|
Log-Analyse und Auswertung: bitte um überpfrüfung - danke !Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.12.2005, 11:32 | #1 |
| bitte um überpfrüfung - danke ! hallo da ich anscheinend beim letzten mal übersehen wurde nochmals ein log von mir ....mein pc arbeitet kommischerweisse immer ziemlich langsam in letzter zeit ...kann mal jemand schauen ob was böses auf meinem pc ist !!?? danke im vorraus ! Logfile of HijackThis v1.99.1 Scan saved at 11:28:02, on 13.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\LeechFTP\Leechftp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\....\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht.p://w...chello..t/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [eggsbolt] C:\DOKUME~1\...\ANWEND~1\FASTRE~1\File Bits Barb.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - h..p://security.symantec.c.m/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://v5.windowsupdate.microsoft.c.m/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115383587640 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - h..p://security.symantec.c.m/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE |
13.12.2005, 12:43 | #2 |
| bitte um überpfrüfung - danke ! Also mir kommen die einträge
__________________R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht.p://w...chello..t/ O4 - HKCU\..\Run: [eggsbolt] C:\DOKUME~1\...\ANWEND~1\FASTRE~1\File Bits Barb.exe spanisch vor. Ich würde mir mal empfehlen mit der ewido security suite im Abgesicherten Modus einen Kompletten System Scan auszuführen. 1) Update bitte die ewido security suite 2) Starte nun deinen Computer neu 3) Nach dem du den Piepton gehört hast drückst du ein paar mal F8 aber bevor der Computer das Windows Logo erscheinen lässt 4) Anstatt das der Computer normal startet solltest du zu einem Menü gelangen 5) Wähle bitte die oberste Option aus und drücken Enter 6) Nach dem der Computer im Abgesicherten Modus gestaretet ist, nicht erschrecken das sieht etwas anders aus ( Schwarzer Hintergrund ) als im Normalen Modus aus, starte bitte einen Kompletten System Scan. BR Vinzenz - ewido networks
__________________ |
13.12.2005, 13:02 | #3 |
| bitte um überpfrüfung - danke ! Hallo,
__________________@evilissimo Bereinigt Ewido Lop alias Swizzor? Grüße Wildone |
13.12.2005, 13:31 | #4 |
| bitte um überpfrüfung - danke ! Soweit ich weiß kann die ewido security suite Swizzor entfernen. Man sollte aber ( sollte es probleme beim bereinigen geben ) immer im Abgesichten Modus einen Kompletten System Scan ausführen. BR Vinzenz - ewido networks
__________________ < ewido anti-malware heisst ab sofort ewido anti-malware - Damit mit Schädlingen wirklich Schluß ist - http://www.ewido.net/de > < http://blog.evilissimo.net > < AVG Anti-Rootkit 1.0.0.13 Beta ist jetzt erhältlich! > |
14.12.2005, 13:57 | #5 |
| bitte um überpfrüfung - danke ! so hab das jetzt gemacht - ewido konnte aber nichts finden - hier nochmal der log Logfile of HijackThis v1.99.1 Scan saved at 13:51:49, on 14.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\.....Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://ww.kre.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [eggsbolt] C:\DOKUME~1\....\ANWEND~1\FASTRE~1\File Bits Barb.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - h...p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h..p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115383587640 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - h..p://security.syma.tec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe also irgendwas muss ich doch haben - mein computer arbeitet immer langsamer ! |
14.12.2005, 14:43 | #6 | |
| bitte um überpfrüfung - danke !Zitat:
__________________ --> bitte um überpfrüfung - danke ! |
14.12.2005, 14:50 | #7 | |
| bitte um überpfrüfung - danke ! Servus, maniac! Lass´ mal folgende Datei Zitat:
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! Geändert von stupormundi (14.12.2005 um 14:58 Uhr) |
14.12.2005, 15:37 | #8 |
| bitte um überpfrüfung - danke ! owaja also erstmal danke für eure hilfe !!! also mit dem hookanalyser - das kapier ich nicht so ganz - wenn ich den ausführe zeigt er mir zwar einige dinge an - die gehören jedoch zum antivir programm !!! allerdings kommts jetzt - folgendes kam beim viruscan.jotti raus !!! Auslastung: 0% 100% Datei: File_Bits_Barb.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPC AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web - Trojan.Swizzor gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:- AdWare.Win32.Lop.ag gefunden NOD32 - a variant of Win32/TrojanDownloader.Swizzor gefunden Norman - Virus Control Swizzor.GE gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden wie gehe ich jetzt am besten vor ? einfach die datei C:\DOKUME~1\....\ANWEND~1\FASTRE~1\File Bits Barb.exe löschen - ist er er dan auch fort ? bitte nochmals um info ! edit - hab gerade 2 datein aus dem ordner gescannt wo auch die C:\DOKUME~1\....\ANWEND~1\FASTRE~1\File Bits Barb.exe war und das kamm raus Auslastung: 0% 100% Datei: FOURCOMPBALL.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPC AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.LopAd gefunden F-Prot Antivirus W32/Swizzor.BN@dl gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.ag gefunden NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden Norman Virus Control Swizzor.gen.C gefunden UNA Keine Viren gefunden VBA32 Trojan-Downloader.Win32.Swizzor.cb gefunden Datei: gbzyfese.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.UPC AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Swizzor gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.ag gefunden NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Geändert von maniac (14.12.2005 um 15:53 Uhr) |
14.12.2005, 16:06 | #9 |
| bitte um überpfrüfung - danke ! @maniac Der zeigt auch keine Infektionen an sondern "nur" sachen die verändert worden sind bzw. ( wenn man das häkchen unten bei 'Show hooked services only' weg lässt ) zeigt es alles an was gehookt werden kann. Nach dem du aber sagst das das alles zu deinem AntiVir gehört scheint ja in der Hinsicht alles in Ordnung zu sein. BR Vinzenz
__________________ < ewido anti-malware heisst ab sofort ewido anti-malware - Damit mit Schädlingen wirklich Schluß ist - http://www.ewido.net/de > < http://blog.evilissimo.net > < AVG Anti-Rootkit 1.0.0.13 Beta ist jetzt erhältlich! > |
14.12.2005, 16:19 | #10 |
| bitte um überpfrüfung - danke ! aha - verstehe - aber ich glaube nicht das alles in ordnung ist - wenn du mal oben nachschaust - oder meintest du jetzt nur wegen deinem tipp ? |
14.12.2005, 18:13 | #11 |
| bitte um überpfrüfung - danke ! weiss jetzt niemand weiter ? naja jedenfalls wenn man mit dem wort swizzor googelt kommt man auch nicht weiter ! |
15.12.2005, 10:23 | #12 |
| bitte um überpfrüfung - danke ! leute bitte brauche unbedigt hilfe weill ich nicht weiss wie ich diese datein los werde !!! [eggsbolt] C:\DOKUME~1\....\ANWEND~1\FASTRE~1\File Bits Barb.exe nochmal der log Logfile of HijackThis v1.99.1 Scan saved at 10:20:16, on 15.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spyware Doctor\swdoctor.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\....\Eigene Dateien\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://w.w.krone.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\Run: [eggsbolt] C:\DOKUME~1\....\ANWEND~1\FASTRE~1\File Bits Barb.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - h..p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h.tp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115383587640 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - h..p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe |
15.12.2005, 10:52 | #13 | ||
| bitte um überpfrüfung - danke ! @maniac Zitat:
Zitat:
Freue Weihnachten. |
15.12.2005, 12:07 | #14 |
| bitte um überpfrüfung - danke ! also wenn ich auf windows uptade gehe bekomme ich das keine uptades für mein system vorhanden sind - hab erst gestern wieder einen gemacht ! |
Themen zu bitte um überpfrüfung - danke ! |
antivir, arbeitet, bho, boot, button, danke, dateien, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, java, langsam, log, microsoft, nmbgmonitor.exe, programme, software, sp2, start, system, system32, windows, windows xp |