| |
| |||||||
Log-Analyse und Auswertung: ezula und exploit gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.10.2005, 08:06
| #1 |
| Gast |  ezula und exploit gefunden Hallo, ich hatte gestern einen escan laufen lassen und der fand dann einiges. Ich poste mal ein Hijack-Log und das Log von Escan. Gestern Abend hatte Antivir dann auch noch Exploit gefunden. Würdet Ihr bitte mal über die Logfiles schauen? Ich hoffe, es ist nicht allzu schlimm. Danke vorab. Logfile of HijackThis v1.99.1 Scan saved at 07:59:45, on 26.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\Dit.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\BinarySense\HDDlife\HDDlifePro.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\lotus\notes\ntmulti.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis1991.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator 7 Pro\CheckNewUser.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PVR Agent] C:\Programme\V-Stream\PVR Plus\TVR\Scheduled.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: HDDlife.lnk = C:\Programme\BinarySense\HDDlife\HDDlifePro.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: TV713X Remote Control.lnk = C:\Programme\V-Stream Multimedia\TV713X Utilities\P3XRCtl.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe und nun noch das Escan-Log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Oct 25 10:43:04 2005 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken. Tue Oct 25 10:43:08 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken. Tue Oct 25 10:43:09 2005 => System found infected with weathercast Spyware/Adware (search.htm)! Action taken: No Action Taken. Tue Oct 25 10:43:09 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Tue Oct 25 10:43:09 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Tue Oct 25 10:43:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Tue Oct 25 10:43:10 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Tue Oct 25 10:43:10 2005 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. Tue Oct 25 10:58:27 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Oct 25 11:33:13 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Oct 25 10:43:06 2005 => Offending Key found: HKLM\Software\freshdevices !!! Tue Oct 25 10:43:06 2005 => Offending Key found: HKCU\Software\freshdevices !!! Tue Oct 25 10:43:07 2005 => Offending Folder found: C:\Programme\freshdevices Tue Oct 25 10:43:08 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Anwendungsdaten\microsoft\office\zuletzt verwendet\internet.lnk Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Desktop\visitenkarten-assistent\vis_assist\search.htm Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temporary internet files\content.ie5\15xc2lmk\common[1].js Tue Oct 25 10:43:09 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temporary internet files\content.ie5\v0cuc41v\common[1].js Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\content.ie5\15xc2lmk\common[1].js Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temporary Internet Files\content.ie5\v0cuc41v\common[1].js Tue Oct 25 10:43:10 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Tue Oct 25 10:43:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\freshdevices Tue Oct 25 10:43:11 2005 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\freshdevices ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue Oct 25 11:33:13 2005 => Total Virus(es) Found: 13 Tue Oct 25 11:33:13 2005 => Total Errors: 193 Tue Oct 25 11:33:13 2005 => Time Elapsed: 00:52:34 Tue Oct 25 11:33:13 2005 => Total Objects Scanned: 120912 Tue Oct 25 10:39:45 2005 => Virus Database Date: 2005/10/17 Tue Oct 25 11:33:13 2005 => Virus Database Date: 2005/10/17 Tue Oct 25 12:00:25 2005 => Virus Database Date: 2005/10/17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Gruß, Gina |
|
26.10.2005, 13:38
| #2 |
  | ezula und exploit gefunden Deinstalliere falls möglich SafeNow und Ezula über Systemsteuerung-->Software.
__________________Lass im abgesicherten Modus bei deaktivierter Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html folgende Programme über dein System laufen: -Adaware -Spybot und behebe gefundene Probleme.Mit Spybot noch zusätzlich immunisieren. Wieder normal starten, Systemwiederherstellung anschalten und die Registry mittels Regseeker säubern.
__________________ |
|
26.10.2005, 18:31
| #3 |
| Gast | ezula und exploit gefunden Hi Cronos,
__________________keine ahnung, was ich nun gemacht habe. Folgendes ist passiert: Ich hatte die autom. Systenwiederherstellung deaktiviert und in der Boot.ini den Start im abgesicherten Modus aktiviert. (Mit der Funktion F8 tat sich überhaupt nichts). Nun habe ich das Problem, dass der PC ständig neu lädt. Es erscheint kurz die Windows-Anmeldung, verschwindet dann aber sofort wieder und er bootet neu. Er scheint in einer "Start-Schleife" zu hängen. Auch mit der Reparatur-Funktion habe ich keinen Start zustande gebracht. Bin natürlich jetzt total durch'n Wind und hoffe, Ihr Profis seid so nett und helft mir mal wieder. Das muß doch hoffentlich wieder hinzukriegen sein..... Danke nochmals, Gina |
|
27.10.2005, 08:11
| #4 |
| Gast | ezula und exploit gefunden Dank Knoppix bin ich nun wieder im Normalsystem. Werde nun Deine Empfehlungen abarbeiten und mich wieder melden. Hoffe, es klappt jetzt mit dem abgesicherten Modus. Viele Grüße, Gina |
|
27.10.2005, 14:01
| #5 |
| Gast | ezula und exploit gefunden Leider komme ich aus irgendwelchen Gründen immer noch nicht in den abges. Modus. Habe daher Spybot und Ad-Aware in Normalmodi laufen lassen - ohne Funde. RegSeeker habe ich ebenfalls ausgeführt und hoffe, dass jetzt soweit alles ok ist. Vielen Dank für die Tipps. Gina |
|
| Themen zu ezula und exploit gefunden |
| adobe, antivir, avg, bonjour, computer, content.ie5, desktop, drivers, einstellungen, escan, explorer, firefox, hijackthis, hotkey, infected, internet, internet explorer, karte, microsoft, monitor, mozilla, mozilla firefox, programme, software, system, unknown file in winsock lsp, virus, windows, windows xp |
Linear-Darstellung
