|
Log-Analyse und Auswertung: Hatte Trojaner bitte mal Hijack prüfen :)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.09.2005, 09:59 | #1 |
| Hatte Trojaner bitte mal Hijack prüfen :) Hallo zusammen! Bin soeben auf diese Seite gestoßen da ich par Probleme hatte antivir hat mir plötzlich nen trojaner gezeigt und das par mal die letzten tag immer irgendwas mit aboxinst...... usw. Konnte dazu nichts richtiges finden im Netz. Bin also mal auf Datei löschen mit anti vir naja und nun frag ich mich ob dann auch alles wieder ok ist oder ich noch irgendwo was habe. hab schonmal nen Hijack Log mitgebracht: Hab Windows xp home edition glaub mit sp2 ?! Wäre froh wenn mir jemand helfen kann, habe nur anti vir und die xp firewall drauf das müsste doch eigentlich sicher sein?! Logfile of HijackThis v1.99.1 Scan saved at 10:57:37, on 27.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\Save\Save.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Alcohol Soft\Alcohol 120\Alcohol.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Thunder\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=192093 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{18BB02E0-8759-48AD-B607-655D8FE07AB7}: NameServer = 217.237.148.17 217.237.148.49 O17 - HKLM\System\CS1\Services\Tcpip\..\{18BB02E0-8759-48AD-B607-655D8FE07AB7}: NameServer = 217.237.148.17 217.237.148.49 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE |
27.09.2005, 10:46 | #2 | ||
| Hatte Trojaner bitte mal Hijack prüfen :) Servus, ThuNd3r
__________________In Deinem Logfile finde ich außer ein bißchen adware Zitat:
http://doxdesk.com/parasite/SaveNow.html Du kannst es über Systemsteuerung-->Software deinstallieren! Zitat:
Zur Sicherheit lass´ mal escan im abgesicherten Modus nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen. Poste im Anschluss das Ergebnis von Haui45´s find.bat (ist in der Anleitung beschrieben und verlinkt). Achte auf die richtigen Einstellungen wie beschrieben! bis dann, stupormundi |
27.09.2005, 11:52 | #3 |
| Hatte Trojaner bitte mal Hijack prüfen :) Oki super ja die adware ist mir bekannt die beseitige ich dann mal.
__________________Also zum Trojaner hier mal die Auszüge der letzten Tage aus dem Anti Vir Report: 27.09.2005,10:37:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5! C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 27.09.2005,10:37:41 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5! C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 27.09.2005,10:38:44 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5! C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE [INFO] Die Datei wurde gelöscht! oh oh ich sehe ja grade erst da steht immer konnte nicht gelöscht werden also hab ich das ding immernoch drauf?! Hab Temporary Internet files mal leer gemacht allerdings wurde mir dann immernoch angezeigt 26000 dateien und 1Gb groß. Hab dann mal die Temporären Internetdateien über rechtsklick auf internetexplorer gelöscht und das hat anscheinend geklappt. Trotzdem wird mir angezeigt im ordner temporary internet files wären noch 32 ordner und par hundert dateien. Ich versteh das nich wenn ich drauf gehe ist der so gut wie leer Hm... also wie bekomm ich das ganze da jetzt in den griff? Ich mach auch Online Banking ist das noch sicher? Und hier noch von gestern da war genau dasselbe 26.09.2005,01:02:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5! C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KZQVYL6P\ABOXINST_INT12[1].EXE [FEHLER] Die Datei konnte nicht überschrieben und gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. 26.09.2005,01:03:21 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5! C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KZQVYL6P\ABOXINST_INT12[1].EXE [FEHLER] Die Datei konnte nicht gelöscht werden! 0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Und vor par tagen hab ich mir noch den hier gefangen: 24.09.2005,12:17:47 [WARNUNG] Enthält Signatur des Wurmes WORM/Alcra.B! C:\TEMP\SETUP.EXE [INFO] Die Datei wurde gelöscht! Aber der sollte ja erledigt sein oder? Schonmal danke für die Hilfe, ist echt schlimm heutzutage mit der sicherheit |
27.09.2005, 12:10 | #4 | |
| Hatte Trojaner bitte mal Hijack prüfen :) Servus, ThuNd3r! Lass´ auf jeden Fall mal escan laufen und poste wie beschrieben das Ergebnis! Was die Datei Zitat:
Cu, stupormundi |
27.09.2005, 21:39 | #5 |
| Hatte Trojaner bitte mal Hijack prüfen :) Also hab jetz mal dieses Virenprogramm wie beschrieben drüberlaufen lassen. Es hat aber nicht alles geklappt wie in der anleitung, ich hab den virus log einfach mal direkt aus dem programm kopiert, mit den andern methoden bin ich nicht klargekommen. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu/savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu/savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "startsurfing Spyware/Adware" found in File System! Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\pxwma.dll". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\InterVideo\Common\Bin\IVIPromotion.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\AXDist.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\system32\MSXML3A.DLL". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\amdcpu.exe" refers to invalid object "C:\Programme\AMD\Athlon 64 Processor Driver\amdcpu.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" refers to invalid object "C:\WINDOWS\system32\cmmgr32.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe" refers to invalid object "C:\Dokumente und Einstellungen\Thunder\Lokale Einstellungen\Temp\hijackthis.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\PCI_FR_40" refers to invalid object "C:\Programme\PC Inspector File Recovery\PCI_FR_40". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\RegCloneDVD2.exe" refers to invalid object "C:\Programme\Elaborate Bytes\CloneDVD2\RegCloneDVD2.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WMPBurn.exe" refers to invalid object "\WMPBurn\WMPBurn.exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe" refers to invalid object "C:\Programme\Creative\EAX Unified\yourapp.Exe". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "D:\games\yugioh\". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\KONAMI\Yu-Gi-Oh! Power of Chaos YUGI\". Action Taken: No Action Taken. Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dbl". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "DC++". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Mafia Game". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Stellar Phoenix DMR_is1". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{04858915-9F49-4B2A-AED4-DC49A7DE6A7B}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{16D2C649-CBA8-44EE-B730-12584667D487}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{3571656A-575D-4CED-809D-5547587121FF}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{896D642C-7125-44F0-AC49-A23ABF82209C}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{C8310658-4019-4934-A7AC-AD1E35EDD8F5}". Action Taken: No Action Taken. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{F9B915DF-B79C-4747-9BA3-9705A57DC717}". Action Taken: No Action Taken. Entry "HKCR\CLSID\{4BEFA071-8258-4884-A67B-26AF915214CB}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{5C4C8078-24CF-4c71-B05E-8B1D935DB5AC}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken. Entry "HKCR\CLSID\{762DAFB9-15BD-4b41-B919-F3D5023D1E78}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken. Entry "HKCR\CLSID\{A3E84F97-4A68-4e42-9976-DA8DF946B571}" refers to invalid object ""C:\Programme\MSN Messenger\msnmsgr.exe"". Action Taken: No Action Taken. Entry "HKCR\CLSID\{AB1D8565-40E9-4616-984D-98465687E82C}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{B69003B3-C55E-4b48-836C-BC5946FC3B28}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken. Entry "HKCR\CLSID\{C0BA9CF8-96E0-4C34-B5DE-E92C3FC05ED6}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{DCD6EADC-EE69-47DD-B934-95573296039C}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{DF5E5E34-AE22-483D-94C3-9DD02FFF231E}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Ahead\DSFilter\NeVideo.ax". Action Taken: No Action Taken. Entry "HKCR\CLSID\{E0B8F398-BB08-4298-87F0-34502693902E}" refers to invalid object ""C:\Programme\Messenger\msmsgs.exe"". Action Taken: No Action Taken. Entry "HKCR\CLSID\{FB7199AB-79BF-11d2-8D94-0000F875C541}" refers to invalid object "C:\Programme\Messenger\msgsc.dll". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{53CED51D-432B-45B2-A3E0-0CE2C24235D4}" refers to invalid object "C:\Programme\Messenger\msmsgs.exe". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{6B3ED9AF-FE66-45B6-85D3-BA9A3371DD30}" refers to invalid object "C:\DOKUME~1\Thunder\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{E02AD29E-80F5-46C6-B416-9B3EBDDF057E}" refers to invalid object "C:\Programme\Messenger\msmsgs.exe". Action Taken: No Action Taken. Entry "HKCR\TypeLib\{FD721792-A66F-44EA-B660-B5841C584976}" refers to invalid object "C:\DOKUME~1\Thunder\LOKALE~1\Temp\VBE\MSForms.exd". Action Taken: No Action Taken. Entry "HKCR\.sll" refers to invalid object "SSLFile". Action Taken: No Action Taken. Entry "HKCR\axp_ext\shell\open\command" refers to invalid object "C:\Programme\CDBurnerXP Pro 3\cdbxp.exe /oa %1". Action Taken: No Action Taken. Entry "HKCR\Connection Manager Profile\shell\open\command" refers to invalid object "C:\WINDOWS\system32\CMMGR32.EXE "%1"". Action Taken: No Action Taken. Entry "HKCR\DSP.DSP" refers to invalid object "{9C123EA9-AEC9-4f75-BBC0-7565FA1398966}". Action Taken: No Action Taken. Entry "HKCR\dxp_ext\shell\open\command" refers to invalid object "C:\Programme\CDBurnerXP Pro 3\cdbxp.exe /od %1". Action Taken: No Action Taken. Entry "HKCR\F-Strippoker 2\shell\open\command" refers to invalid object "D:\temp\poker\sg.exe "%1"". Action Taken: No Action Taken. Entry "HKCR\licf\shell\open\command" refers to invalid object ""C:\Programme\eMCrypt\eMCrypt.exe" "%1"". Action Taken: No Action Taken. Entry "HKCR\Messenger.MsgrSessionManager" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken. Entry "HKCR\Messenger.MsgrSessionManager.1" refers to invalid object "{E3A3B1D9-5675-43c0-BF04-37BE11939FB7}". Action Taken: No Action Taken. Entry "HKCR\msbackupfile\shell\open\command" refers to invalid object "%SystemRoot%\system32\ntbackup.exe". Action Taken: No Action Taken. Entry "HKCR\sfdl\shell\open\command" refers to invalid object ""C:\Programme\eMCrypt\eMCrypt.exe" "%1"". Action Taken: No Action Taken. Entry "HKCR\Valve.Source\shell\open\command" refers to invalid object ""d:\games\steam\steamapps\web.th@gmx.net\counter-strike source\hl2.exe" "%1"". Action Taken: No Action Taken. File C:\Programme\BearShare\incoming\(PC Game) Playboy The Mansion - Crack.zip tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken. File C:\Programme\BearShare\Installer\BSInstall5.1.0.26.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken. File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. File D:\download\progs\girc436.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. File D:\download\progs\Windows_2003_and_XP_Anti_Product_Activation_Crack_v1.6.2.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken. Und was diesen hier angeht: C:\DOKUMENTE UND EINSTELLUNGEN\THUNDER\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\4XMNSHUB\ABOXINST_INT12[1].EXE Also ich kann die Datei auf meinem Pc nirgends finden obwohl sie angeblich von Anti vir nicht gelöscht werden konnte, echt komisch |
28.09.2005, 05:44 | #6 | |||
| Hatte Trojaner bitte mal Hijack prüfen :) Servus, ThuNd3r! Tja, für das Posten der Infos aus escan gibt es in der Beschreibung zwei Alternativen: die find.bat, welche nur bei genauer Einhaltung der Beschreibung funktioniert (Sprache, Speicherort von escan) oder eben das auch beschriebene manuelle Suchen der "infected"- und "tagged"-Einträge. Ein ganzes Logfile wäre schon interessant, weil auch die Basisinfos zu escan wie zB Zitat:
Lass´mal Spybot S&D http://www.safer-networking.org/de/download/index.html und Adaware http://www.lavasoft.de/ nach Update im abgesicherten Modus laufen und entferne alles Vorgeschlagene! Diesen Eintrag hier: Zitat:
Zitat:
Alles Gute, stupormundi |
29.09.2005, 08:53 | #7 |
| Hatte Trojaner bitte mal Hijack prüfen :) Gut also habe es jetzt wie beschrieben gemacht allerdings auf die manuelle art mit der find.bat komm ich nicht klar... hier alle infected und tagged files + allgemeine infos vom scan: Thu Sep 29 08:48:09 2005 => Options Selected by User: Thu Sep 29 08:48:09 2005 => Memory Check: Enabled Thu Sep 29 08:48:09 2005 => Registry Check: Enabled Thu Sep 29 08:48:09 2005 => StartUp Folder Check: Disabled Thu Sep 29 08:48:09 2005 => System Folder Check: Disabled Thu Sep 29 08:48:09 2005 => System Area Check: Disabled Thu Sep 29 08:48:09 2005 => Services Check: Enabled Thu Sep 29 08:48:09 2005 => Drive Check: Disabled Thu Sep 29 08:48:09 2005 => All Drive Check :Enabled Thu Sep 29 08:48:09 2005 => Folder Check: Disabled Thu Sep 29 09:30:41 2005 => ***** Scanning complete. ***** Thu Sep 29 09:30:41 2005 => Total Objects Scanned: 57586 Thu Sep 29 09:30:41 2005 => Total Virus(es) Found: 20 Thu Sep 29 09:30:41 2005 => Total Disinfected Files: 0 Thu Sep 29 09:30:41 2005 => Total Files Renamed: 0 Thu Sep 29 09:30:41 2005 => Total Deleted Objects: 0 Thu Sep 29 09:30:41 2005 => Total Errors: 61 Thu Sep 29 09:30:41 2005 => Time Elapsed: 00:42:15 Thu Sep 29 09:30:41 2005 => Virus Database Date: 2005/09/27 Thu Sep 29 09:30:41 2005 => Virus Database Count: 151405 Thu Sep 29 09:30:41 2005 => Scan Completed. Thu Sep 29 08:48:58 2005 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken. Thu Sep 29 08:48:58 2005 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Thu Sep 29 08:48:59 2005 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken. Thu Sep 29 08:48:59 2005 => System found infected with bearshare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken. Thu Sep 29 08:48:59 2005 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken. 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\bearshare.lnk Thu Sep 29 08:49:01 2005 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken. 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\bearshare.lnk Thu Sep 29 08:49:01 2005 => System found infected with bearshare Spyware/Adware (bearshare.lnk)! Action taken: No Action Taken. 2005 => Offending file found: C:\Dokumente und Einstellungen\Thunder\Eigene Dateien\stronghold 2\config.dat Thu Sep 29 08:49:01 2005 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. Thu Sep 29 09:25:07 2005 => File D:\download\progs\Windows_2003_and_XP_Anti_Product_Activation_Crack_v1.6.2.zip infected by "Trojan-Downloader.Win32.IstBar.er" Virus! Action Taken: No Action Taken.<-- huch das hab ich schon ewig aufm pc is der aktiv? Thu Sep 29 08:55:41 2005 => File C:\Programme\BearShare\incoming\(PC Game) Playboy The Mansion - Crack.zip tagged as not-a-virus:RiskTool.Win32.PsKill.1101. No Action Taken. Thu Sep 29 09:04:35 2005 => File C:\Programme\BearShare\Installer\BSInstall5.1.0.26.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.bo". Action Taken: No Action Taken. Thu Sep 29 09:05:01 2005 => File C:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. Thu Sep 29 09:24:44 2005 => File D:\download\progs\girc436.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken. |
Themen zu Hatte Trojaner bitte mal Hijack prüfen :) |
adobe, antivir, avg, bho, einstellungen, excel, explorer, firewall, google, helfen, hijack, hijackthis, home, internet, internet explorer, löschen, nvidia, programme, prüfen, rundll, software, system, t-online, temp, trojaner, windows, windows xp |