|
Log-Analyse und Auswertung: Hilfeeeee!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.07.2005, 07:09 | #1 |
| Hilfeeeee! Hallo, mein avast Antivirus hat gleich 2 mal den Sober Wurm entdeckt. Dieser wurde 2 Mails aus dem eMail-Ordner der gelöschten Objekte zugeordnet. Leider lässt sich der Pfad nicht über KillBox zuordnen, kann ich einfach die Mails über Outlook löschen? Außerdem hat avast die Datei msole32.exe.vir als einen Trojaner identifiziert. Was kann ich tun, wie lösche ich diese Schädlinge? Hatte schon mit dem Smitfraud.c i.V.m. PSGuard zu kämpfen. In diesem Zusammenhang habe ich auch den Thread 17863 befolgt. Dort sind Dateien aufgeführt, die man löschen soll, das habe ich getan. Außerdem habe ich folgende ähnliche Dateien entdeckt: c:\windows\system32\help.exe (statt helper.exe) c:\windows\system32\intmon.exe (statt intmonp.exe) c:\windows\system32\msole32.exe.vir (statt msole32.exe) c:\windows\system32\perfci.ini (statt perfcii.ini) Das heißt, die Dateien in Klammern soll ich laut der Anleitung löschen, aber was ist mit den ähnlich klingenden Dateien wie perfci.ini? Ich wollte einfach nur sichergehen, dass hier kein Tippfehler vorliegt o.ä.... Außerdem wird weiter im o.g. Thread die Datei c:\windows\system32\hhk.dll erwähnt. Muss diese auch gelöscht werden? Anbei zusätzlich mein anschließender HiJack-log: Logfile of HijackThis v1.99.1 Scan saved at 07:58:21, on 21.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Oleco\_oleco.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\Sicherheit\HiJack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [TweakUI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04a\BrStDvPt.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [PSGuard spyware remover] C:\Programme\PSGuard\PSGuard.exe O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\system32\NILaunch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\system32\intel32.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\SICHER~1\AVASTA~1\ashDisp.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) – h**p://support.f-secure.com/ols/fscax.cab O20 - Winlogon Notify: igfxcui - igfxsrvc.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Sicherheit\Avast Antivirus\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Sicherheit\Avast Antivirus\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Sicherheit\Avast Antivirus\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Sicherheit\Avast Antivirus\ashWebSv.exe" /service (file missing) O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - Unknown owner - C:\Programme\F-Secure Anti-Virus\fswsclds.exe (file missing) O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
21.07.2005, 10:28 | #2 |
/// Helfer-Team | Hilfeeeee! Sage mal, vieviele Thread willst Du noch eröffnen, bringe einen mal ordentlich zu Ende.
__________________http://www.trojaner-board.de/showthread.php?t=20011 http://www.trojaner-board.de/showthread.php?t=20015 Mache einen escan und poste das Ergebnis. http://www.trojaner-board.de/showthread.php?t=17492 |
22.07.2005, 06:40 | #3 |
| Hilfeeeee! Hallo,
__________________Du hast recht, ich war etwas in Panik... Habe nun nach dem Löschen von AntiVir einen erneuten Scan mit eScan durchgeführt. Der Rechner ist seitdem wieder schneller! Das Ergebnis war: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 22 05:17:55 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Jul 22 05:18:29 2005 => File C:\WINDOWS\system32\hhk.dll infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken. Fri Jul 22 05:18:39 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken. Fri Jul 22 05:40:42 2005 => File C:\WINDOWS\$NtUninstallKB883939$\wininet.dll infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken. Fri Jul 22 05:55:57 2005 => File C:\WINDOWS\system32\hhk.dll infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken. Fri Jul 22 05:56:08 2005 => File C:\WINDOWS\system32\intmon.exe infected by "Trojan.Win32.Puper.aa" Virus! Action Taken: No Action Taken. Fri Jul 22 05:58:17 2005 => File C:\WINDOWS\uninstIU.exe infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken. Fri Jul 22 05:59:44 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 22 05:59:44 2005 => Total Virus(es) Found: 7 Fri Jul 22 05:59:44 2005 => Total Errors: 161 Fri Jul 22 05:59:44 2005 => Time Elapsed: 00:44:02 Fri Jul 22 05:59:44 2005 => Total Objects Scanned: 37513 Fri Jul 22 05:15:21 2005 => Virus Database Date: 2005/07/22 Fri Jul 22 05:59:44 2005 => Virus Database Date: 2005/07/22 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Daraufhin habe ich die o.g. Dateien mittles KillBox gelöscht und der neue Test von eScan sieht gleich besser aus: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 22 07:03:41 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Fri Jul 22 07:03:41 2005 => Total Virus(es) Found: 0 Fri Jul 22 07:03:41 2005 => Total Errors: 161 Fri Jul 22 07:03:41 2005 => Time Elapsed: 00:44:48 Fri Jul 22 07:03:41 2005 => Total Objects Scanned: 37321 Fri Jul 22 07:03:41 2005 => Virus Database Date: 2005/07/22 Fri Jul 22 07:10:16 2005 => Virus Database Date: 2005/07/22 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ War das richtig mit KillBox oder habe ich nun irgendwelche wichtige Dateien gelöscht? Vielen Dank! Maddin |
22.07.2005, 08:31 | #4 |
/// Helfer-Team | Hilfeeeee! Da scheint ja alles i.O. Du kannst zur Sicherheit noch Spybot, ad-adaware sowie cleanup installieren. http://www.comsafe.de/download.html |
Themen zu Hilfeeeee! |
antivirus, avast, avast antivirus, avast!, browser, controlcenter, ctfmon.exe, dateien, excel, explorer, f-secure, g lösche, helper.exe, hijackthis, internet, internet explorer, launch, löschen, messenger, microsoft, popup, programme, regsvr32, rundll, schädlinge, security, security center, sicherheit, software, spyware, system, trojaner, windows, windows messenger, windows security, windows xp, wurm |