|
Log-Analyse und Auswertung: (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
21.09.2005, 20:30 | #1 |
| (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... Guten Abend, ich hatte gestern das Problem, dass ich nach dem Besuch einiger Webseiten (es waren nicht viele) plötzlich beim beabsichtigten Ausdruck eines Rätsels auf der Seite Skatsboard.de von AntiVir gemeldet bekam, in meiner explorer.exe sei der Wurm Worm/Bube.m.1. AV hatte ich - wie jeden Abend - als erstes upgedated. Obwohl ich mehrere Male mit AV scannte und jedes Mal die Anweisung gab den Wurm zu löschen, bin ich das Gepiepse nicht losgeworden. Auch nach den Neustarts konnte AV den bösen Buben nicht loswerden. Heute mittag hatte ich vom Büro aus diese Seite gefunden und mir HijackThis runtergeladen. Auf Gigamails Anraten poste ich nun das Logfile, das ich von HJT erhalten habe: Logfile of HijackThis v1.99.1 Scan saved at 20:02:15, on 21.09.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\hphmon05.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\PROGRA~1\MT\MT.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\wzqkpick.exe C:\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/de/dienst/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - hxxp://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - hxxp://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A2D27698-5FF1-493B-BEDC-3EB20925816D}: NameServer = 217.237.150.33 217.237.150.141 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Für mich liest sich das alles ziemlich verwirrend. Das lästige HP-Update Programm würde ich gerne aus dem Autostart rausnehmen, ebenso wie den Acrobat Reader - finde aber nicht, wo ich das machen kann. Auch die Aldi-Foto-Suite möchte ich lieber manuell bei Bedarf starten, als gleich automatisch. WinZip habe ich - denke ich jedenfalls - aus dem Autostart rausbekommen. Könnt ihr euch mein Log bitte mal anschauen. Was kann ich bitte wie verbessern? Lieben Dank und viele Grüße vom Wölkchen |
21.09.2005, 20:47 | #2 | ||
| (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... @Wölkchen
__________________Zitat:
Zitat:
|
21.09.2005, 21:13 | #3 |
| (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... Danke Rene-gad,
__________________ich habe jede Menge Patches von MS installiert. Die CD mit dem SP2 habe ich, aber nachdem ich damals gelesen hatte, dass dann u.U. nicht mehr alle Programme problemlos laufen würden, hatte ich mich nicht getraut, die zu installieren und haben lieber einzelne Patches runtergeladen und installiert. Ich habe hier auch noch eine neuere Version von XP mit SP2 schon drin, aber so lange es nicht sein MUSS, würde ich eine komplette Neuinstallation doch lieber umgehen. Hier im Forum hatte Gigamail im Thread Plagegeister aller Art und deren Bekämpfung Worm/Bube.m.1 am 3.1.2005 auch geschrieben, dass es sich wahrscheinlich um einen Fehlalarm von AV handeln würde. Darf ich - nachdem nach dem heutigen Update von AntiVir auch keine Viren, Würmer usw. gemeldet wurden - davon ausgehen, dass es sich tatsächlich um einen Fehlalarm handelt? Danke, den Start-up-Manager werde ich mir auf alle Fälle runterladen und benutzen. |
Themen zu (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... |
adobe, adobe reader, antivir, antivirus, antivirus scan, askbar, bho, defender, drivers, ebay, excel, firewall, hijack, hijackthis, homepage, internet, internet explorer, logfile, mehrere, mein log, problem, rundll, scan, software, starten, symantec, system, windows, windows xp, wurm |