| |
| |||||||
Log-Analyse und Auswertung: Was muss ich hier fixen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
09.08.2005, 11:20
| #1 |
| |  Was muss ich hier fixen? Hallo leute! ich hab mal wieder ein problem mit irgend welchen trojanern.... ich hab den CCleaner mal laufen lassen und hab einen panda onlinscan gemacht.. der hat aber nix gefunden... ich hab mal den HijackThis laufen lassen und musste feststellen das irgend wie ziemlich viele sachen dadrin stehen mit denen ich nix anfangen kann.... Logfile of HijackThis v1.99.1 Scan saved at 12:09:16, on 09.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\kernels32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE C:\Programme\Creative\SBLive\Program\CTAvTray.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\WINDOWS\System32\icasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Daniel\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=082305 serial=DR12WTX-9999998-YSP lang=DE O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [icasServ] C:\WINDOWS\System32\icasServ.exe O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dcom_9.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe vielen dank schonmal für eure hilfe! |
|
09.08.2005, 11:32
| #2 |
| /// Helfer-Team    | Was muss ich hier fixen? Du hast ein absolut veraltetes und ungepatchtes System. Deshalb auch Deine Probleme.
__________________Lasse die Datei C:\WINDOWS\System32\kernels32.exe hier scannen: http://virusscan.jotti.org/de/ |
|
09.08.2005, 11:39
| #3 |
| | Was muss ich hier fixen? also das kam dabei raus....
__________________Datei: kernels32.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: FSG AntiVir TR/Dldr.Small.agq.4 gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender BehavesLike:Trojan.ShellStartup gefunden (mögliche Variante) ClamAV Trojan.Downloader.Small-627 gefunden Dr.Web Trojan.DownLoader.2489 gefunden F-Prot Antivirus unknown virus gefunden (mögliche Variante) Fortinet Keine Viren gefunden Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.agq gefunden NOD32 a variant of Win32/TrojanDownloader.Small.AWA gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Trojan.Downloader.Small.1 gefunden (mögliche Variante) ich glaub das iss garnet gut... |
|
09.08.2005, 11:48
| #4 |
 | Was muss ich hier fixen? Hallo, gar net gut ist wahrscheinlich der hier C:\WINDOWS\System32\MsPMSPSv.exe==> http://vil.nai.com/vil/content/v_100454.htm wenn sich das bestädigt dann solltest du dein System Neuaufsetzen. Also beende den Prozess im Taskmanager und lasse mal die Datei hier scannen und teile das Ergebnis mit, für die Aktion solltest du deinen Virenscanner deaktivieren |
|
10.08.2005, 10:35
| #5 |
| | Was muss ich hier fixen? @ dfe2602 was soll die ganze Doktorarbeit wenn du nicht nach den Ratschlägen gehst die dir gegeben werden. Ich hatte im Post #4 schon mal darauf hingewiesen, aber anscheinend hast du das überlesen. Die Datei befindet sich immer noch auf deinem Rechner und hättest du sie geprüft wie beschrieben dann wäre das Neuaufsetzen wahrscheinlich schon dort klar gewesen. Ich kann Dartus nur beipflichten. |
|
09.08.2005, 11:55
| #6 |
| /// Helfer-Team | Was muss ich hier fixen? Dabei handelt es sich um den: http://www.sophos.de/virusinfo/analy...dloaderfs.html Damit ist ein Neuaufsetzen erforderlich. Beachte genau: http://www.trojaner-board.de/showthread.php?t=12154 |
|
09.08.2005, 11:58
| #7 |
| | Was muss ich hier fixen? ja geil... der taskmanager wurde durch den administrator deaktiviert... und ich dachte bissher ich währ der admin...  |
|
09.08.2005, 12:14
| #8 |
| /// Helfer-Team | Was muss ich hier fixen? Wenn Du hier nicht weiterkommst, dann mache den escan, genau nach Anleitung und poste das mit der find.bat erzeugte Log: http://www.trojaner-board.de/showthread.php?t=17492 Ich denke mal, es wird ein Neuaufsetzen. |
|
09.08.2005, 12:21
| #9 | |
| | Was muss ich hier fixen?Zitat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "1" in HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr = "0" umändern. |
|
09.08.2005, 15:21
| #10 |
| | Was muss ich hier fixen? ich hab das mit dem scanner mal probiert... genau nach anleitung.... das kam dabei raus.... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 14:42:10 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:42:19 2005 => File C:\WINDOWS\System32\kernels32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:42:28 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Tue Aug 09 14:42:30 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Tue Aug 09 14:51:02 2005 => File C:\WINDOWS\Downloaded Program Files\win32.exe infected by "Trojan-Downloader.Win32.Small.agq" Virus! Action Taken: No Action Taken. Tue Aug 09 14:54:02 2005 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHIJKLMN\winlogon[1].exe infected by "not-virus:Hoax.Win32.Renos.l" Virus! Action Taken: No Action Taken. Tue Aug 09 15:05:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Aug 09 15:13:12 2005 => File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Small.amb" Virus! Action Taken: No Action Taken. Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Bartezz - Infected.mp3 Tue Aug 09 15:52:46 2005 => Scanning File E:\mp3\b\Barthezz\Barthezz - Infected.mp3 Tue Aug 09 16:02:30 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 15:28:56 2005 => File D:\Sicherung\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken. Tue Aug 09 15:57:52 2005 => File F:\Daniel\programme\clonecd\kmd171_de.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Tue Aug 09 16:02:30 2005 => Total Virus(es) Found: 10 Tue Aug 09 16:02:30 2005 => Total Errors: 38 Tue Aug 09 16:02:30 2005 => Time Elapsed: 01:20:24 Tue Aug 09 16:02:30 2005 => Total Objects Scanned: 104405 Tue Aug 09 14:41:32 2005 => Virus Database Date: 2005/08/09 Tue Aug 09 16:02:30 2005 => Virus Database Date: 2005/08/09 Tue Aug 09 16:03:30 2005 => Virus Database Date: 2005/08/09 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ wo muss ich das mit dem taskmanager denn einstellen? in der regestry??? ich hab das nirgendswo gefunden.... |
|
09.08.2005, 17:01
| #11 |
| /// Helfer-Team | Was muss ich hier fixen? Es ist der, wie ich vermutet habe. Laut Sophos macht er das: Troj/Vixup-F ist ein Downloader-Trojaner für die Windows-Plattform. Troj/Vixup-F enthält Funktionalität zum Herunterladen, Installieren und Starten neuer Software. Troj/Vixup-F versucht, den Windows Task-Manager zu deaktivieren. Den Taskmanager hat er ja schon. Ich weiss auch nicht, wielange er schon im System ist. Schaue es Dir selbst an: http://www.sophos.de/virusinfo/analyses/trojvixupf.html |
|
| Themen zu Was muss ich hier fixen? |
| adobe, antivir, avgnt.exe, bho, browser, canon, excel, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, monitor, nvidia, problem, programme, rundll, scan, server, software, spyware, system, temp, trojaner, urlsearchhook, windows, windows xp |
Hybrid-Darstellung
