|
Log-Analyse und Auswertung: Troj-SpyDldr-B absolut am Ende mit IdeenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.10.2005, 20:32 | #1 |
| Troj-SpyDldr-B absolut am Ende mit Ideen Hallo, hab schon einiges probiert, aber ich schaffs einfach nicht. Immer wieder die meldung "Your computer might be at risk" in einem Ballon rechts unten. Im Web hab ich gefunden es wäre diese Ding "Troj-SpyDldr-B". Ich poste meinen HJT-file. Denke der sieht nicht so übel und recht kurz aus. Wäre phantastisch wenn mir jemand BITTE helfen könnte. DANKE. Logfile of HijackThis v1.99.1 Scan saved at 21:30:16, on 17.10.2005 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Sygate\smc.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\locator.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe C:\Programme\Ad-Aware\Ad-Aware.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijacThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\smc.exe -startgui O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing) O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe (file missing) O23 - Service: Sophos Anti-Virus (SAVService) - Unknown owner - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe (file missing) O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\smc.exe |
18.10.2005, 06:39 | #2 | |
| Troj-SpyDldr-B absolut am Ende mit Ideen Servus, christian8
__________________Außer dass Du mit einem nicht aktuellen Betriebssystem Zitat:
Sonst lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus laufen und poste anschließend das Ergebnis von Hauis45´s "find.bat" (in der Anleitung ebenfalls beschrieben). Halte Dich genau an die Anleitung, sonst funktioniert die find.bat nicht! bis dann, stupormundi |
18.10.2005, 18:22 | #3 |
| Troj-SpyDldr-B absolut am Ende mit Ideen danke dir für deine zeilen.
__________________hab die link angeklickt. komme dann auf die escan homepage. hmm, was soll ich runterladen? escan virus controll edition oder pro edition oder security suite? danke für deine hilfe im voraus |
18.10.2005, 21:09 | #4 |
| Troj-SpyDldr-B absolut am Ende mit Ideen TSCHULDIGE - habe es gefunden. alles ausgeführt. hab einiges rauslöschen können. auch in der regedit genau nach anleitung nach dem letzten scan sind nur mehr die 3 einträge da, da aber beim logfile nicht genau die adresse in der regedit dabeisteht bekomm ich die nicht weg. was meinst du sollte ichtun? kannst dubitte helfen. hier die 3: Tue Oct 18 21:49:11 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken. Tue Oct 18 21:49:13 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken. Tue Oct 18 21:49:15 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken. |
19.10.2005, 06:27 | #5 | ||
| Troj-SpyDldr-B absolut am Ende mit Ideen Servus, christian8! Zitat:
Zitat:
stupormundi |
20.10.2005, 22:31 | #6 |
| Troj-SpyDldr-B absolut am Ende mit Ideen hallo stupormundi, also, hab jetzt nach einiger zeit das so hingekriegt wie du sagtest. die datei startete immer automatisch. hab sie jetzt in bases_x entpackt und im abgesicherten modus das ganze escan gemacht. die find.rar lässt sichnicht entpacken. da ist der "header broken". im log von escan gibts 3 funde: Thu Oct 20 23:02:42 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken. Thu Oct 20 23:02:44 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken. Thu Oct 20 23:02:45 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken. ansonsten nichts. was soll ich nun tun? wie gesagt die find.rar geht nicht zum entpacken. würdest dumir bitte noch mal helfen? ach, noch ne info -eigenartig: bei ewido im abges. modus kommt nichts. beim normalen scan kommt immer wieder trojan.small.fb found danke dir herzlichst christian |
21.10.2005, 05:49 | #7 |
| Troj-SpyDldr-B absolut am Ende mit Ideen Wenn bei der find.rar etwas nicht funktioniert ("header broken" ?) lösche sie einfach und lade Sie dir erneut herunter! Sie funktioniert! Ohne ordentliches Logfile ist die Auswertung für mich wertlos! P2P networking (entsprechende Software suchen) in Systemsteuerung-->Software deinstallieren! stupormundo
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
21.10.2005, 06:30 | #8 |
| Troj-SpyDldr-B absolut am Ende mit Ideen servus, glauib nir, die find.rar ist kaputt. neu runtergeladen - entpacken mit winrar => meldung find.bat header broken unknown method in find.bat gibts es noch eine andere find.bat irgendwo? |
21.10.2005, 06:38 | #9 | |
| Troj-SpyDldr-B absolut am Ende mit Ideen Dazu hilft ein Blick in Cidres Anleitung (die habe ich Dir nicht zum Spaß gepostet). Da hat Cidre eine Alternative aufgezeigt, falls es doch nicht funktioniert Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
21.10.2005, 19:09 | #10 |
| Troj-SpyDldr-B absolut am Ende mit Ideen servus stupormundi, hab alles nach deiner anleitun gemacht. folgendes ergebnis: 21 19:12:23 2005 => System found infected with p2p networking Spyware/Adware ({cc7a6223-3759-4075-8cea-971f5cfc0ed2})! Action taken: No Action Taken. Fri Oct 21 19:12:25 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({1b540d44-3f61-4394-ae30-25fdc3649405})! Action taken: No Action Taken. Fri Oct 21 19:12:26 2005 => System found infected with cydoor.topicks.a Spyware/Adware ({ce9b37ec-d243-47a2-83db-3a8350175193})! Action taken: No Action Taken. Fri Oct 21 19:12:28 2005 => Offending Key found: HKLM\Software\kazaa !!! Fri Oct 21 19:12:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Oct 21 19:12:28 2005 => Offending Key found: HKCU\Software\kazaa !!! Fri Oct 21 19:12:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\4ta7oxer\ads[1].htm Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\sxk749w3\show_ads[2].js Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\temporary internet files\content.ie5\wdc1ajc1\ads[1].htm Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\4ta7oxer\ads[1].htm Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\sxk749w3\show_ads[2].js Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Oct 21 19:12:34 2005 => Offending file found: C:\Dokumente und Einstellungen\Win2000\Lokale Einstellungen\Temporary Internet Files\content.ie5\wdc1ajc1\ads[1].htm Fri Oct 21 19:12:34 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. schlusszeilen: Fri Oct 21 19:56:27 2005 => ***** Scanning complete. ***** Fri Oct 21 19:56:27 2005 => Total Objects Scanned: 28310 Fri Oct 21 19:56:27 2005 => Total Virus(es) Found: 11 Fri Oct 21 19:56:27 2005 => Total Disinfected Files: 0 Fri Oct 21 19:56:27 2005 => Total Files Renamed: 0 Fri Oct 21 19:56:27 2005 => Total Deleted Objects: 0 Fri Oct 21 19:56:27 2005 => Total Errors: 29 Fri Oct 21 19:56:27 2005 => Time Elapsed: 00:45:23 Fri Oct 21 19:56:27 2005 => Virus Database Date: 2005/10/21 Fri Oct 21 19:56:27 2005 => Virus Database Count: 155453 Fri Oct 21 19:56:27 2005 => Scan Completed. Fri Oct 21 19:56:32 2005 => Virus Database Date: 2005/10/21 Fri Oct 21 19:56:32 2005 => Virus Database Count: 155453 Fri Oct 21 19:56:34 2005 => AV Library Unloaded (3)... ich glaube: die 8 einträge in den temp. intern. files könnt ichlöschen???? bleiben die 3 mit cydoor (2x) und p2p. was soll ichjetzt tun? freu mich auf deine hilfe. christian |
27.10.2005, 06:08 | #11 | |
| Troj-SpyDldr-B absolut am Ende mit Ideen Servus, christian8! Die meisten der Einträge bekommst Du weg, indem Du deine Temporärdaten löscht. Das geht ganz gut zb. mit Clearporg 1.4.1 final http://www.clearprog.de/ im abgesicherten Modus mit der Option "clear all" links unten im Programmfenster von clearprog. Für den anderen Ad/Spywaremitst: kazaa würde ich persönlich in die Tonne verfrachten (wenn unbedingt p2p, dann wenigstens was ad/spywarefreies, aber da kenne ich mich nicht aus). P2P Networking Ad/Spyware zuerst versuchen, via Systemsteuerung-->Software so zu deinstallieren. Hole Dir Spybot S&D http://www.safer-networking.org/en/download/ und/oder adaware http://www.lavasoft.de/ beide zuerst updaten und dann lass beide im abgesicherten Modus laufen und entferne, was vorgeschlagen wird. Anschließend ein neues HJT-Logfile im "normalen" Modus erstellen und hier posten. Und last but not least Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
Themen zu Troj-SpyDldr-B absolut am Ende mit Ideen |
ad-aware, antivir, computer, dateien, explorer, firewall, helfen, hijack, hijackthis, internet, internet explorer, messenger, microsoft, msn, msn messenger, programme, service.exe, software, sophos, sp3, start, system, system32, update, usb, windows, your computer might be at risk |