|
Log-Analyse und Auswertung: Totaler Laie!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.10.2005, 19:39 | #1 |
| Totaler Laie! Hallo! Ich bin leider totaler Laie , und habe die SW von Euch von einem Freund empfohlen bekommen. Ich verstehe leider Eure Abkürzungen nicht, aber ich hätte gerne jemanden, der mir sagen kann wie ich die "bösen" Dateien aus meinem PC entfernen kann. Lt. eurem soeben durchgescanntem Programm, habe ich einige solcher "Bösen" ! Bitte wer kann mir helfen?!?!? Was muß ich genau tun, damit ihr mir helfen könnt? ich habe nur eine irre Liste von dem Scannnen, welche ich einmal im Word Dokument abgespeichert habe! Folgendes hier unten- ändere ich bevor ich den Scann durchführe?!?! Beispiel: C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\hijackthis\HijackThis.exe ändern in C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.exe es tut mir leid, aber ich fühle mich im Moment mehr als hilflos und eher wie ein Dummerchen, als alles andere.... Vielleicht kann sich ja wer meiner erbarmen, bevor mein Trojana , welcher im rechten Eck meines Bildschirmes immer wieder 3 giftgrüne WWW öffnet und dann unendlich viele Explorer Fenster wieder aufwacht. DANKE!!!! |
12.10.2005, 19:45 | #2 |
| Totaler Laie! @Nana
__________________poste bitte ein HJT Logfile HJT Anleitung habe die SW von Euch Welche? Folgendes hier unten- ändere ich bevor ich den Scann durchführe?!?! Beispiel: C:\Dokumente und Einstellungen\Hans Mustermann\Eigene Dateien\Downloads\hijackthis\HijackThis.exe ändern in C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.exe Nein, das Logfile (also das ergebnis) editieren, auch die aktive links(wie steht in meine Signatur)editieren. chaosman
__________________ |
12.10.2005, 20:01 | #3 |
| Totaler Laie! Oh danke! Das geht ja flott.
__________________Also ich habe eine ZIP Datei bekommen welche da heißt Logfile of HijackThis v1.99.1 Scan saved at 19:52:57, on 12.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) und das hat mir das Programm dann ausgespuckt. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\EzButton\CPATR10.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\PL15Co2K.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\windows\system32\rk.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\L****l\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IFERAT23\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.orf.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tplus.at:8080 O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_90.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CPATR10] C:\PROGRA~1\EzButton\CPATR10.EXE O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/ O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.143/code/PWActiveXImgCtl.CAB O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - h**p://messenger.zone.msn.com/binary/SolitaireShowdown.cab O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Hoffe ich hab das richtig gemacht und du kannst damit etwas anfangen. DANKE Nana [edit] links entfernt [/edit] Geändert von GUA (13.10.2005 um 04:41 Uhr) |
12.10.2005, 20:57 | #4 |
| Totaler Laie! Hallo Nana, editiere bitte auch alle Links in Deinem Logfile. downloade Dir Adaware , Spybot S&D und lspfix . Adaware und Spybot installieren und updaten. Deinstalliere über Systemsteuerung/Software "Newdotnet oder Newnet", " MarketScore (oder ähnliches --> Infos , "SearchUpgrader" sowie weitere Dir unbekannte Software. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_90.dll O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h..p://216.249.24.143/code/PWActiveXImgCtl.CAB Manuell löschen (Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken): C:\PROGRA~1\NEWDOT~1 (Ordner) C:\Programme\Common files\SearchUpgrade (Ordner) c:\windows\system32\rk.exe Papierkorb leeren Lspfix starten --> Häcken bei I know what I'm doing --> sämtliche New.net auf die linke Seite removen --> finish klicken Mit Adaware und Spybot scannen und alle Fund löschen. Neustart --> Systemweiderherstellung kann wieder aktiviert werden Neues Logfile dartus
__________________ Kein Support per PN |
12.10.2005, 21:09 | #5 |
| Totaler Laie! Danke Dartus! Sorry wegen den Links, ich werde versuchen diese zu löschen...da muß aber der Admin. erst sein ok geben oder so.... nun adaware hab ich auf meinem PC,der hat leider nichts gefunden , und die anderen Programme werde ich mir nun runterladen und mein bestes geben . Herzlichen Dank für Deine Bemühungen!!!!!!! Nana |
12.10.2005, 21:13 | #6 | |
| Totaler Laie! Hallo Nana, Zitat:
Du musst dies selbständig machen, z.B. http in h..p. dartus
__________________ --> Totaler Laie! |
12.10.2005, 21:38 | #7 |
| Totaler Laie! Wie ich auf editieren rechts unten im beitrag gedrückt habe und die links zu **** umfunktioniert hatte, schrieb da ein Fenster, ich könne nur innerhalb der ersten 60 sek. nach dem gesendetem beitrag editieren..ich solle mich doch an den Admin. wenden. jetzt versteh ich gar nix mehr, ich kann das geänderte nicht merh "abschicken".... |
12.10.2005, 22:00 | #8 |
| Totaler Laie! Hallo Nana, stimmt hatte ich nicht bedacht. dartus
__________________ Kein Support per PN |
Themen zu Totaler Laie! |
confused, dateien, dokument, dokumente, downloads, eigene dateien, einstellungen, em pc entfernen, entferne, entfernen, explorer, fenster, freund, gen, helfen, hijack, hijackthis, hilflos, immer wieder, liste, programm, rechte, rechten, teufel, totaler, troja, trojana, öffnet |