|
Log-Analyse und Auswertung: Bitte mal PrüfenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.05.2005, 14:27 | #1 |
| Bitte mal Prüfen Hallo, ich habe von einer Kollegin das Notebook zwecks Überprüfung bekommen, da sie einige Probleme damit hatte. Ich habe erstmal Windows, Zonealarm und Norten Antivirus geupdatet und Firefox installiert. Außerdem habe ich Ad-Aware und Spybot S&D 1.3 installiert. Ad-Aware hat über 170 Probleme beseitigt und Spybot auch ein paar bis auf eins. Spybot konnte nicht DyFUCA.InternetOptimizer entfernen. Auch im Abgesicherten Modus nicht. Außerdem sind zwei Programme installiert, die mir gar nichts sagen: ANIO Service und ANIWZCS2 Service. Es wäre nett, wenn mir jemand helfen könnte. Hier das Hijack Logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:50:25, on 27.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\D-Link\Air USB Utility\AirCFG.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.oemxyz.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.oemxyz.de F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplScan] msc32.exe O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zonealarm] C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - HKCU\..\Run: [NvCplScan] msc32.exe O4 - HKCU\..\RunServices: [MSN Messenge] winlogin.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O14 - IERESET.INF: START_PAGE_URL=h**p://www.oemxyz.de O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{30CACB7A-CAC2-43BF-AB1C-85F537898D04}: NameServer = 192.168.178.1 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
27.05.2005, 14:34 | #2 | |
Administrator, a.D. | Bitte mal Prüfen Hallo,
__________________aufgrund des aktiven W32/Forbot-DD [1] solltest du dein System zur deiner eigenen Sicherheit neu aufsetzen, siehe meine Signatur. [1] Zitat:
__________________ |
27.05.2005, 15:07 | #3 |
| Bitte mal Prüfen Hallo,
__________________danke für Deine Antwort. OK, dann werde ich mal ales neu installieren und bei der Gelegenheit auch gleich die Festplatte partitionieren. Schöne Grüße |
27.05.2005, 15:27 | #4 | |
| Bitte mal Prüfen @Germanicus Zitat:
|
27.05.2005, 19:24 | #5 |
| Bitte mal Prüfen Hallo nochmal, ich habe auch noch gleich den PC der Kollegin überprüft. Dabei hat Antivir TR/Click.Krepper gefunden. Unter dem von Antivir angegebenen Link kann ich aber die Datei nicht finden, obwohl ich alle versteckten Dateien und auch die Systemdateien sehen kann. Hier mal das Hijack Logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:14:56, on 27.05.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.freenet.de/freenet/customerindex_18.html O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGCTRL.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab |
27.05.2005, 19:31 | #6 |
Administrator, a.D. | Bitte mal Prüfen Vermutlich wurde TR/Click.Krepper in dem Ordner Temporary Internet Files gefunden... Wenn ja, dann führe dies aus: Rechtsklick auf IE -> Eigenschaften -> Reiter 'Allgemein' und unter Temporäre Internetdateien -> Dateien löschen -> 'Alle Offlineinhalte löschen' anhaken -> OK Poste ansonsten den genauen Pfad den AntiVir angibt.
__________________ --> Bitte mal Prüfen |
27.05.2005, 20:51 | #7 | |
| Bitte mal PrüfenZitat:
Ich werde das dann morgen noch mal ausprobieren und werde dann berichten. |
28.05.2005, 14:58 | #8 |
| Bitte mal Prüfen So, der TR/Click.Krepper ist jetzt weg. Zumindest auf dem PC der Kollegin ist wieder alles OK. Danke nochmal. |
Themen zu Bitte mal Prüfen |
abgesicherten modus, ad-aware, adobe, antivirus, bho, dateien, drivers, excel, explorer, firefox, helfen, hijack, hijackthis, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, notebook, programme, prüfen, security, security center, settings manager, software, symantec, system, usb, windows, windows xp |