|
Log-Analyse und Auswertung: vermute schädling hinter Dit.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.10.2005, 19:11 | #1 |
| vermute schädling hinter Dit.exe HI@all ich hab beim surfen immer wider die meldung bekommen das opera, mein internet browser, auf eine infitierte datei im chace ordner von opera zugreifen wollte, als ich mein anti viren kit darauf anwies die datei zu löschen kam die meldung noch mal, und ich lies die datei wider löschen. seit dem ist das internet ar*** langsam und manchmal dauert es erst minuten bevor opera anfängt eine seite zu laden ... als ich mir einige prozesse im taskmanager ansah, viel mir auf das die Dit.exe sich am anfang groß schreibt, aber auf allen seiten auf den ich nachforschte schrieb sie sich klein. zu dem befindet sie sich im ordner C:\windows . was soll ich tun? normaler weise gehört dit.exe zu meinem kartenleser, aber wenn sich dahinter ein schädling versteckt, wird er beim virenscan nicht erkannt ... ich hoffe ihr könnt mir helfen, gruß XE. PS: ich glaub ich hab das post ins falsche forum gepostet ... |
07.10.2005, 19:35 | #3 |
| vermute schädling hinter Dit.exe dann saug ichs mir mal schnell
__________________(gabs nicht mal so 'ne Seite wo man verdächtige datein hochladen konnte und scannen lassen konnte?) scan complet: Logfile of HijackThis v1.99.1 Scan saved at 20:40:37, on 07.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit 2005\AVKService.exe C:\Programme\AntiVirenKit 2005\AVKWCtl.exe C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\PGPserv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\DitExp.exe C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe C:\Programme\Opera\Opera.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Stephan Lehners\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/client/redirect R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU) O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134 O17 - HKLM\System\CS1\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [edit] links entfernt [/edit] Geändert von GUA (07.10.2005 um 19:48 Uhr) |
07.10.2005, 19:46 | #5 |
| vermute schädling hinter Dit.exe ok die war wirklich unschuldig, trotzdem verwirrt mich das mit dem großen D ... (hab den log unten angehongen) Geändert von _XE_ (07.10.2005 um 19:52 Uhr) |
07.10.2005, 19:51 | #6 | |
entlassen | vermute schädling hinter Dit.exeZitat:
und bitte editiere deine links zukünftig selber GUA (aus dem buch:"do it") |
07.10.2005, 19:58 | #7 |
| vermute schädling hinter Dit.exe Hallo, hmm, ich kann in deinem Log keine Auffälligkeit entdecken, welche Datei wurde denn von AVK gelöscht? Tritt das Problem auch mit dem IE auf? Ich gehe mal richtig in der Annahme das AVK mit den neusten Definitionen nichts findet, oder? Grüße Wildone |
07.10.2005, 20:18 | #8 |
| vermute schädling hinter Dit.exe was avk da genau gelöscht hat weiß ich auch nich irgentwas mit trojaner downloader. und ja das gleich prob mit IE und firefox und wie vorhin genannt opera und die signatur von avk ist akuel. aller dings scant avk nicht alles auf einige datein wird avk der zugriff verweigert ... MfG XE |
07.10.2005, 20:27 | #9 |
| vermute schädling hinter Dit.exe Hallo, schwierig, also das AVK keinen Zugriff auf manche Dateien hat ist vollkommen normal. Ist zwar eigentlich nicht unbedingt sinnvoll (weil gleiche Scanengine) aber untersuche mal dein System mit Escan (Anleitung genau befolgen!) und poste dann das Log (find.bat!) vielleicht ist ja der Downloader in der Systemwiederherstellung hängen geblieben und man kann ihn wenigstens näher bestimmen. Grüße Wildone |
07.10.2005, 20:45 | #10 |
| vermute schädling hinter Dit.exe das kenn ich nich, ist das ein viren scanner? ... sollte man nicht immer nur ein virenscanner installiert haben? (wenn das einer ist^^) Geändert von _XE_ (07.10.2005 um 20:50 Uhr) |
07.10.2005, 20:48 | #11 |
| vermute schädling hinter Dit.exe Hallo, ja das ist ein Virenscanner, und prinzipiell hast du recht mit der Aussage, aber das ist nur ein Ondemandscanner, will heißen er ist nicht im Hintergrund aktiv und stört somit auch keine anderen installierten scanner. Grüße Wildone |
07.10.2005, 20:51 | #12 |
| vermute schädling hinter Dit.exe das ding ist 8.6 mb groß da saug ich 'ne halbe stunde drann (ich kann nur mit 3.5kb/s laden!!!) das mach ich dann aber morgen |
07.10.2005, 21:06 | #13 |
| vermute schädling hinter Dit.exe Hallo, achso, du hast nur ein 56k Modem, diese Problematik vergißt man so schnell als DSL nutzer, aber momentan fällt mir nichts anderes ein. Eine Vermutung könnte sein das du eine wichtige Datei gelöscht hast, die zwar infiziert war, aber trotzdem benötigt wird, also schau noch mal in den Logs von AVK nach, vielleicht findest du den Löschvorgang ja dort doch noch, und die genaue Bezeichnung des Schädlings. Grüße Wildone |
08.10.2005, 11:53 | #14 |
| vermute schädling hinter Dit.exe so ich hab da ein LOG mit virenfund gefunden, es gibt aber noch mehr davon ... In der Datei "C:\Dokumente und Einstellungen\Stephan Lehners\Anwendungsdaten\Opera\Opera\profile\cache4\opr00WIW.js" wurde der Virus "Trojan-Clicker.JS.Gen (KAV-Engine)" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. |
08.10.2005, 12:03 | #15 |
| vermute schädling hinter Dit.exe Hallo, wenn es mehr davon gibt ruhig alles (soweit es das Forum nicht sprengt) posten. Der Eintrag hier ist relativ harmlos, das scheint mir ein Javavirus zu sein, der bei aktuellem (oder wie bei dir halbwegs aktuellem) Java keinen Schaden anrichten sollte. Die Dinger kann man übrigens auch unter Systemsteuerung>>Java "Temporäre Internetdateien">>"Dateien löschen" löschen. Also poste mal noch die anderen Einträge. Grüße Wildone |
Themen zu vermute schädling hinter Dit.exe |
anfang, anti, browser, c:\windows, datei, erkannt, falsche, forum, helfen, internet, internet browser, karte, laden, langsam, löschen, nicht erkannt, opera, ordner, prozesse, scan, schädling, seite, seiten, surfen, taskmanager, viren, windows |