|
Log-Analyse und Auswertung: Hilfe TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.06.2005, 17:31 | #1 |
| Hilfe Trojaner Ich glaube ich habe wieder einen Trojaner. Mein Antivir hat angegeben, dass er in einem Zip- Archiv war. Ich habe das Archiv und das Programm gelöscht, trotzdem scheint mein PC jetzt nicht frei davon zu sein. Bitte mal angucken. Logfile of HijackThis v1.99.1 Scan saved at 18:26:10, on 29.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Bo-Shot\Bo-Shot.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://###channels.aimtoday.com/search/aimtoolbar.jsp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://####www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Geändert von Lady Babe (29.06.2005 um 19:05 Uhr) |
29.06.2005, 19:39 | #2 |
| Hilfe Trojaner Hi,
__________________deinstalliere unter systemsteuerung/Software das Programm AIM Toolbar es ist nicht so viel schlechtes zu erkennen, diese Einträge im abgesicherten Modus Fixen und danach die Dateien / Ordner löschen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://###channels.aimtoday.com/search/aimtoolbar.jsp O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm aber du kannst mal eScan laufen lassen um Gewissheit zu bekommen Anleitung und Download
__________________ |
29.06.2005, 19:42 | #3 | |
Moderator, a.D. | Hilfe TrojanerZitat:
Gruß Yopie |
30.06.2005, 08:27 | #4 |
| Hilfe Trojaner Eine oder mehrere Dateien wären befallen von DR/PSW.Lineage.LB @Gigamail Ich hab unter Software keinen extra Eintrag der AIM Toolbar heißt. Da steht nur der AOL Messenger selber drin. Welche Dateien muss ich fixen? Ich hab das noch nie gemacht, ich hab Angst dass ich da was falsches mache. Bitte genauer erklären. Ich will nicht schon wieder formatieren!!!!!! |
30.06.2005, 14:46 | #5 | |
Moderator, a.D. | Hilfe TrojanerZitat:
Gruß Yopie |
30.06.2005, 14:56 | #6 |
| Hilfe Trojaner Ich hab mir die Meldung nicht gemerkt. Der Virus oder was auch immer das ist konnte von Antivir nicht gelöscht werden. Also hab ich die Datei wo der war von Hand gelöscht. Wenn ich jetzt Antivir laufen lasse kommt zwar keine Fehlermeldung mehr aber im Kurzreport steht, dass Viren oder unerwünschte Dateien gefunden worden sind. Das krieg ich halt nicht weg! |
30.06.2005, 23:30 | #7 | |
Administrator, a.D. | Hilfe Trojaner Hallo Lady Babe, Zitat:
|
02.07.2005, 11:44 | #8 |
| Hilfe Trojaner Ich poste hier mal den Teil des Reports auf den es denke ich mal ankommt. Da Im Kurzreport nur steht was ich bisher schon gesagt hab. Start des Suchlaufs: Samstag, 2. Juli 2005 11:58 Speichertest OK Master-Bootsektor von Festplatte HD0 OK Bootsektor von Laufwerk C: OK Bootsektor von Laufwerk D: OK C:\ pagefile.sys Zugriff verweigert! Fehler beim Öffnen der Datei. Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery MiniBug.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent1.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt WildTangent2.zip ArchiveType: ZIP HINWEIS! Das gesamte Archiv ist passwortgeschützt C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6NWCPZA5 programs_1169[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CNDR2UJH msgrchkr.cab31267[1].cab ArchiveType: CAB (Microsoft) --> msgrchkr.dll HINWEIS! Der Archivheader ist defekt C:\Dokumente und Einstellungen\Sandra\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EIQ6OS9P programs_1168[1].zip ArchiveType: ZIP HINWEIS! Das Archiv ist unbekannt oder defekt Fehler beim Wechsel in das Verzeichnis System Volume Information C:\WINDOWS\system32\config default Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SAM Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! SECURITY Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! software Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! system Zugriff verweigert! Fehler beim Öffnen der Datei. Fehlercode: 0x000D WARNUNG! Zugriffsfehler/Datei gesperrt! Fehler beim Wechsel in das Verzeichnis System Volume Information Ende des Suchlaufs: Samstag, 2. Juli 2005 12:37 Benötigte Zeit: 38:10 min 2216 Verzeichnisse wurden durchsucht 48672 Dateien wurden geprüft 6 Warnungen wurden ausgegeben 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Viren bzw. unerwünschte Programme wurden gefunden |
02.07.2005, 12:50 | #9 |
Administrator, a.D. | Hilfe Trojaner Ehrlich gesagt, kann man aus dem Report nicht viel rauslesen. Zur Sicherheit kannst du mit eScan AntiVirus im abgesicherten Modus scannen und uns anschließend die Virus Log Information posten. |
02.07.2005, 16:43 | #10 |
| Hilfe Trojaner Ich hab nen e-scan gemacht. Nur erstellt sich nachdem ich auf find.bat geklickt hab kein neues log! |
02.07.2005, 19:02 | #11 |
Administrator, a.D. | Hilfe Trojaner Eventuell hast du die Beschreibung nicht richtig abgearbeitet... Tja, dann solltest du jetzt den manuellen Alternativweg einschlagen und uns die Infos zukommen lassen. |
02.07.2005, 21:22 | #12 |
| Hilfe Trojaner Ich hab aber genau die Anletung befolgt!!! Welche Infos müssen das denn genau sein???? |
Themen zu Hilfe Trojaner |
adobe, antivir, antivir update, avg, bho, dateien, excel, explorer, gelöscht, hijack, hijackthis, hilfe trojaner, icq, internet, internet explorer, messenger, microsoft, programm, programme, software, system, system32, trojane, trojaner, tuneup utilities, update, windows, windows messenger, windows xp |