| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hilfe Efewe.EWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
12.07.2005, 16:00
| #1 |
| |  Hilfe Efewe.E Hallo ich habe ein Problem, dass ich schon öfters gesehen habe hier im Forum. Ich bin ganz neu und habe auch gelesen, dass man ein logfile zeigen soll, weil es allen hilft. Ich habe eines gemacht. Mein Problem ist, dass mein Zone Alarm alle 2-5sec einen Fehler zeigt und diesen behebt, der dann immerwieder kommt. Auch startet mein manchmal einfach neu. Systemwiederherstellung kann ich auch nicht mehr machen. Hilfe ich will nicht neu aufsetzen :/ Hier mein logfile von hjack Logfile of HijackThis v1.99.1 Scan saved at 16:52:27, on 12.07.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Programme\Java\jre1.5.0_02\bin\jusched.exe D:\WINDOWS\System32\LVCOMSX.EXE D:\Programme\Logitech\Video\LogiTray.exe D:\Programme\ZoneAlarm\zlclient.exe D:\Programme\cFosSpeed\cFosSpeed.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Gadu-Gadu\gg.exe D:\WINDOWS\System32\ZoneLabs\isafe.exe D:\Programme\cFosSpeed\spd.exe D:\Programme\ewido\security suite\ewidoctrl.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\Programme\Logitech\Video\FxSvr2.exe D:\Programme\ewido\security suite\ewidoguard.exe D:\Programme\Internet Explorer\IEXPLORE.EXE D:\WINDOWS\System32\wuauclt.exe D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [au10tray] au10tray O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [notes] notes.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programme\Gadu-Gadu\gg.exe" /tray O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120737888291 O17 - HKLM\System\CCS\Services\Tcpip\..\{0F8E27B8-876A-452F-95BF-A9841402A8C3}: NameServer = 213.191.74.12 213.191.92.84 O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - D:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\cFosSpeed\spd.exe" -service (file missing) O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: WIN32 (image) - Unknown owner - D:\WINDOWS\image.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe Danke für die Hilfe _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB Geändert von Cidre (12.07.2005 um 17:36 Uhr) |
|
12.07.2005, 16:05
| #2 |
| | Hilfe Efewe.E Ach ja die datei die Zone Alarm löscht heißt image.exe und irgendwie findet er den virus in system32/rdriv.sys
__________________What is this virus? Virus Name: Efewe.E Pervasiveness: 1 of 5 Destructiveness: 4 of 5 Wildness: 2 of 5 Type: Trojan Aliases: [Win32.]Efewe.E; [Win32/]Efewe.E!Trojan; Date Modified: 30-Jun-2005 Date Published: 12-Apr-2005 Description: Win32.Efewe.E is a detection of the open source rootkit FU. A rootkit is an application that allows an intruder to hide malicious activity on a previously compromised machine. Using a rootkit, an attacker can hide processes, files, registry keys and communication channels. Win32.Efewe.E hides the attackers actions by changing data structures in the kernel. This rootkit only functions on Windows NT-based operating systems (i.e. - NT/2000/XP/2003). Computer Associates have received reports from the wild of this rootkit's driver being used by other malware in order to hide their own processes. Examples of such malware include: |
|
12.07.2005, 16:50
| #3 |
| | Hilfe Efewe.E Will mir den keiner #helfen?
__________________  |
|
12.07.2005, 17:30
| #4 | |
 | Hilfe Efewe.EZitat:
1.) Dein Betriebssystem ist nicht upgedatet und daher offen wie ein Scheunentor. 2.) system32/rdriv.sys = wahrscheinlich eine gefährliche Botvariante 3.) Um sicher zu gehen das dem nicht so ist überprüfe dein Betriebssystem mit eScan nach Cidre's Anleitung Die Dateien D:\WINDOWS\image.exe system32/rdriv.sys bei http://virusscan.jotti.org/de überprüfen und das Ergebniss hier posten. |
|
12.07.2005, 17:41
| #5 |
| | Hilfe Efewe.E |
|
| Themen zu Hilfe Efewe.E |
| bho, computer, danke, dll, ellung, explorer, fehler, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, msn, neu, neu aufsetzen, nvidia, problem, programme, rundll, scan, security, security suite, software, systemwiederherstellung, will nicht, windows, windows xp, zone alarm |
Linear-Darstellung
