|
Log-Analyse und Auswertung: Need a little Hilfe! :)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.11.2005, 19:15 | #1 |
| Need a little Hilfe! :) Ähm.. und zwar habe ich mich glaube ich ein bisschen versuft und hatte einen Trojaner.. den dachte ich eigentlich habe ich entfernt.. aber mein Peer Guardian kommt gar nicht mehr aus dem blinken raus. kommt immer die selbe Site die mit mir komunizieren will. ATRIVOTECHNOLOGIES(CWStrojans-wide-SN-Split7) + Ich habe im meinen Logfile 5 Einträge die ich nicht mehr loswerde und gesagt wird die sind BÖSE. O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone Deswegen bitte kann mir jemand helfen? Danke Gruß Naddl |
18.11.2005, 19:36 | #2 |
/// Helfer-Team | Need a little Hilfe! :) Wie wäre es denn, wenn Du ein komplettes Logfile posten würdest. Meine Glaskugel ist im Moment gerade zur Reparatur
__________________
__________________ |
19.11.2005, 00:24 | #3 |
| Need a little Hilfe! :) Logfile of HijackThis v1.99.1
__________________Scan saved at 18:54:32, on 18.11.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\HPOOPM07.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\PEERGUARDIAN2\PG2.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPODEV07.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOEVM07.EXE C:\WINDOWS\SYSTEM\HPOIPM07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOSTS07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOFXM07.EXE C:\WINDOWS\DESKTOP\***\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [PeerGuardian] C:\PROGRAMME\PEERGUARDIAN2\PG2.EXE O4 - Startup: Microsoft Office.lnk = Microsoft Office\Office\OSA9.EXE O4 - Startup: HPAiODevice.lnk = bin\hpodev07.exe O4 - Startup: ISDNWatch.lnk = FRITZ!\IWatch.exe O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Bitte schön!
__________________ |
19.11.2005, 01:04 | #4 |
| Need a little Hilfe! :) @evening_star #Lade dir Ewido Security Suite unbeding Update,noch nicht scannen. #lade Adaware, Spybot unbeding Update,noch nicht scannen. #PC neustarten--> abgesicherter Modus #Starte Ewido Security Suite mach ein voller Scan (Complete System Scan) #Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen. #Inhalt folgende ordner loeschen: C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen C:\WINDOWS\temp---> Inhalt löschen #PC neustarten--> abgesicherter Modus 1. Öffne notepad (editor) Unter Start/Ausführen den Befehl notepad eingeben,bestätigen,dann erscheit ein notepad editor. Oder unter Start/Programme/Zubehör/Editor 2. copiere diser Code rein: Code:
ATTFilter REGEDIT4 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix] @="http://" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes] "ftp"="ftp://" "gopher"="gopher://" "home"="http://" "mosaic"="http://" "www"="http://" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults] @="" "http"=dword:00000003 "https"=dword:00000003 "ftp"=dword:00000003 "file"=dword:00000003 "@ivt"=dword:00000001 "shell"=dword:00000000 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults] @="" "http"=dword:00000003 "https"=dword:00000003 "ftp"=dword:00000003 "file"=dword:00000003 "@ivt"=dword:00000001 "shell"=dword:00000000 4. Doppel klick auf diese Datei fix.reg #PC neustarten #Neue HijackThis Log & den Report des Ewido Scans posten Gruss Expert |
19.11.2005, 21:33 | #5 |
| Need a little Hilfe! :) Danke Expert Sypbot hatte ichschon und der findet nichts... den Ewido kann ich nicht runterladen weil ich ME habe und nicht 2000 oder XP. Hier neues Logfile Logfile of HijackThis v1.99.1 Scan saved at 22:25:39, on 19.11.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\HPOOPM07.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\PEERGUARDIAN2\PG2.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPODEV07.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOEVM07.EXE C:\WINDOWS\SYSTEM\HPOIPM07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOSTS07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET V SERIES\BIN\HPOFXM07.EXE C:\PROGRAMME\ARCORONLINE\ARCOR.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\DESKTOP\***\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [PeerGuardian] C:\PROGRAMME\PEERGUARDIAN2\PG2.EXE O4 - Startup: Microsoft Office.lnk = Microsoft Office\Office\OSA9.EXE O4 - Startup: HPAiODevice.lnk = bin\hpodev07.exe O4 - Startup: ISDNWatch.lnk = FRITZ!\IWatch.exe O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - [url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Also diese 5 Einträge sind jetzt weg.. aber mein Peer Puardian blinkt immernoch wie verrückt. Danke [edit] links entfernt [/edit]
__________________ Naddl Geändert von GUA (20.11.2005 um 11:05 Uhr) |
20.11.2005, 21:58 | #6 |
| Need a little Hilfe! :) Mein PC ist auch irgendwie langsam dadurch das Peer Guardian dauernd am blinken ist! Danke
__________________ --> Need a little Hilfe! :) |
Themen zu Need a little Hilfe! :) |
bli, blinken, compu, computer, einträge, entfern, ftp, glaube, guardian, helfen, hilfe!, https, inter, interne, internet, intranet, little, logfile, nicht mehr, peer guardian, protocoldefaults, should, troja, träge, zone |