|
Log-Analyse und Auswertung: Spyware und Trojaner am SystemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.09.2005, 15:36 | #1 |
| Spyware und Trojaner am System Hallo! + Habe massive Probleme beim Internetsurfen mit dem Internet Explorer. Kann manche Seiten garnicht oeffnen, u.a. die microsoft update Seite. + beim Explorer habe ich oben so eine komische Leiste mit Links und Suchoption die ich nicht wegbekomme. + Dauernd wird versucht Eintraege in der Registrierungsdatenbank zu aendern. + Wenn ich auf die y taste druecke kommt ein z raus und vice versa. Auch ander Symbole sind vertauscht so wie auf einer britischen Tastatur. + Habe AdAware, Antivir und Spybot im abgesicherten modus laufen lassen, es wurde nichts gefunden. + jetzt habe ich eScan im abgesicherten Modus und mit deaktivierter systemwiederherstellung laufen lassen, und hier ist die Virus Log Information: Object "RedV Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\msxml3a.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HPQ\Safety and Comfort Guide\PchCabInstall.vbs". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\HPQ\Safety and Comfort Guide\ahpregw.cab". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\System32\DIMM.DLL". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\System32\cmmgr32.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Easy-WebPrint" refers to invalid object "C:\Programme\Canon\Easy-WebPrint\Easy-WebPrint". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\ORUN32.EXE" refers to invalid object "C:\WINDOWS\ORUN32.EXE". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\setup.exe" refers to invalid object "C:\Programme\ATI Technologies\ATI Control Panel\setup.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\WINDOWS\yourapp.Exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporary File Cache\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Hewlett-Packard\Memories Disc\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB822603". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "KB824146". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q331958". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q810400". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q813347". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q815485". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q816500". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Q817357". Action Taken: No Action Taken. Entry "HKCR\CLSID\{00020906-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{00020907-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{000209FE-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{000209FF-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0006F033-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0006F03A-0000-0000-C000-000000000046}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{06290BD5-48AA-11D2-8432-006008C3FBFC}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{72C24DD5-D70A-438B-8A42-98424B88AFB8}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{78D80080-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{78D80081-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{78D80082-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{78D80083-F388-11D3-9161-00105A07EA40}" refers to invalid object "C:\WINDOWS\SYSTEM\LCODCCMP.DLL". Action Taken: No Action Taken. Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\scrauth.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrBlock.dll". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{DCB43485-19FB-4D6D-BB3D-73C7F48D5F00}" refers to invalid object "C:\Programme\Messenger\rtcimsp.dll". Action Taken: No Action Taken. Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken. Entry "HKCR\Alg.AlgSetup" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken. Entry "HKCR\Alg.AlgSetup.1" refers to invalid object "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Action Taken: No Action Taken. Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken. Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken. Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken. Entry "HKCR\DSP.DSPDMOProp_Chorus.1" refers to invalid object "{6F63B172-5543-4593-91CE-EDBA65B9FACDB}". Action Taken: No Action Taken. Entry "HKCR\MailFileAtt" refers to invalid object "{00020D05-0000-0000-C000-000000000046}". Action Taken: No Action Taken. Entry "HKCR\mapifvbx.object" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Entry "HKCR\mapifvbx.object.1" refers to invalid object "{41116C00-8B90-101B-96CD-00AA003B14FC}". Action Taken: No Action Taken. Entry "HKCR\msbackupfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\ntbackup.exe". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\Plenoptic.Plenoptic.1" refers to invalid object "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Action Taken: No Action Taken. Entry "HKCR\ppifile\shell\open\command" refers to invalid object "%SystemRoot%\System32\msppcnfg.exe /Config %1". Action Taken: No Action Taken. Entry "HKCR\RTCCore.RTCClient" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken. Entry "HKCR\RTCCore.RTCClient.1" refers to invalid object "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Action Taken: No Action Taken. Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" refers to invalid object "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Action Taken: No Action Taken. File C:\WINDOWS\Austria.exe infected by "Trojan.Win32.Dialer.jr" Virus! Action Taken: No Action Taken. File C:\WINDOWS\Austria.exe infected by "Trojan.Win32.Dialer.jr" Virus! Action Taken: No Action Taken. Ich weiss nicht was ich weiter machen soll! Koennt ihr mir vielleicht erklaeren wie ich die Sachen jetzt am besten wegbekomme Vielen Dank im voraus! P.H. |
17.09.2005, 20:18 | #2 |
| Spyware und Trojaner am System @PhilippH
__________________Ups, langes logfile falls du nicht mit reinem DSL unterwegs bist, dann diese datei C:\WINDOWS\Austria.exe infected speichern auf Diskette oder CD oder Stick zwecks Beweismittel gegen hohe Telefonrechnungen. Danach in den abgesicherten modus löschen. Object "RedV Spyware/Adware" found in File System! lade spybot programm updaten und scannen lassen, lösche was vorgeschlagen wird. lade Regseeker und clearprog bei clearprog alle häkchen setzen bei windows und IE, löschen. Mit regseeker diese "refers to invalid object"einträge loswerden. chaosman
__________________ |
18.09.2005, 18:03 | #3 |
| Spyware und Trojaner am System Hallo Chaosman,
__________________erstmals vielen Dank für Deine Tipps! - den Trojaner habe ich bereits manuell löschen können - spybot findet leider nichts - jetzt werde ich dann noch regseeker und clearprog probieren, ich hoffe es bringt was. - ist es nicht vielleicht doch besser windows neuaufzusetzen bei so vielen verseuchten dateien? naja, die 2 programme probiere ich sicher noch! ..bis bald P.H. |
Themen zu Spyware und Trojaner am System |
abgesicherten modus, antivir, besitzer, canon, dateien, einstellungen, ellung, escan, file, infected, links, log, messenger, microsoft, programme, registrierungsdatenbank, seite, seiten, software, spyware, surfen, symantec, system, system32, systemwiederherstellung, temp, trojaner, update, virus, windows |