| |
| |||||||
Log-Analyse und Auswertung: Hilfe... *verzweifel*Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
28.06.2005, 23:49
| #1 |
| |  Hilfe... *verzweifel* Hallo! Ich hab hier ein Log-File von einem Rechner der infiziert ist wie kein anderer. Weder Antivir, Ad-Aware, Spybot, Trojan Hunter 4, Pest Patrol, CWS-Shredder konnten bisher helfen. Sie haben zwar was gefunden aber der rechner ist imme rnoch voll mit Müll, Trojanern und Viren. Wer mir helfen kann.... tut es einfach Bin kein Computerneuling habe aber noch nie mit solch einem Logfile gearbeitet. Thx Logfile of HijackThis v1.99.1 Scan saved at 00:17:42, on 29.06.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\msole32.exe C:\WINNT\system32\shnlog.exe C:\WINNT\system32\schovst.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\system32\hookdump.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINNT\system32\intmon.exe C:\Programme\ArcorOnline\Arcor.exe D:\Eigene Dateien\Experimente\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.oneclicksearches.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.oneclicksearches.com/search.php?qq=%1 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.oneclicksearches.com/search.php?qq=%1 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://www.oneclicksearches.com/search.php?qq=%1 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://www.oneclicksearches.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O1 - Hosts: 65.75.166.170 ibank.barclays.co.uk O1 - Hosts: 65.75.166.170 online-business.lloydstsb.co.uk O1 - Hosts: 65.75.166.170 online.lloydstsb.co.uk O1 - Hosts: 65.75.166.170 w*w.halifax-online.co.uk O1 - Hosts: 65.75.166.170 w*w.ukpersonal.hsbc.co.uk O1 - Hosts: 65.75.166.170 w*w.nwolb.com O1 - Hosts: 65.75.166.170 banesnet.banesto.es O1 - Hosts: 65.75.166.170 extranet.banesto.es O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hpF5C8.tmp O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft IIS] C:\WINNT\system32\syshost.exe O4 - HKLM\..\Run: [hostserv] ntsfxp.exe O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] schovst.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [AntivirusGold] C:\Programme\AntivirusGold\AntivirusGold.exe /h O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\RunServices: [hostserv] ntsfxp.exe O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] schovst.exe O4 - HKCU\..\Run: [hostserv] ntsfxp.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] schovst.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Intel system tool] C:\WINNT\system32\hookdump.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!h**p://69.50.166.110/5/s1//q.chm::/file.exe O16 - DPF: {B3E0F81F-73F8-470B-A56B-D895EFF19260} (ATLF3D Class) - h**p://www.famous3d.com/viewer/latest/axf3d.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BAC8FE3B-C944-45FC-B087-E470ACCC06F8}: NameServer = 195.50.140.252 145.253.2.75 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINNT\system32\cfmon.exe (file missing) O23 - Service: FireDaemon Service: spoolsv (spoolsv) - Unknown owner - C:\WINNT\system32\drivers\svc\FireDaemon.EXE (file missing) O23 - Service: FireDaemon Service: svchost (svchost) - Unknown owner - C:\WINNT\system32\drivers\svc\FireDaemon.EXE (file missing) |
|
29.06.2005, 00:04
| #2 |
 | Hilfe... *verzweifel* Hallo inselmaik,
__________________in Deinem Sytem ist alles was es auch nur gibt. Adware, Dialer und auch Backdoor-Trojaner. Eine saubere Bereinigung ist nicht möglich, zumal auch Backdoor-Trojaner aktiv sind. Daher ist ein sauberer Schnitt in Form einer Neuinstallation das Beste, um wieder über ein vertrauenswürdiges System zu verfügen. http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Zwecklosigkeit der Entfernung: http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus
__________________ Geändert von dartus (29.06.2005 um 00:10 Uhr) |
|
| Themen zu Hilfe... *verzweifel* |
| ad-aware, adobe, antivir, antivir update, bho, computer, dateien, defender, drivers, explorer, hijack, hijackthis, infiziert, internet, internet explorer, log-file, logfile, microsoft, monitor, programme, regsvr32, software, sound, symantec, system, system tool, trojan, trojaner, windows |
Linear-Darstellung
