Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: wmav.log

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.05.2005, 13:39   #1
Xeroxx
 
wmav.log - Standard

wmav.log



Hallo, kann sich bitte jemand mein MWAVScan-Ergebnis anschauen? Danke!


Tue May 31 12:59:20 2005 => File C:\WINDOWS\System32\123.45 infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.

Tue May 31 13:12:49 2005 => File C:\WINDOWS\system32\123.45 infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken.

Tue May 31 13:32:59 2005 => File C:\Dokumente und Einstellungen\***.NOTEBOOK.000\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-234377ea-62434d36.zip infected by "Exploit.Java.Bytverify" Virus! Action Taken: No Action Taken.

Tue May 31 13:45:31 2005 => Scanning Folder: C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected\*.*

Tue May 31 13:49:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*


Tue May 31 12:58:06 2005 => File C:\WINDOWS\swzrurt.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.

Tue May 31 12:58:07 2005 => File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.

Tue May 31 13:25:25 2005 => File C:\WINDOWS\swzrurt.exe tagged as "not-a-virus:AdWare.BetterInternet.c". Action Taken: No Action Taken.

Tue May 31 13:25:26 2005 => File C:\WINDOWS\Nail.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.

Tue May 31 13:26:53 2005 => File C:\Dokumente und Einstellungen\***.NOTEBOOK.000\Lokale Einstellungen\Anwendungsdaten\Wildtangent\Cdacache\00\00\0E.dat tagged as "not-a-virus:AdWare.WildTangent.b". Action Taken: No Action Taken.

Tue May 31 14:06:45 2005 => File C:\Spiele\DownTownRun(+1trainer)\FFF-DownTownRun(+1trainer)_AllCarsOff\DownTownRun(+1trainer).exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.

Alt 31.05.2005, 13:54   #2
Gigamail
 
wmav.log - Standard

wmav.log



Hi Xeroxx

Lade ClearProg Haken setzen bei alles löschen und auf ok.
Lade dir Ad-Aware und update es
Wenn du Windows XP hast --> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche folgende Dateien:

C:\WINDOWS\System32\123.45
C:\WINDOWS\swzrurt.exe
C:\WINDOWS\Nail.exe

deinstalliere Programme wie z.B Wildtangent
leere deinen Java Cache:
Start --> Einstellungen --> Systemsteuerung --> JavaPlug In --> doppelklick
Reiter Cache --> löschen

scanne mit Ad-aware und lösche was gefunden wurde

neu booten und erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________

__________________

Alt 31.05.2005, 15:00   #3
Xeroxx
 
wmav.log - Standard

wmav.log



Logfile of HijackThis v1.99.1
Scan saved at 15:51:29, on 31.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Dokumente und Einstellungen\***.NOTEBOOK.000\Desktop\hijackthis_199\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\WINDOWS\System32\CePMTray.exe
O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - h**p://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098644487726
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - h**p://arcade.icq.com/multiplayer/odyssey_web8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B757EE54-0BC4-44EC-925F-304D0652B667}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AutoComplete Service (Autocomplete) - Acesoft - C:\Programme\Acesoft\Tracks Eraser Pro\autocomp.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
__________________

Alt 31.05.2005, 16:22   #4
Gigamail
 
wmav.log - Standard

wmav.log



Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2
--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken ) Anleitung
folgende Einträge:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

ausserdem solltest du Flashget deinstallieren und dann die Einträge fixen. das Programm liefert Spyware mit!!

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

wenn du das Programm nicht kennst solltest du es auch deinstallieren und dan den Eintrag fixen:

O4 - HKLM\..\Run: [CP888M1] C:\PROGRA~1\EzButton\CP888M1.EXE

die folgende datei sollte ja schon gelöscht sein, wenn nicht löschen

C:\WINDOWS\Nail.exe

Ok, ansonsten sehe ich keine weiteren Auffälligkeiten. Für die Zukunft solltest du sichere Browser nutzen und IE nur noch für Windowsupdates, aber diese regelmässig ausführen.
http://filepony.de/download-opera/
http://www.mozilla.org/
http://www.thunderbird-mail.de/thunderbird/
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu wmav.log
action, anschauen, c:\windows, cache, danke, dokumente, einstellungen, file, gen, infected, java, kaspersky, kaspersky lab, lokale, not-a-virus, personal, programme, scanning, spiele, system, system32, taken, verify, virus, wildtangent, windows




Zum Thema wmav.log - Hallo, kann sich bitte jemand mein MWAVScan-Ergebnis anschauen? Danke! Tue May 31 12:59:20 2005 => File C:\WINDOWS\System32\123.45 infected by "Trojan-Downloader.Win32.WinShow.ay" Virus! Action Taken: No Action Taken. Tue May 31 13:12:49 - wmav.log...
Archiv
Du betrachtest: wmav.log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.