|
Plagegeister aller Art und deren Bekämpfung: Nach PSGuard Logs - bitte durchsehen!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.10.2005, 19:29 | #1 |
| Nach PSGuard Logs - bitte durchsehen! Hi, ich hatte entsprechenden Virus auf meinem Rechner und habe ihn dank eurer großartigen Anleitung entfernen können. Nichtsdestotrozt bitte ich um die durchsicht der Logfiles ... eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Oct 09 18:55:30 2005 => System found infected with begin2search Spyware/Adware (download movies.url)! Action taken: Keine Aktion vorgenommen. Sun Oct 09 19:07:54 2005 => Scanne Verzeichniss: C:\Programme\AVPersonal\INFECTED\*.* Sun Oct 09 19:24:43 2005 => Datei C:\RECYCLED\Q330995.exe infiziert von "Trojan-Downloader.Win32.Small.amb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Sun Oct 09 19:50:24 2005 => Datei C:\WINDOWS\system32\wininet.old infiziert von "Virus.Win32.Nsag.b" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Oct 09 18:53:32 2005 => Offending Key found: HKLM\Software\kazaa !!! Sun Oct 09 18:55:23 2005 => Offending Key found: HKCU\Software\kazaa !!! Sun Oct 09 18:55:30 2005 => Offending file found: C:\Dokumente und Einstellungen\***k\Desktop\download movies.url Sun Oct 09 18:55:31 2005 => Offending Folder found: C:\Dokumente und Einstellungen\***\Startmenü\programs\altnet ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Oct 09 19:50:40 2005 => Gefundene Viren: 6 Sun Oct 09 19:50:40 2005 => Anzahl Fehler: 44 Sun Oct 09 19:57:22 2005 => Virus Datenbank Datum: 2005/09/27 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die wininet.old ist bei dem nächsten Booten gelöscht worden, aber ich hab noch nen Problem mit der Q330995.exe, die wird nämlich nicht im Explorer angezeigt! HijackThis Logfile of HijackThis v1.99.1 Scan saved at 20:17:20, on 09.10.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\atievxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\**\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5A1E2EBA-5548-4FA1-B7E8-B811F742AA60} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by110fd.bay110.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - h**p://messenger.zone.msn.com/binary/Chess.cab31267.cab O21 - SSODL: ICQLite - {EEBA9C16-8038-D289-AF83-0EE2B4FCC5AE} - (no file) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe smitRem smitRem log file version 2.6 by noahdfear ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key present! Running LTDFix/PSGuard.com fix! checking for PSGuard.com key PSGuard.com key not present! ShudderLTD key was successfully removed! if previously present, PSGuard.com key was successfully removed! Pre-run Files Present ~~~ Program Files ~~~ PSGuard ~~~ Shortcuts ~~~ PSGuard spyware remover.lnk ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ptainfo1 ptainfo2 ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Post-run Files Present ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ wininet.dll INFECTED!! Starting replacement procedure. ~~~~ Looking for C:\WINDOWS\system32\dllcache\wininet.dll ~~~~ ~~~~ C:\WINDOWS\system32\dllcache\wininet.dll Present! ~~~~ ~~~~ Checking dllcache\wininet.dll for infection ~~~~ ~~~~ dllcache\wininet.dll Clean! ~~~~ ~~~ Replaced wininet.dll from dllcache ~~~ ~~~ Upon reboot ~~~ wininet.old present! oleadm.dll not present! oleext.dll not present! ~~~ Upon completion ~~~ wininet.old not present! oleadm.dll not present! oleext.dll not present! ~~~~ Rechecking C:\WINDOWS\system32\wininet.dll for infection ~~~~ ~~~~ C:\WINDOWS\system32\wininet.dll Clean! ~~~~ Vielen DAnk für eure Hilfe!! |
09.10.2005, 21:40 | #2 | ||
| Nach PSGuard Logs - bitte durchsehen! Hi Naja,
__________________Du hast eScan nicht upgedatet, d.h. hier werden die Viren bis zum 27.Sep. angezeigt! Ich glaube, das musst Du noch mal machen!! Zitat:
Zitat:
karaya |
09.10.2005, 21:44 | #3 | |
| Nach PSGuard Logs - bitte durchsehen!Zitat:
Aber ich denke mal nich, dass das so nen riesen Unterschied ist |
09.10.2005, 21:47 | #4 |
| Nach PSGuard Logs - bitte durchsehen! Hi, Du bist in der Lage hier zu posten, dann solltest Du auch in der Lage sein ein Update zu machen, das dauert in der Regel kaum länger als ein Posting hier rein zu stellen. karaya |
09.10.2005, 23:24 | #5 |
| Nach PSGuard Logs - bitte durchsehen! Hallo,
|
10.10.2005, 10:52 | #6 | |
| Nach PSGuard Logs - bitte durchsehen!Zitat:
Habe den Rest so gemacht wie du sagtest, danke für die Hinweise ... eScan Update über Umwege (Update vbei Kaspersky runterladen, auf CD Brennen, auf dem Laptrop einspielen ...) dann doch durchgeführt, aber das brachte auch nix neues. Mit dem Windowsupdate muss erstmal gewartet werden, bis das Netzwerk an dem wieder geht ... Danke für die Hilfe! |
Themen zu Nach PSGuard Logs - bitte durchsehen! |
antivir, bho, booten, desktop, download, einstellungen, entfernen, explorer, fehler, gelöscht worden, google, hilfe!!, icqtoolbar, infected, infiziert, internet, internet explorer, object, problem, programme, software, system, tuneup utilities, urlsearchhook, viren, virus, windows, windows xp, yahoo |