| |
| |||||||
Log-Analyse und Auswertung: SosWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.06.2005, 23:40
| #1 |
| |  Sos Hallo Ich bin ja nicht der erste, aber ich fürchte der Planlosteste, der hier um Hilfe ersucht.Alles begann vor 3 Tagen als Zone Alarm ein Update wollte. Kurz danach schlug plötzlich anti vir an und meldete irgendetwas namens wallz oder so, was sich ziemlich hartnäckig hielt, aber ich glaube es ist jetzt weg. Gut gut so weit, aber seitdem läuft mein Internet nur noch auf Modemgeschwindigkeit und oftmals öffnen sich einfach keine Seiten mehr, hängen sich auf oder es dauert endlos. Kann es evtl. an einem hijacker oder ähnlichem liegen? Hier mal die logfile: Logfile of HijackThis v1.99.1 Scan saved at 00:06:04, on 21.06.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\RedLine\Taskbar.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe D:\Programme\Trojancheck 6\tcguard.exe D:\Programme\D-Tools\daemon.exe D:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE D:\Programme\TVgenial\TVgenial.exe D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe D:\Programme\InterVideo\WinDVR\WinScheduler.exe c:\Programme\AVPersonal\AVGUARD.EXE c:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\system32\netddeclnt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = h**p://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.search-for-you.com/srh/137/ R1 - HKLM\Software\Microsoft\Internet Explorer,Search = h**p://www.search-for-you.com/srh/137/ R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.search-for-you.com/srh/137/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.search-for-you.com/srh/137/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hp://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.search-for-you.com/srh/137/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.search-for-you.com/srh/137/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.search-for-you.com/srh/137/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {30AC6659-E445-56CF-8321-16550FD0281C} - C:\WINDOWS\System32\jdft.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {CA521E32-5157-4EB8-AC7E-2AB90C1F89CD} - C:\WINDOWS\System32\bkgjfc.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [RedLine Taskbar] C:\RedLine\Taskbar.exe O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [CloneDVDElbyDelay] "d:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [InstantAccess] C:\Programme\ScannerU\TBRIDGE\BIN\InstantAccess.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Programme\TerraTec\Cinergy 400 TV\TTTVRC.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Programme\ScannerU\TBRIDGE\BIN\RegisterDropHandler.EXE O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [TVgenial] D:\Programme\TVgenial\TVgenial.exe -d O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinScheduler.lnk = D:\Programme\InterVideo\WinDVR\WinScheduler.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 64.127.104.144 O15 - Trusted IP range: 64.127.104.144 (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!h**p://213.159.117.133/legal/x.chm::/load.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - ht h**tp://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - h**p://www.pussyharem.com/stream/mmp.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - h**p://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{122C71EE-A5F7-4CC8-B8CE-203B331AC0D0}: NameServer = 195.50.140.250 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{122C71EE-A5F7-4CC8-B8CE-203B331AC0D0}: NameServer = 195.50.140.250 145.253.2.203 O18 - Filter: text/html - {3EE1EED4-8F05-47B7-A7E4-C8B98A0B4D16} - C:\WINDOWS\System32\bkgjfc.dll O18 - Filter: text/plain - {3EE1EED4-8F05-47B7-A7E4-C8B98A0B4D16} - C:\WINDOWS\System32\bkgjfc.dll O21 - SSODL: System - {2DC67257-E91C-4382-B268-F239138A1D3E} - C:\WINDOWS\system32\system32.dll (file missing) O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - c:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - c:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Mouse Hardware Sync (mousehs) - Unknown owner - C:\WINDOWS\System32\mousehs.exe (file missing) O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\system32\netddeclnt.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich hoffe Ihr könnt mir helfen. Danke schonmal im Vorraus und auch ein fettes Sorry, falls ich irgendwas vergessen oder falschgemacht habe. MfG Fraggle23 |
|
21.06.2005, 00:06
| #2 |
 | Sos Hallo Fraggle23,
__________________in folgendem Thread findest Du, was zu unternehmen ist: http://www.trojaner-board.de/showthread.php?t=19107 wegen : C:\WINDOWS\system32\netddeclnt.exe Grund dafür ist u.a. Dein nicht aktuelles Betriebsystem! dartus
__________________ |
|
21.06.2005, 08:01
| #3 |
| | Sos Okay danke Dir schonmal soweit.Heisst dass nun unter anderem ich soll mir SP2 holen?
__________________Also die Antwort von Virustotal This is a report processed by VirusTotal on 06/21/2005 at 08:53:50 (CET) after scanning the file "netddeclnt.exe" file. Antivirus Version Update Result AntiVir 6.31.0.7 06.21.2005 no virus found AVG 718 06.14.2005 no virus found Avira 6.31.0.7 06.20.2005 no virus found BitDefender 7.0 06.20.2005 no virus found ClamAV devel-20050501 06.21.2005 no virus found DrWeb 4.32b 06.20.2005 BackDoor.CodBot eTrust-Iris 7.1.194.0 06.21.2005 no virus found eTrust-Vet 11.9.1.0 06.20.2005 no virus found Fortinet 2.36.0.0 06.21.2005 W32/Codbot.AE-bdr Ikarus 2.32 06.20.2005 no virus found Kaspersky 4.0.2.24 06.21.2005 Backdoor.Win32.Codbot.ae McAfee 4517 06.20.2005 W32/Sdbot.worm.gen.w NOD32v2 1.1146 06.20.2005 no virus found Norman 5.70.10 06.17.2005 no virus found Panda 8.02.00 06.20.2005 W32/Codbot.AL.worm Sybari 7.5.1314 06.21.2005 W32/Sdbot.worm.gen.w Symantec 8.0 06.20.2005 W32.Toxbot TheHacker 5.8.2.057 06.21.2005 Backdoor/Codbot.ae VBA32 3.10.3 06.21.2005 Backdoor.Win32.Codbot.ae und das schreibt hier virusscan Datei: netddeclnt.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE-CRYPT.ANTIDEB AntiVir Keine Viren gefunden ArcaVir Trojan.Codbot.Ae gefunden Avast Keine Viren gefunden AVG Antivirus BackDoor.Generic.EEV gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web BackDoor.CodBot gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/Codbot.AE-bdr gefunden Kaspersky Anti-Virus Backdoor.Win32.Codbot.ae gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Backdoor.Win32.Codbot.ae gefunden klingt nicht ermutigend. |
|
21.06.2005, 08:23
| #4 |
| | Sos Hallo, gemeint ist in dem Thread diese Empfehlung . da dieser Trojaner über Backdoorfunktionalität verfügt. http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet http://www.mathematik.uni-marburg.de...ompromise.html dartus
__________________ Kein Support per PN |
|
21.06.2005, 08:31
| #5 |
| | Sos Oh shit! Ist es wirklich so ernst? Na ja dann bleibt mir wohl nichts weiter übrig. Danke nochmal für die schnelle Hilfe. |
|
| Themen zu Sos |
| adobe, antivir, antivir update, avg, bho, dateien, excel, explorer, firefox, hijackthis, hotkey, hängen, icqtoolbar, internet, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, programme, remote control, rundll, seiten, software, system, urlsearchhook, windows, windows xp, zone alarm |
Linear-Darstellung
