Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: pokapoka75 - ich dreh durch!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.10.2005, 15:54   #1
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Hallo zusammen!

versuche seit 3 stunden dieses pokapoka-zeug loszuwerden - ohne erfolg. habe etliche foren und vorschläge durchforstet und alles probiert. von der manuellen entfernung im C:\winnt\etb und anschließender löschung der betroffenen pokapoka-datein mittels regedit, bishin zum elitum-rmover.exe. aber alles ohne erfolg. bekomme immer wieder die fehlermeldung vom iexplorer....

auf euch jungs ist immer verlass. bitte helft mir. hier noch mein log-file:

Logfile of HijackThis v1.99.1
Scan saved at 16:47:17, on 09.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\ircomm2k.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
D:\PROGRAMME\HP6200C\PrecisionScanPro\HPLamp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\msw32.pif
D:\programme\active sync\WCESCOMM.EXE
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
C:\WINNT\etb\pokapoka75.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.971searchbox.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HP Lamp] D:\PROGRAMME\HP6200C\PrecisionScanPro\HPLamp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Win Security] msw32.pif
O4 - HKLM\..\Run: [System service75] C:\WINNT\etb\pokapoka75.exe
O4 - HKLM\..\RunServices: [Win Security] msw32.pif
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\programme\active sync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Win Security] msw32.pif
O4 - HKCU\..\RunServices: [Win Security] msw32.pif
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe
O4 - Global Startup: tempweg.bat
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\programme\active sync\INETREPL.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/075ca0515b6fe816a519/netzip/RdxIE601_de.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F349EE1E-E7AA-43FC-81DA-DDBA2AA5C4A8}: NameServer = 195.58.160.194 195.58.161.122
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINNT\System32\ircomm2k.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Geändert von Cidre (09.10.2005 um 16:04 Uhr)

Alt 09.10.2005, 15:57   #2
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Hallo,

beende den Prozess msw32.pif im Taskmanager und scanne die Datei C:\WINNT\system32\msw32.pif dann online auf http://virusscan.jotti.org/de.
Poste das Ergebnis.
__________________


Alt 09.10.2005, 16:03   #3
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



hmmmm leichter gesagt, als getan. sobald ich auf der seite den button "durchsuchen" drücke. schließen sich sofort alle firefox-fenster....
__________________

Alt 09.10.2005, 16:06   #4
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Kopiere den kursiv gedruckten Pfad ind das weiße Kästchen und klicke auf "Abschicken".

Alt 09.10.2005, 16:10   #5
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



ah, ok. :-P

hier das log:

Datei: msw32.pif
Status:
OK
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden


Alt 09.10.2005, 16:12   #6
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Schick' die Datei bitte zunächst wie hier beschrieben an Kaspersky und warte das Ergebnis ab. Nimm deinen Rechner in der Zwischenzeit am besten vom Netz.

Alt 09.10.2005, 16:29   #7
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



alles klar. mail ist geschickt. vielen dank einstweilen.

hab die datei nochmals überprüft und nun kam das:

Datei: msw32.pif
Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Keine Viren gefunden

Alt 09.10.2005, 16:33   #8
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Die Datei ist Malware. Ich will nur wissen um was es sich handelt, aber mit großer Wahrscheinlichkeit um einen Netzwerkwurm mit Backdoor-Funktionalität.

Alt 09.10.2005, 16:41   #9
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



und hängt das irgendwie mit diesem pokapoka75.exe zusammen? bzw. hab ich ne chance das wieder loszuwerden?

Alt 09.10.2005, 16:46   #10
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Zitat:
Zitat von Marty McFly
und hängt das irgendwie mit diesem pokapoka75.exe zusammen? bzw. hab ich ne chance das wieder loszuwerden?
Es ist durchaus möglich bzw. sogar wahrscheinlich, dass Datei A Datei B nachgeladen hat usw..
Wer den Anfang gemacht hat kann ich dir nicht sagen.

Sollte sich mein Verdacht bestätigen, gibt's nur einen sicheren Lösungsweg -> http://www.trojaner-board.de/showpos...28&postcount=2

Alt 10.10.2005, 18:03   #11
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



bekam heute die antwort von Kapersky:

"Hello.
This file is backdoor."


also neu aufsetzen?

Alt 10.10.2005, 18:06   #12
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Zitat:
Zitat von Marty McFly
also neu aufsetzen?
Ja, das ist die einzig sichere Lösung.

Du kannst die Datei auch gerne noch an die restlichen AV-Firmen schicken (das passwortgeschützte Archiv auf Diskette o.ä. sichern und nach dem Neuaufsetzen verschicken).

Alt 10.10.2005, 18:20   #13
Marty McFly
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



na denn.......

dann bedank ich mich ganz recht herlich, gehe vom netz und in mich und werd mal (wieder) OS draufkloppen...

tschüss einstweilen

Marty

Alt 10.10.2005, 18:35   #14
BSS-Sieben
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



Hab das gleiche problem wie marty...
muss den selben weg nehmen...
welche möglichkeiten hab ich mich danach dauerhaft vor solchem spam dingern zu schützen?
gibt es irgendwelche programme.
firewall habe ich zonealarm und das virenprogramm antvir.

danke für antworten im vorraus!

Alt 10.10.2005, 18:38   #15
Haui45
 
pokapoka75 - ich dreh durch! - Standard

pokapoka75 - ich dreh durch!



@BSS-Sieben
Verwende den -Button um einen eigenen Thread zu erstellen.
Poste dort deine Problembeschreibung inkl. eines HijackThis-Logfiles.

Antwort

Themen zu pokapoka75 - ich dreh durch!
adapter, adobe, antivirus, avast, avast!, einstellungen, fehlermeldung, hijack, hijackthis, hotkey, immer wieder, internet, internet explorer, lan, log-file, logfile, microsoft, monitor, object, programme, scan, security, software, system, temp, thomas, toolbars, windows, wireless lan, yahoo




Ähnliche Themen: pokapoka75 - ich dreh durch!


  1. nach Befall durch BKA Virus Entfernung durch Fachhandel Jetzt startet Windows sicherheitsdienst nicht mehr
    Log-Analyse und Auswertung - 05.06.2014 (14)
  2. Virus TR/ATRAPS.Gen2 durch Avira entdeckt. Keine Lösung durch Avira
    Log-Analyse und Auswertung - 29.10.2013 (3)
  3. Zugriffsverweigerung auf Netbook(XP)durch BKA,danach durch GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.02.2013 (13)
  4. Laptop mit Windows xp gesperrt durch Bundespolizei, Entsperrung nur durch Geld
    Log-Analyse und Auswertung - 25.01.2013 (34)
  5. Fund gemeldet "Ravmon.exe",aber nur durch Avira und nicht durch MBAM
    Log-Analyse und Auswertung - 13.01.2013 (20)
  6. Mehrere Trojaner durch Malwarebytes Anti Malware gefunden und ein Virus durch Avira gefunden (TR/Gendal.81920.6)
    Log-Analyse und Auswertung - 10.11.2012 (1)
  7. Computer gesperrt durch die "Bundespolizei", entsperrung durch Geld
    Plagegeister aller Art und deren Bekämpfung - 27.09.2012 (22)
  8. 100 Euro Tojaner, Bundespolizei, ich dreh mich im Kreis, bin anfänger
    Plagegeister aller Art und deren Bekämpfung - 09.04.2012 (1)
  9. Bluescreen durch Flashplayer; Malwarefund durch MBAM
    Plagegeister aller Art und deren Bekämpfung - 19.01.2012 (11)
  10. Infektion durch TR/Spy.Gen
    Plagegeister aller Art und deren Bekämpfung - 12.11.2009 (2)
  11. Virenbefall erst durch Symantec E-Mail Proxy, dann durch andere.
    Plagegeister aller Art und deren Bekämpfung - 24.05.2008 (2)
  12. Hilfe.....ich Dreh Noch Durch
    Plagegeister aller Art und deren Bekämpfung - 26.10.2006 (8)
  13. Bitte um Hilfe ich dreh durch!!
    Mülltonne - 16.07.2006 (4)
  14. ich dreh noch durch und kotz voll ab
    Log-Analyse und Auswertung - 19.02.2006 (1)
  15. super..ich dreh durch ..jetzt stürzt mein pc auch noch immer ab..
    Mülltonne - 05.01.2006 (1)
  16. 100%CPU durch icq
    Log-Analyse und Auswertung - 27.03.2005 (4)
  17. Ich dreh bald durch....
    Plagegeister aller Art und deren Bekämpfung - 03.10.2004 (1)

Zum Thema pokapoka75 - ich dreh durch! - Hallo zusammen! versuche seit 3 stunden dieses pokapoka-zeug loszuwerden - ohne erfolg. habe etliche foren und vorschläge durchforstet und alles probiert. von der manuellen entfernung im C:\winnt\etb und anschließender löschung - pokapoka75 - ich dreh durch!...
Archiv
Du betrachtest: pokapoka75 - ich dreh durch! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.