![]() |
|
Log-Analyse und Auswertung: Hab ich mir nen Virus eingefangen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Hab ich mir nen Virus eingefangen? Letzte Woche fuhr mein Rechner bis zum Windows-Logon hoch ... um dann von selbst zu rebooten. Das passierte mir zweimal unabhängig voneinander. Lt. der Microsoft-Hilfe war die Wahrscheinlichkeit groß, dass es an einem Gerätetreiber liegt ... und so kam ich dann drauf, dass ich den USB-Treiber (da im Gerätemanager mit gelbem Fragezeichen versehen) neu oder nochmal installieren muss. Danach lief wieder alles wie gehabt. Gestern dann fährt er wieder bis zum Logon hoch ... und grade als ich das PW eingeben will, kommt folgende Meldung: Das Herunterfahren wurde von NT-AUTORITÄT/SYSTEM ausgelöst. Der Systemprozess WINDOWS/System32/services.exe wurde unerwarteterweise mit dem Statuscode xxxxxx abgebrochen. Das System wird heruntergefahren. Was es dann auch tat ... Das erinnerte mich gleich an einen bekannten Virus. Ich also flugs Google bemüht, um mein Wissen dahingehend mal wieder etwas aufzufrischen. Leider hab ich irgendwie nur Widersprüchliches gefunden ... ist ein Virus ... ist kein Virus. Hat mri alles nicht so wirklich weitergeholfen. Habe dann als erstes mal mein Ad-Aware ausgegraben ... was mir auch prompt eine Datei namens sahagent.exe herausgefiltert hat. Das Ding hab ich dann sofort gelöscht ... in der Registry gab's diesbezüglich keinen Eintrag. Die ganze Sache lässt mir jedoch keine Ruhe ... und obwohl der Virenscanner nix gefunden hat, hab ich auch nochmal HijackThis bemüht. Das brachte mir folgendes Logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:17:06, on 25.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\AIM95\aim.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\firebird\bin\ibguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\firebird\bin\ibserver.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe D:\Download\HijackThis 1.99.1\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: Digimax Viewer 2.0.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB9E70FF-8BA7-4082-AF73-4A64E9A51B42}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{65213964-9661-4A29-A1E5-7960F88FDFF4}: NameServer = 192.168.0.1 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - FirebirdSQL Project - C:\Programme\firebird\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\firebird\bin\ibserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Laut dem Logfile-Check unter hijackthis.de ist da auch alles in Ordnung. Was kann ich noch machen ... bzw. wie erlange ich nun einigermaßen Sicherheit, dass da nicht doch noch was ist? Nach was müsste ich denn suchen? |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Hab ich mir nen Virus eingefangen? Hallo s97446,
__________________Du könntest einen E Scan machen. Hier ist die Anweisung dazu. http://www.trojaner-board.de/showthread.php?t=17492& rrlicht |
![]() | #3 |
![]() | ![]() Hab ich mir nen Virus eingefangen? OK, habe mal nen eScan gemacht. Puuuh ... war 2 Stunden am Rödeln das Ding ...
__________________![]() Hier mal ein "kleiner" Auszug aus dem Logfile: Fri Nov 25 19:10:00 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Fri Nov 25 19:10:01 2005 => Loading Spyware Signatures from new External Database (Size: 145347). Fri Nov 25 19:10:02 2005 => Indexed Spyware Databases Successfully Created... Fri Nov 25 19:10:31 2005 => Offending file found: C:\WINDOWS\system32\ide21201.vxd Fri Nov 25 19:10:31 2005 => System found infected with windupdate Spyware/Adware (ide21201.vxd)! Action taken: No Action Taken. Fri Nov 25 19:10:31 2005 => Offending file found: C:\DOKUME~1\MAXMUS~1\LOKALE~1\Temp\cmdlineext02.dll Fri Nov 25 19:10:31 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Fri Nov 25 19:10:31 2005 => Offending file found: C:\DOKUME~1\MAXMUS~1\LOKALE~1\Temp\insthelp.dll Fri Nov 25 19:10:31 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 25 19:10:36 2005 => Offending Folder found: C:\Dok. und Einst.\Max\Eigene Dateien\fh\se Fri Nov 25 19:10:36 2005 => Object "coolwebsearch Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Nov 25 19:10:37 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temp\cmdlineext02.dll Fri Nov 25 19:10:37 2005 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken. Fri Nov 25 19:10:37 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temp\insthelp.dll Fri Nov 25 19:10:37 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\common[1].js Fri Nov 25 19:10:39 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\global[1].js Fri Nov 25 19:10:39 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:39 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0todmn4h\stylesheet[1].css Fri Nov 25 19:10:39 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:10:40 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0zop89q7\blank[1].htm Fri Nov 25 19:10:40 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:10:40 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\0zop89q7\common[1].js Fri Nov 25 19:10:40 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:41 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\3e43v1oh\blank[1].htm Fri Nov 25 19:10:41 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:10:41 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\3m8ude9s\ads[1].htm Fri Nov 25 19:10:41 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:10:42 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\5bnn1d8e\common[1].js Fri Nov 25 19:10:42 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:43 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cpirs9q3\mm_menu[1].js Fri Nov 25 19:10:43 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:43 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cpirs9q3\stylesheet[1].css Fri Nov 25 19:10:43 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:10:44 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\cx2fgh23\common[1].js Fri Nov 25 19:10:44 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:45 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ecsh01kl\common[1].js Fri Nov 25 19:10:45 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:45 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\gdcjgrgb\ads[1].htm Fri Nov 25 19:10:45 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\gdcjgrgb\stylesheet[1].css Fri Nov 25 19:10:46 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ijafu5qf\ads[1].htm Fri Nov 25 19:10:46 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:10:46 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ijafu5qf\global[1].js Fri Nov 25 19:10:46 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:10:48 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\common[1].js Fri Nov 25 19:10:48 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:03 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\show_ads[2].js Fri Nov 25 19:11:03 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Nov 25 19:11:04 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\stylesheet[1].css Fri Nov 25 19:11:04 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\ml47ydy5\welcome[2].htm Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (welcome[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\mwhd7rvn\ads[2].htm Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:06 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\mwhd7rvn\formie[1].css Fri Nov 25 19:11:06 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qlsnyte1\global[1].js Fri Nov 25 19:11:07 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qlsnyte1\show_ads[2].js Fri Nov 25 19:11:07 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Nov 25 19:11:07 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qz8lmtk3\ads[1].htm Fri Nov 25 19:11:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\qz8lmtk3\stylesheet[1].css Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\ads[1].htm Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\ads[2].htm Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\skgnfd9s\stylesheet[1].css Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\u1h6vy9g\ads[1].htm Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:08 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\u1h6vy9g\common[1].js Fri Nov 25 19:11:08 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wpen4tqr\ads[1].htm Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wzp7aabh\ads[1].htm Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:09 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\wzp7aabh\formie[1].css Fri Nov 25 19:11:09 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\blank[1].htm Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\formie[1].css Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\z8lxzso4\ticker[1].js Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\zt0k0737\ads[1].htm Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:10 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\temporary internet files\content.ie5\zt0k0737\ads[2].htm Fri Nov 25 19:11:10 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\global[1].js Fri Nov 25 19:11:11 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0todmn4h\stylesheet[1].css Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0zop89q7\blank[1].htm Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\0zop89q7\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\3e43v1oh\blank[1].htm Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\3m8ude9s\ads[1].htm Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\5bnn1d8e\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cpirs9q3\mm_menu[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (mm_menu[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cpirs9q3\stylesheet[1].css Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\cx2fgh23\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ecsh01kl\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\gdcjgrgb\ads[1].htm Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\gdcjgrgb\stylesheet[1].css Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ijafu5qf\ads[1].htm Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ijafu5qf\global[1].js Fri Nov 25 19:11:11 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\common[1].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:11 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\show_ads[2].js Fri Nov 25 19:11:11 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\stylesheet[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\ml47ydy5\welcome[2].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (welcome[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\mwhd7rvn\ads[2].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\mwhd7rvn\formie[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qlsnyte1\global[1].js Fri Nov 25 19:11:12 2005 => System found infected with redv Spyware/Adware (global[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qlsnyte1\show_ads[2].js Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (show_ads[2].js)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qz8lmtk3\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\qz8lmtk3\stylesheet[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\ads[2].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\skgnfd9s\stylesheet[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\u1h6vy9g\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\u1h6vy9g\common[1].js Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wpen4tqr\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wzp7aabh\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\wzp7aabh\formie[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\blank[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\formie[1].css Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\z8lxzso4\ticker[1].js Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\zt0k0737\ads[1].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending file found: C:\Dok. und Einst.\Max\Lok. Einst.\Temporary Internet Files\content.ie5\zt0k0737\ads[2].htm Fri Nov 25 19:11:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken. Fri Nov 25 19:11:12 2005 => Offending Folder found: C:\Dok. und Einst.\All Users\Anwendungsdaten\deutsche post\postkit\logging Fri Nov 25 19:11:12 2005 => Object "orbitexplorer Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Nov 25 21:20:52 2005 => ***** Scanning complete. ***** Fri Nov 25 21:20:52 2005 => Total Objects Scanned: 229562 Fri Nov 25 21:20:52 2005 => Total Virus(es) Found: 91 Fri Nov 25 21:20:52 2005 => Total Disinfected Files: 0 Und dann habe ich in der Sektion Fri Nov 25 19:11:14 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** noch ganz viele Einträge wie diesen hier: Fri Nov 25 19:11:14 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\System32\iuctl.dll". Action Taken: No Action Taken. Und nu? Ist das System überhaupt noch von dem zeugs zu befreien ...? ![]() |
![]() | #4 |
![]() | ![]() Hab ich mir nen Virus eingefangen? ... bzw. stellt sich mir aktuell die Frage, was ich mir da überhaupt alles eingefangen habe ... und was das Zeugs so anrichten kann/tut? Wenn Spyware "nur" mein Surfverhalten analysiert, so wäre das ja ein relativ kleines Problem. Doch kann ich auch irgendwie rausfinden, ob da evtl. auch etwas meine Passwörter ausspioniert hat ...? |
![]() | #5 |
![]() ![]() ![]() ![]() | ![]() Hab ich mir nen Virus eingefangen? Hallo s97446, das kennst du ? O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab Wenn nicht fixen. Suche dir,über Google,Spybot Search&Destroy,AdAware und Ewido security Suite,alles updaten und dann in den Abgesicherten Modus und mit allen drei Programmen Fullscan machen und laß löschen was sie vorschlagen.Danach neuer EScan aus dem Normalmodus Irrlicht |
![]() | #6 |
![]() | ![]() Hab ich mir nen Virus eingefangen? OK ... habe das jetzt mal alles gecheckt: Die cab-Datei konnte ich jetzt vom "Nutzen" her nicht wirklich zuordnen ... keine Ahnung, ob die für WinAmp nützlich ist oder nicht? Ich hab sie jetzt einfach mal gelöscht ... sollte WA danach nicht mehr funktionieren, dann muss ich ihn halt nochmal neu installieren ![]() Der Scan mit Search & Destroy hat Folgendes gebracht: - einen Eintrag "BackWeb Lite" im Verzeichnis C:\Programme\Logitech\Desktop Messenger In Google hab ich dazu gefunden, dass Spybot BackWeb (von F-Secure) als "BackWeb lite" erkennt. Als Folge davon würde kein AV AutoUpdate von F-Secure mehr ausgeführt. Gut, nun habe ich AntiVir im Einsatz ... bin aber trotzdem nicht sicher, ob ich das Ding nun entfernen sollte!? - einen Eintrag "Windows AdTools" im Verzeichnis ...\system32\ Die dort abgelegte Datei ide21201.vxd ist laut dieser Auflistung hier http://www.wintotal.de/Spyware/index.php?Filter=I wohl nichts Gutes. Ich hab sie daraufhin jetzt mal manuell entfernt ... da ich vorher ja noch checken wollte, ob es sich dabei nicht auch um einen benötigten Gerätetreiber handelt. Allerdings finde ich - gottseidank - keine der anderen Dateien (bzw. den Ordner "Windows AdStatus"). Also weder die lt. http://www.sophos.com/virusinfo/analyses/trojmdropan.html noch die lt. http://www.sophos.de/virusinfo/analyses/trojmultidrch.html Auch hab ich bzgl. des Backdoor.Win32.Rbot.gen bei Sophos was gefunden: http://www.sophos.de/virusinfo/analyses/w32rbotot.html Habe sowohl C:\ als auch meine Registry mal nach dieser wupdmgr32.exe durchsucht ... keine Datei bzw. kein Eintrag! Sollte also so aussehen, als ob da kein Trojaner aktiv geworden ist ...!? Ewido hat dann noch 2 Sachen gefunden ... allerdings haben die mich auch etwas stutzig gemacht: Es handelte sich dabei um TrojanDownloader.IstBar.nj in der ewido-setup.exe bzw. in der uninstall.exe, die sich beide in Verzeichnissen der Ewdio Security Suite befinden. Ich hab's mal bereinigt ... gleichwohl ich irgendwie von dem Gedanken nicht abkomme, dass das harmlos war!? Nur ... warum erkennt sich das Programm selbst als Schädling ...? Bleibt noch dieses whenu.savenow ... welches ja vom Escan gleich zigmal gefunden wurde (andere Dinge wurden ja eigentlich gar nicht gefunden ...) ... und was auch immer noch gefunden wird. Finde dazu folgende Info http://www.reger24.de/prozesse/Save.exe.php wobei ich nicht sicher bin, ob es auch genau das ist. Den dort genannten Registry-Eintrag habe ich nämlich auch nicht ... |
![]() |
Themen zu Hab ich mir nen Virus eingefangen? |
ad-aware, adobe, antivir, avg, bho, components, dll, explorer, gerätetreiber, google, herunterfahren, hijack, hijackthis, internet, internet explorer, logfile, nvidia, pdf, registry, rundll, scan, sicherheit, software, systemprozess, virus, virus eingefangen, von selbst, windows xp |