|
Log-Analyse und Auswertung: Ich brauche Hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.08.2005, 00:32 | #1 |
| Ich brauche Hilfe!!! Hallo kann mir vielleicht jemand helfen? Ich hab anscheinend den bloodhound.W32.EP Norton repariert nur aber löscht ihn nicht. ich hoffe ihr könnt mir irgendwie behilflich sein........ Das ist meine Logfile: Logfile of HijackThis v1.99.1 Scan saved at 00:55:31, on 11.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\javascript.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\SYSTEM32\THOTKEY.EXE C:\Programme\TOSHIBA\TME2\Tmesrv2.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\TPWRTRAY.EXE C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\system32\Promon.exe C:\PROGRA~1\Adaptec\DirectCD\directcd.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\ICQLite\ICQLite.exe C:\WINNT\system32\algs.exe C:\WINNT\system32\internat.exe C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\Bin\HPOstr05.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\bin\HPOVDX05.EXE C:\WINNT\system32\hpoipm07.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\system32\winlogon.pif C:\WINNT\system32\winlogon.pif C:\WINNT\system32\winlogon.pif R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page0=http://google.icq.com[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.t-online.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O1 - Hosts: 69.15.98.210 onlineaccounts2.abbeynational.co.uk O1 - Hosts: 69.15.98.210 www3.aibgbonline.co.uk O1 - Hosts: 69.15.98.210 www.bank.alliance-leicester.co.uk O1 - Hosts: 69.15.98.210 login.iblogin.com O1 - Hosts: 69.15.98.210 ww2.bankofscotlandhalifax-online.co.uk O1 - Hosts: 69.15.98.210 inet.barclays.co.uk O1 - Hosts: 69.15.98.210 iibank.barclays.co.uk O1 - Hosts: 69.15.98.210 iibank.cahoot.com O1 - Hosts: 69.15.98.210 www3.coventrybuildingsociety.co.uk O1 - Hosts: 69.15.98.210 ww.hsbc.co.uk O1 - Hosts: 69.15.98.210 login.ebank.offshore.hsbc.co.je O1 - Hosts: 69.15.98.210 ww3.online-offshore.lloydstsb.com O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk O1 - Hosts: 69.15.98.210 ww3.online.lloydstsb.co.uk O1 - Hosts: 69.15.98.210 ww3.online-business.lloydstsb.co.uk O1 - Hosts: 69.15.98.210 ob2.nationet.com O1 - Hosts: 69.15.98.210 ww1.nwolb.com O1 - Hosts: 69.15.98.210 ww1www.rbsdigital.com O1 - Hosts: 69.15.98.210 welcome.smile.co.uk O1 - Hosts: 69.15.98.210 login.365online.com O1 - Hosts: 69.15.98.210 esecure.regionsnet.com O1 - Hosts: 69.15.98.210 rollb.associatedbank.com O1 - Hosts: 69.15.98.210 upb.unionplanters.com O1 - Hosts: 69.15.98.210 www.onlinebanking.huntington.com O1 - Hosts: 69.15.98.210 inet.southtrustonlinebanking.com O1 - Hosts: 69.15.98.210 logon.personal.wamu.com O1 - Hosts: 69.15.98.210 login.compassweb.com O1 - Hosts: 69.15.98.210 logon.firstmeritib.com O1 - Hosts: 69.15.98.210 login.ccfcuonline.org O1 - Hosts: 69.15.98.210 ww3.etimebanker.bankofthewest.com O1 - Hosts: 69.15.98.210 ww2.onlinebanking.lasallebank.com O1 - Hosts: 69.15.98.210 wvw.totallyfreebanking.com O1 - Hosts: 69.15.98.210 [url]www.online.wellsfargo.com O1 - Hosts: 69.15.98.210 [url]www.onlinebanking.bankofoklahoma.com O1 - Hosts: 69.15.98.210 accounts4.keybank.com O1 - Hosts: 69.15.98.210 logon.bankone.com O1 - Hosts: 69.15.98.210 [url]www.secure.tdbanknorth.com O1 - Hosts: 69.15.98.210 [url]www.secure.mvnt4.com O1 - Hosts: 69.15.98.210 ww.mynfbonline.com O1 - Hosts: 69.15.98.210 login.forumcuonline.com O1 - Hosts: 69.15.98.210 www.eds.usersonlnet.com O1 - Hosts: 69.15.98.210 www.onlineid.bankofamerica.com O1 - Hosts: 69.15.98.210 wvw.e-gold.com O1 - Hosts: 69.15.98.210 pcbs.peoples.com O1 - Hosts: 69.15.98.210 www.global1.onlinebank.com O1 - Hosts: 69.15.98.210 ww2.mybranch.lafcu.com O1 - Hosts: 69.15.98.210 login.webbanking.comerica.com O1 - Hosts: 69.15.98.210 web.banking.firsttennessee.com O1 - Hosts: 69.15.98.210 logon.members1st.org O1 - Hosts: 69.15.98.210 www.cib.ibanking-services.com O1 - Hosts: 69.15.98.210 www.miwebbusbank.ebanking-services.com O1 - Hosts: 69.15.98.210 wvw.paypal.com O1 - Hosts: 69.15.98.210 www.signin.ebay.com O1 - Hosts: 69.15.98.210 wvw.etrade.com O1 - Hosts: 69.15.98.210 ww4.fleethomelink.fleet.com O1 - Hosts: 69.15.98.210 ww3.connect.skyfi.com O1 - Hosts: 69.15.98.210 www6.usbank.com O1 - Hosts: 69.15.98.210 www.bvi.bancodevalencia.es O1 - Hosts: 69.15.98.210 extrant.banesto.es O1 - Hosts: 69.15.98.210 banesnt.banesto.es O1 - Hosts: 69.15.98.210 activia.caixagalicia.es O1 - Hosts: 69.15.98.210 www.bancae.caixapenedes.com O1 - Hosts: 69.15.98.210 login.caixasabadell.net O1 - Hosts: 69.15.98.210 oii.cajamadrid.es O1 - Hosts: 69.15.98.210 login.cajamar.es O1 - Hosts: 69.15.98.210 login.ccm.es O1 - Hosts: 69.15.98.210 ww.unicaja.es O1 - Hosts: 69.15.98.210 www5.bancopopular.es O1 - Hosts: 69.15.98.210 ww3.bbvanet.com O1 - Hosts: 69.15.98.210 ww.bayernlb.de O1 - Hosts: 69.15.98.210 ww2.berliner-volksbank.de O1 - Hosts: 69.15.98.210 ww7.homebanking-berlin.de O1 - Hosts: 69.15.98.210 portal09.commerzbanking.de O1 - Hosts: 69.15.98.210 www.meine.deutsche-bank.de O1 - Hosts: 69.15.98.210 ww2.dresdner-privat.de O1 - Hosts: 69.15.98.210 ww.e-banking.helaba.de O1 - Hosts: 69.15.98.210 ww.hsh-nordbank.de O1 - Hosts: 69.15.98.210 www.my.hypovereinsbank.de O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de O1 - Hosts: 69.15.98.210 ww3.homebanking-berlin.de O1 - Hosts: 69.15.98.210 www.banking.lbbw.de O1 - Hosts: 69.15.98.210 lrp.sparkasse-banking.de O1 - Hosts: 69.15.98.210 ww3.homebanking-niedersachsen.de O1 - Hosts: 69.15.98.210 www.onlinebanking.norisbank.de O1 - Hosts: 69.15.98.210 ww1.portal.izb.de O1 - Hosts: 69.15.98.210 wvw.kunden-service.lbs.de O1 - Hosts: 69.15.98.210 ibanking.seb.de O1 - Hosts: 69.15.98.210 bw7.sparkasse-banking.de O1 - Hosts: 69.15.98.210 ww2.homebanking-sparkasse.de O1 - Hosts: 69.15.98.210 ww2.vr-networld-ebanking.de O1 - Hosts: 69.15.98.210 ww.bics.fr O1 - Hosts: 69.15.98.210 www.co.caixabank.fr O1 - Hosts: 69.15.98.210 ww.creditmutuel.fr O1 - Hosts: 69.15.98.210 internetbank.intesabci.it O1 - Hosts: 69.15.98.210 ww.extensive.bancalombarda.it O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME2\TMESRV2.EXE /logon O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Promon.exe] Promon.exe O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\system32\algs.exe O4 - HKLM\..\Run: [Windows Logon Service] winlogon.pif O4 - HKLM\..\RunServices: [Windows Logon Service] winlogon.pif O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Windows Logon Service] winlogon.pif O4 - HKCU\..\RunServices: [Windows Logon Service] winlogon.pif O4 - Global Startup: Network Device Switch.lnk = C:\Programme\TOSHIBA\NetDevSw\NetDevSW.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: HP OfficeJet T Series-Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet T Series NT\Bin\HPOstr05.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC}http://key.one2bill.de/soft/axload.cab O16 - DPF: {54C75FB0-6B8B-4278-BF7B-77036F15A69E}http://akamai.downloadv3.com/binarie...1041_EN_XP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) http://update.microsoft.com/windowsu...?1123599432254 O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - http://akamai.downloadv3.com/binarie...1043_EN_XP.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1B24A5D2-AEC6-4496-A34D-85228772FE8F}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{7BF56AA5-E02C-4076-88D1-13DEECA9A02B}: NameServer = 192.168.0.1 O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Enables Javascript Support (Javascript) - Unknown owner - C:\WINNT\system32\javascript.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE O23 - Service: Tmesrv2 (Tmesrv) - Toshiba - C:\Programme\TOSHIBA\TME2\Tmesrv2.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
11.08.2005, 00:36 | #2 | |
| Ich brauche Hilfe!!! Hallo,
__________________starte den Taskmanager (Strg + Alt + Entf) und beende den Prozess/die Prozesse winlogon.pif Wechsle dann auf die Seite http://virusscan.jotti.org/de und kopiere den Pfad C:\WINNT\system32\winlogon.pif in das weiße Kästchen. Klicke anschließend auf "Abschicken". Poste das Ergebnis mittels copy&paste, sieht etwa so aus: Zitat:
|
11.08.2005, 00:48 | #3 |
| Ich brauche Hilfe!!! so siehts dann bei mir:
__________________Datei: winlogon.pif Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Win32.HLLW.MyBot gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden und jetzt? schonmal vielen dank! |
11.08.2005, 00:54 | #4 |
| Ich brauche Hilfe!!! Verwende bitte ein geeignetes Packprogramm und packe die Datei mit einem Passwort versehen. Speichere dieses Archiv dann auf Diskette. [1] Setz' das System dann schnellstmöglich nach dieser Anleitung neu auf, es gehört dir nicht mehr! [1] Das Archiv kannst du dann an die AV-Hersteller senden -> http://www.trojaner-board.de/showthread.php?t=19273 |
11.08.2005, 01:00 | #5 |
| Ich brauche Hilfe!!! mist und ich kann echt nix anderes machen als das system neu aufzusetzen? |
11.08.2005, 01:12 | #6 | |
| Ich brauche Hilfe!!!Zitat:
|
Themen zu Ich brauche Hilfe!!! |
adobe, antivirus, application, brauche hilfe, button, check, dateien, explorer, helfen, hijack, hijackthis, hilfe!, hilfe!!, hilfe!!!, icqtoolbar, internet, internet explorer, links, logfile, microsoft, officejet, programme, settings manager, software, start, symantec, system, system32, telekom, toshiba, urlsearchhook, usb, windows |