|
Log-Analyse und Auswertung: neuer InfektWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.05.2005, 19:50 | #1 |
| neuer Infekt hallo zusammen, nach meinem ehemaligen Befall vom netten CWS (den ich dank freundlicher Hilfe hier beseitigen konnte) haben anscheinend doch sich ein paar neue freunde eingenistet... (oder haben sie überlebt??) ich poste anbei mal den HijackThis logfile wäre super wenn ihr mir helfen könntet!!! Logfile of HijackThis v1.99.0 Scan saved at 20:42:52, on 23.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.exe C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\InterMute\SpySubtract\SpySub.exe C:\martin\fun\hijackthis199\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.foren-dienst.de O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {59131903-4A33-40D5-80C2-5242DD365AB3} - http://www.swissquake.ch/chumbalum-soft/files/MS3DViewerOCX.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108516485531 O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4ED025CA-AF2C-4B54-ADFC-49F88BC0073E}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{4ED025CA-AF2C-4B54-ADFC-49F88BC0073E}: NameServer = 192.168.2.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Alias Maya 5.0 PLE Help Server - Unknown - C:\Programme\AliasWavefront\Maya 5.0 Personal Learning Edition\docs\Wrapper.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: System Startup Service - Unknown - C:\WINDOWS\svcproc.exe _____________ Anm. Aktive Links editiert! Beachte die Hinweise dieser Anleitung: HiJackThis LG Cidre S-Mod TB Geändert von Cidre (25.05.2005 um 17:50 Uhr) |
23.05.2005, 19:55 | #2 |
| neuer Infekt Hy,
__________________mach mal einen Escan nach Anleitung und Poste das Ergebniss. Anleitung und Prog hier: www.trojaner-board.de/showthread.php?t=17492 Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) |
24.05.2005, 14:08 | #3 |
| neuer Infekt ok hier das escan Resultat:
__________________beim Scan sagte er mir jedoch 9 Viren gefunden... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 24 00:00:57 2005 => File C:\WINDOWS\svcproc.exe infected by "Trojan.Win32.Stervis.c" Virus! Action Taken: No Action Taken. Tue May 24 01:22:29 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue May 24 01:45:32 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 24 00:01:59 2005 => File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken. Tue May 24 00:01:59 2005 => File C:\WINDOWS\nznbhwonam.exe tagged as "not-a-virus:AdWare.BetterInternet". Action Taken: No Action Taken. Tue May 24 00:02:04 2005 => File C:\WINDOWS\vqsijn.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken. Tue May 24 00:04:45 2005 => File C:\DOKUME~1\BLDSAC~1\LOKALE~1\Temp\UWZ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet.f". Action Taken: No Action Taken. Tue May 24 00:16:45 2005 => File C:\Dokumente und Einstellungen\blödsack\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0F.dat tagged as "not-a-virus:AdWare.WildTangent.b". Action Taken: No Action Taken. Tue May 24 00:17:16 2005 => File C:\Dokumente und Einstellungen\blödsack\Lokale Einstellungen\Temp\UWZ\aurareco.exe tagged as "not-a-virus:AdWare.BetterInternet.f". Action Taken: No Action Taken. Tue May 24 00:23:54 2005 => File C:\Install\Grafikkarten\SIS Onboard-Grafik\Win2K&XP\AGP\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.WinCap.HTPatch.b. No Action Taken. Tue May 24 01:41:22 2005 => File C:\theo is doof\cs\pod25ins.exe tagged as not-a-virus:Tool.WinCap.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 24 01:45:32 2005 => Total Virus(es) Found: 9 Tue May 24 01:45:32 2005 => Total Errors: 197 Tue May 24 01:45:32 2005 => Time Elapsed: 01:45:09 Tue May 24 01:45:32 2005 => Total Objects Scanned: 62703 Mon May 23 23:59:10 2005 => Virus Database Date: 2005/05/23 Tue May 24 01:45:32 2005 => Virus Database Date: 2005/05/23 Tue May 24 01:45:39 2005 => Virus Database Date: 2005/05/23 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
24.05.2005, 17:43 | #4 |
| neuer Infekt Hy, lade Dir mal AdAware von Lavasoft aus dem Netz ist Freeware.Einfach unter Google Adaware eingeben.Danach Adaware im abgesicherten Modus ausführen und Dein Problem dürfte behoben sein.Danach nochmal Escan laufen lassen um zu sehen ob alles weg ist.Ansonsten gefundene Dateien in Killbox schieben so wie bei der Escan Anleitung beschrieben. Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) |
25.05.2005, 10:09 | #5 |
| neuer Infekt hab ad aware schon vorher im abgesicherten modus drüberlaufen lassen habs grad nochmal gemacht mit neuestem updates hat gar nichts gebracht-- habe die killbox verwendet aber er konnte "Nail.exe" nicht finden... gibts da jetzt noch möglichkeiten oder ist es sinnig nicht gleich den Rechner neu aufzusetzten???? (würde zwar auch ein bischen dauern aber solang wie das hier schon geht bin ich echt am überlegen)... viele grüße bp Geändert von biggerpicture (25.05.2005 um 14:31 Uhr) |
25.05.2005, 16:37 | #6 |
| neuer Infekt Hy, geh mal auf Deinen Arbeitsplatz,dann oben in der Leiste auf Extras,danach Ordneroptionen.Auf Ansicht klicken unter Erweiterte Einstellungen "Geschützte Systemdateien ausblenden(empfohlen)"Häckchen weg machen.Genauso "Alle Dateien und Ordner anzeigen" anklicken und auf OK.Vielleicht lässt sich die Datei dann blicken.Am Ende auf Wiederherstellen dann ist alles wieder beim alten. Greetings from MEERJUNGFRAUMANN (SPONGEBOB MEMBER) |
Themen zu neuer Infekt |
adobe, adobe reader, antivir, antivir update, bho, dateien, dll, explorer, helfen, hijack, hijackthis, internet, internet explorer, messenger, microsoft, neue, nvidia, programme, rundll, scan, software, super, system, system32, windows, windows messenger, windows xp, yahoo |