|
Log-Analyse und Auswertung: Problem.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.10.2005, 01:17 | #1 |
| Problem. Logfile of HijackThis v1.99.1 Scan saved at 01:13:53, on 31.10.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\acs.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\WINNT\system32\regsvc.exe C:\Programme\AMD\Cool'n'Quiet\gemback.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\Ati2evxx.exe C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe C:\Programme\ICQLite\ICQLite.exe F:\Winamp\winamp.exe C:\WINNT\System32\taskmgr.exe C:\WINNT\System32\MsiExec.exe C:\Programme\mIRC\mirc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\FlashGet\flashget.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINNT\explorer.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX05.140\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitemxo32.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: 108Mbps Wireless LAN Adapter Configuration Utility.lnk = C:\Programme\108Mbps Wireless LAN Adapter\WLANPRO.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Reg.lnk = C:\Programme\108Mbps Wireless LAN Adapter\Reg.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINNT\System32\acs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe wollte fragen ob man mir helfen könne. es startet sich immer bei IE von alleine popups mit irgendwelcher werbugn. das passiert nachdem ich ne datei öffnete. pokapoka79 war dabei, konnte ich aber scho entfernen. aba ich weiss nicht mehr weiter, was es sein könnte, habe wohl vermutungen aber wennsch da was putt mach endet es bös vielleicht. also kann man mir vielleicht helfen !? |
31.10.2005, 02:22 | #2 | |
| Problem.Zitat:
Für Win2000 ist SP4 aktuell und der IE hat in der aktuellen Version eine 6er Nummer. ASAP updaten! Desweiteren scanne dein Sys zunächst mit Escan und teile uns die Ergebnisse mit!
__________________ |
31.10.2005, 03:02 | #3 |
| Problem. ASAP!? ^^ *irgendwie kenne ich das nicht und oh dachte ich hätte SP4*
__________________escan setze ich mich kurz ran. edit: mithilfe von escan und spy bot search and destroy.. und einen reboot davor ging alles weg. keine fehlermeldeung hier schon mal danke... jedoch kann mir vielleicht er sagen wir man fix von sp2 auf sp4 updaten kann!? *ist mir n bissi peinlich* Geändert von Waldlaus (31.10.2005 um 03:36 Uhr) |
31.10.2005, 08:03 | #4 | ||
| Problem. Hier! Zitat:
Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
31.10.2005, 08:46 | #5 |
| Problem. naja nachdem ich die sache ndurff hatte habe ich O4 - HKLM\..\Run: [checkrun] C:\winnt\system32\elitemxo32.exe rutnergehaun mit den programmen. und ja die sachen die ich vorher druff hatte diesen pokapoka79 hatte ich vorher scho ausser regedit rausgehaun.. und von elitemxo32 ka.. und bei escan logt er das irgendwie bei mir nicht.. der hatte 8 viren oder so gefunden.. und direkt alle gelöscht und ist wieder weg gegangen bevor ich irgendwas kopiren konnte.. btw danke für den link, aber wo genau kann man auf SP4 updaten?! seh dai rgendwie nix. scho okay. edit nur beim kompletten comp scan hat escan n log erstellt das ist ziemlich lang... edit2: wartet hier^^ Mon Oct 31 08:56:18 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Mon Oct 31 08:56:19 2005 => Loading Spyware Signatures from new External Database (Size: 144468). Mon Oct 31 08:56:19 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen. Mon Oct 31 08:56:19 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen. Mon Oct 31 08:56:21 2005 => System found infected with FlashFXP Spyware/Adware ({E5A1691B-D188-4419-AD02-90002030B8EE})! Action taken: Keine Aktion vorgenommen. Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\WINNT\elitetoolbar Mon Oct 31 08:56:26 2005 => Object "elitebar Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Mon Oct 31 08:56:26 2005 => Offending value found in HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\flashget !!! Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\PROGRA~1\flashget Mon Oct 31 08:56:26 2005 => Offending Folder found: C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\flashget Mon Oct 31 08:56:26 2005 => Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Mon Oct 31 08:56:28 2005 => Offending value found in HKCU\Software\kazaa !!! Mon Oct 31 08:56:28 2005 => Object "kazaa Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. vielleicht hilft es ja.. das war beim ersten Scan nach Speicher und Registry und dass das ergebnis beim kompletten scan danach: Mo Okt 31 04:03:42 2005 => ***** Analyse vollständig. ***** Mo Okt 31 04:03:42 2005 => Mo Okt 31 04:03:42 2005 => Anzahl gescannter Dateien: 20920 Mo Okt 31 04:03:42 2005 => Anzahl infizierter Dateien: 3 Mo Okt 31 04:03:42 2005 => Anzahl desinfizierter Dateien: 0 Mo Okt 31 04:03:42 2005 => Anzahl der umbennanten Dateien: 0 Mo Okt 31 04:03:42 2005 => Anzahl der gelöschten Dateien: 3 Mo Okt 31 04:03:42 2005 => Anzahl Fehler: 0 Mo Okt 31 04:03:42 2005 => Dauer:: 00:21:26 infiziert waren da: Mo Okt 31 03:45:35 2005 => Datei infiziert mit "Trojan.Win32.EliteBar.h". Vorgenommen Aktion: Datei gelöscht! Mo Okt 31 03:45:35 2005 => Datei infiziert mit "Trojan.Win32.EliteBar.h". Vorgenommen Aktion: Datei gelöscht! Mo Okt 31 03:45:50 2005 => Datei infiziert mit "Trojan.Win32.StartPage.nk". Vorgenommen Aktion: Datei gelöscht! diese 3. Geändert von Waldlaus (31.10.2005 um 09:00 Uhr) |
Themen zu Problem. |
adapter, button, dateien, explorer, firefox, frage, ftp, helfen, hijack, hijackthis, hotkey, icqtoolbar, internet, internet explorer, lan, logfile, microsoft, mozilla, mozilla firefox, popups, problem, programme, software, system, system32, temp, urlsearchhook, windows, wireless, wireless lan |