| |
| |||||||
Log-Analyse und Auswertung: ABoxInst_int12[1].exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
02.09.2005, 17:34
| #1 |
| | ![ABoxInst_int12[1].exe - Standard](images/icons/icon1.gif){kind=icon} ABoxInst_int12[1].exe kann mir jemand helfen ??? wie bekomme ich das PFERD WEG? hier das Logfile von Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 18:25:08, on 2.9.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\Perfhmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\PLook\Plook.exe C:\WINDOWS\System32\updates.pif C:\WINDOWS\System32\MSDOS.PIF C:\WINDOWS\System32\MSsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\mozilla.org\Mozilla\mozilla.exe C:\WINDOWS\etb\pokapoka65.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Dokumente und Einstellungen\Mercedes\Desktop\Alles mögliche\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.eza1netsearch.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.eza1netsearch.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.eza1netsearch.com/sp2.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://runonce.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*h**p://www.yahoo.com/ext/search/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.eza1netsearch.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*h**p://www.yahoo.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Update] sys.exe O4 - HKLM\..\Run: [File System] taskmqrs.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [Windows ASN Service] dwy.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MSsvc322] C:\WINDOWS\System32\MSsvc32.exe O4 - HKLM\..\Run: [psplittero] C:\Program Files\psplittero.exe O4 - HKLM\..\Run: [Plook] C:\Programme\PLook\Plook.exe O4 - HKLM\..\Run: [System Updates Service] updates.pif O4 - HKLM\..\Run: [MSDOS Security Service] MSDOS.PIF O4 - HKLM\..\Run: [lsass] C:\windows\system32\eliteldm32.exe O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe O4 - HKLM\..\RunServices: [Microsoft Update] sys.exe O4 - HKLM\..\RunServices: [File System] taskmqrs.exe O4 - HKLM\..\RunServices: [Windows ASN Service] dwy.exe O4 - HKLM\..\RunServices: [System Updates Service] updates.pif O4 - HKLM\..\RunServices: [MSDOS Security Service] MSDOS.PIF O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [File System] taskmqrs.exe O4 - HKCU\..\Run: [Microsoft Update] sys.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Windows Help Service] winhlp.pif O4 - HKCU\..\Run: [System Update Service] system.pif O4 - HKCU\..\Run: [Plook] C:\Programme\PLook\Plook.exe O4 - HKCU\..\Run: [Windows Update Service] update32.pif O4 - HKCU\..\Run: [System Updates Service] updates.pif O4 - HKCU\..\Run: [MSDOS Security Service] MSDOS.PIF O4 - HKCU\..\RunServices: [Windows Help Service] winhlp.pif O4 - HKCU\..\RunServices: [System Update Service] system.pif O4 - HKCU\..\RunServices: [Windows Update Service] update32.pif O4 - HKCU\..\RunServices: [System Updates Service] updates.pif O4 - HKCU\..\RunServices: [MSDOS Security Service] MSDOS.PIF O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123417431447 O17 - HKLM\System\CCS\Services\Tcpip\..\{66C95939-1EA8-4600-A9A7-26A621CC51DE}: NameServer = 195.50.140.252 145.253.2.203 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Mouse Button Monitor (mousebm) - Unknown owner - C:\WINDOWS\System32\mousebm.exe (file missing) O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Performance Logs (Perfhmon) - Unknown owner - C:\WINDOWS\System32\Perfhmon.exe O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\sysdat.exe (file missing) thx im Voraus [edit] links entfernt [/edit] Geändert von GUA (25.09.2005 um 17:39 Uhr) |
|
02.09.2005, 17:51
| #2 |
  | ABoxInst_int12[1].exe Auf deinem System bedindet sich unter anderem dieser:
__________________http://www.sophos.de/virusinfo/analyses/w32rbotama.html Und auch alleine dieser rechtfertigt es schon, dein System als kompromittiert zu bezeichnen.Grund dafür ist u.a. dein völlig ungepatchtes System. Hier hilft leider nur ein Neuaufsetzen.Gehe nach folgender Anleitung vor, um sowas in Zukunft zu verhindern: http://www.trojaner-board.de/showthread.php?t=12154
__________________ |
|
25.09.2005, 16:39
| #3 |
 | ABoxInst_int12[1].exe Also, mein AntiVir Guard hat den Virus eben auch entdeckt, und konnte ich erfolgreich löschen. Danach hab ich nochmal einen Virenscan durchgeführt und er hat nichts mehr gefunden. Ist der jetzt endgültig weg, oder kann man meinen PC weiterhin ausspionieren?
__________________ |
|
26.09.2005, 10:32
| #4 |
 | ABoxInst_int12[1].exe ~~EDIT~~ Falscher Bezug meinerseits @lukki Post doch mal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 Wenn Du die gleichen Probleme hast wird ein Entfernen der Dateien nicht reichen! Cu, stupormundi |
|
26.09.2005, 17:46
| #5 |
| | ABoxInst_int12[1].exe Das hier ist mein HJT Log: Hab aber keine Ahnung wie man das auswertet, wäre nett, wenn mir jemand helfen könnte. [edit] mache dazu bitte einen eigenen beitrag auf, da sonst gleich keiner mehr weiß, wer hier wann wem hilft  [/edit] Geändert von GUA (26.09.2005 um 18:02 Uhr) |
|
| Themen zu ABoxInst_int12[1].exe |
| antivir, cursor, desktop, dll, einstellungen, explorer, helfen, help, helper, hijack, hijackthis, icqtoolbar, internet, internet explorer, logfile, monitor, nvidia, performance, programme, rundll, scan, security, software, system, urlsearchhook, virus, windows, windows xp |
![ABoxInst_int12[1].exe](iconimages/log-analyse-auswertung/aboxinst_int12-1-exe_ltr.gif)
Linear-Darstellung
