte um hilfe so ich bins wieder leider ist das dieser virus doch noch da, was jetzt tun? habe mit dem clearprog alles gelöscht aber das ding taucht immer wieder auf

14.05.2005, 18:48	#14
test4me	bitte um hilfe ok! Super das mit avast abdrehen lol das wusste ich nicht und prompt hat adaware das gemacht was es machen soll mailware ist weg, hoffentlich endgültig. nachmals danke and rene-gad für deine geduld und cidre lg n.k.

14.05.2005, 18:50	#15
cronos	bitte um hilfe BTW-es heist malware (engl. malicious = boshaft und Software) und nicht mailware.Hat nix mit Post zu tun __________________ Only cronos endures