| |
| |||||||
Log-Analyse und Auswertung: bitte um eure hilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.05.2005, 14:10
| #1 |
 |  bitte um eure hilfe hab ein problem mein antivir hat folgendes gefunden C:\WINNT\system32 veyegubi.exe ArchiveType: RAR SFX (self extracting) --> fotehulo.exe [FUND!] Enthält Signatur des Wurmes Worm/SdBot.35105 --> otebeci.exe [FUND!] Ist das Trojanische Pferd TR/Proxy.Ranky.EN veyegubi.exe hab ich in WINNT\system 32 gefunden und gelöscht. aber fotehulo und otebeci find ich nicht. logfile von HijackThis hier Logfile of HijackThis v1.99.1 Scan saved at 12:50:57, on 17.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\userinit.exe C:\WINNT\Explorer.EXE C:\neue programme\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos DSL R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [TerraTec Scheduler] C:\WINNT\system32\TTTimer.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [****] C:\Programme\SlySoft\****\****.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\****\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\****\CloneCDTray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-18.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylomgames.com/activex...amesplayer.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
__________________ Elvis grant me Serenity Born to be mild |
|
17.05.2005, 15:33
| #2 |
  |  bitte um eure hilfe Lade dir zunächst Escan runter und führe es gemäß folgender Anleitung aus:
__________________http://www.trojaner-board.de/showthread.php?t=17492 Teile uns die Funde mit.
__________________ |
|
18.05.2005, 17:02
| #3 |
| | bitte um eure hilfe hallo cronos :-)
__________________habe escan im abgesicherten modus gemacht hier ergebnis File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken. Wed May 18 17:52:15 2005 => ***** Scanning complete. ***** Wed May 18 17:52:15 2005 => Total Objects Scanned: 32206 Wed May 18 17:52:15 2005 => Total Virus(es) Found: 1 Wed May 18 17:52:15 2005 => Total Disinfected Files: 0 Wed May 18 17:52:15 2005 => Total Files Renamed: 0 Wed May 18 17:52:15 2005 => Total Deleted Objects: 0 Wed May 18 17:52:15 2005 => Total Errors: 19 Wed May 18 17:52:15 2005 => Time Elapsed: 01:10:12 Wed May 18 17:52:15 2005 => Virus Database Date: 2005/05/02 Wed May 18 17:52:15 2005 => Virus Database Count: 127997 Wed May 18 17:52:15 2005 => Scan Completed.
__________________ |
|
18.05.2005, 17:06
| #4 | ||
| | bitte um eure hilfeZitat:
Zitat:
Sorry
__________________  Only cronos endures |
|
21.05.2005, 11:18
| #5 |
| | bitte um eure hilfe hallo cronos hab jetzt tage lang versucht den escan upzudaten,er macht auch das dos fenster auf und installiert,aber nach dem scan zeigt er mir folgendes File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\1gbdahxy.default\Mail\Local Folders\Inbox infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken. Sat May 21 12:05:30 2005 => ***** Scanning complete. ***** Sat May 21 12:05:30 2005 => Total Objects Scanned: 31249 Sat May 21 12:05:30 2005 => Total Virus(es) Found: 1 Sat May 21 12:05:30 2005 => Total Disinfected Files: 0 Sat May 21 12:05:30 2005 => Total Files Renamed: 0 Sat May 21 12:05:30 2005 => Total Deleted Objects: 0 Sat May 21 12:05:30 2005 => Total Errors: 15 Sat May 21 12:05:30 2005 => Time Elapsed: 01:09:07 Sat May 21 12:05:30 2005 => Virus Database Date: 2005/04/06 Sat May 21 12:05:30 2005 => Virus Database Count: 124827 das ist doch ein noch älteres datum? oder?
__________________ Elvis grant me Serenity Born to be mild |
|
21.05.2005, 19:24
| #6 |
| | bitte um eure hilfe Hallo Sonne, versuch mal im abgesicherten Modus Deinen Virenscanner nochmal laufen zulassen.Vielleicht endeckt und entfernt er die Dateien dann.Ansonsten noch eine Möglichkeit gehe zu www.symantec.de und gehe zur Virenenzeklopydie gib den gefundenen Virusnamen ein kriegst dann meisten ein Hilfe das Problem zu lösen. Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER)  |
|
21.05.2005, 19:29
| #7 |
| | bitte um eure hilfe Hallo Sonne, hier nochmal eine genauere Adresse von Symantec http://securityresponse.symantec.com...prodid=nav2005 brauchst dann net suchen. Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER)  |
|
22.05.2005, 09:37
| #8 |
| | bitte um eure hilfe hallo meerjungframann :-) danke für deine hilfe :-) werde es mal versuchen! lg sonne98
__________________ Elvis grant me Serenity Born to be mild |
|
22.05.2005, 09:42
| #9 | |
| | bitte um eure hilfe @sonne98 Zitat:
|
|
| Themen zu bitte um eure hilfe |
| adobe, agent, antivir, antivir update, avgnt.exe, bho, boot, button, c.exe, dateien, explorer, google, hijack, hijackthis, icq, icqtoolbar, internet, internet explorer, microsoft, neue, programme, rundll, rundll32, software, system, system 32, update, urlsearchhook, windows |
Linear-Darstellung
