|
Log-Analyse und Auswertung: Rechner Verwurmt?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.08.2005, 20:40 | #1 |
| Rechner Verwurmt? Könnt ihr euch das ma reinziehen? Ich kann nicht ma mehr den task manager auf machen! Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 21:39:50, on 25.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe G:\Razer\razertra.exe G:\Java\bin\jusched.exe G:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\86bbg4f8.exe C:\Program Files\SpySheriff\SpySheriff.exe G:\AVPersonal\AVWUPSRV.EXE G:\Gene6 FTP Server\G6FTPSERVER.EXE G:\mysql\bin\mysqld-nt.exe g:\No-IP\DUC20.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe G:\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\msnmsgr.exe G:\Teamspeak2_RC2\TeamSpeak.exe G:\Winamp\winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE G:\thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [razertra] G:\Razer\razertra.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Java\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [86bbg4f8] C:\WINDOWS\System32\86bbg4f8.exe O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O4 - HKCU\..\RunOnce: [ICQ Lite] G:\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Java\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - G:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - G:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\ICQLite\ICQLite.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c10.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{83929B98-0F93-480A-BA36-D869E1EF2C89}: NameServer = 192.168.2.1 O20 - Winlogon Notify: WB - G:\nvidia-bildschirmschoner\ThemeManager\fastload.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\AVPersonal\AVWUPSRV.EXE O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - G:\Gene6 FTP Server\G6FTPSERVER.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - G:\mysql\bin\mysqld-nt.exe O23 - Service: NoIPDUCService - Vitalwerks LLC - g:\No-IP\DUC20.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - G:\TDSL-SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\TuneUp2006\WinStylerThemeSvc.exe
__________________ CPU: AMD Athlon 1900+ |RAM: 512 MBram| |Graka: NVIDIA GeForce 4 Ti 4400| |Mainboard: AS Rock K7VT2| |Internet: TDSL/Flat + FP| |OS: WinXP Prof1 sp1| |
25.08.2005, 20:55 | #2 |
| Rechner Verwurmt? Hi,
__________________es ist Sinn, von dem da, daß du Deinen Taskmanager nicht mehr aufbringst. Aber du hast noch mehr drauf: Bitte lasse die Datei: C:\WINDOWS\System32\86bbg4f8.exe bei Jotti online scannen und berichte über das Ergebnis. Erst dann machen wir weiter. Lies dich auch mal in das Thema "Smitfraud" ein, den hast du auch noch... (Boardsuche benutzen). Außerdem ist Dein System nicht up to date. SP2 fehlt, also drauf damit, wenn wir bereinigt - oder auch neuaufgesetzt haben. cacatoa
__________________ |
25.08.2005, 21:37 | #3 |
| Rechner Verwurmt?Code:
ATTFilter Auslastung: 0% 100% Datei: 86bbg4f8.exe_ Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Adware.Sahat.J06 gefunden Avast Win32:Adan-003 gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Adware.Shopathome gefunden Dr.Web not a virus Adware.SAHAgent gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Adware/SahAgent gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Sahat.ai gefunden NOD32 Win32/Adware.SAHAgent application gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 AdWare.Sahat.ai gefunden
__________________ |
25.08.2005, 21:49 | #4 |
Rechner Verwurmt? Diese Einträge fixen: F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [86bbg4f8] C:\WINDOWS\System32\86bbg4f8.exe O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Me...bridge-c10.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt03.com/dialer/internazionale_ver11.CAB -lösche diese dateien im abgesicherten modus: 86bbg4f8.exe kernels32.exe im ordner c:\windows\system32 lösche den ordner C:\Program Files\SpySheriff\ poste dann ein neues HJT-Logfile, führe jetzt das mit Smitfraud aus. Erstelle dann noch ein eScan Log und poste es hier. |
Themen zu Rechner Verwurmt? |
administrator, adobe, adobe reader, antivir, bho, dateien, desktop, einstellungen, explorer, f-secure, ftp, hijack, hijackthis, internet, internet explorer, messenger, msn, no-ip, programme, rundll, server, software, system, system32, systemtools, teamspeak, windows, windows xp |