| |
| |||||||
Log-Analyse und Auswertung: Mich hat's erwischt :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.12.2005, 10:34
| #1 |
| |  Mich hat's erwischt :( Mich hat es gestern eiskalt beim surfen erwischt. Und da benutz ich doch schon den Firefox... Angefangen hat alles damit, dass ein angblicher Spy-Remover namens SpySheriff, meinen Desktop Hintergrund ausgewechselt hat und mir die entsprechende Software verkaufen wollte selbigen zurückzutauschen. Also hab ich den Rechner sofort runtergefahren und im abgesicherten Modus Adaware und SpyBot drüberlaufen lasse. Die haben auch beide was gefunden und entfernt. Der Sheriff scheint nun von mir gegangen zu sein, aber irgenwas öffnet seidem selbstständig Webseiten und benutzt dazu meinen Firefox. Ca. alle 2-3 Minuten egal ob der Browser offen ist (war) oder nicht. Immer Werbung - oft auch ohne "wirkliches Fenster" also nur eine entsprechend maskierte Figur "fliegend" auf dem Desktop. Leider kann ich den Dienst/Prozess nicht finden der selbiges bewirkt. Bin für jede Hilfe dankbar. Logfile of HijackThis v1.99.1 Scan saved at 10:15:43, on 15.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe T:\Programme\IBM\SQLLIB\BIN\db2jds.exe T:\Programme\IBM\SQLLIB\BIN\db2sec.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\Programme\NTP\ntptime.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE T:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\UltraMon\UltraMon.exe C:\Programme\Rainbow Technologies\iKey Components\Bin\iKeyACR.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\LOGI_MWX.EXE T:\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Desktop Sidebar\dsidebar.exe C:\Programme\UltraMon\UltraMonTaskbar.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE D:\tools\yzsdw109\YzShadow.exe C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\taskmgr.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe D:\down\HijackThis.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\fpdisp4.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto O4 - HKLM\..\Run: [iKeyACR.exe] "C:\Programme\Rainbow Technologies\iKey Components\Bin\iKeyACR.exe" O4 - HKLM\..\Run: [iKeyTU.exe] "C:\Programme\Rainbow Technologies\iKey Components\Bin\iKeyTU.exe" /SYSTRAY O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] T:\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [PDF3 Registry Controller] "T:\Programme\ScanSoft\PDF Professional 3.0\\RegistryController.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe" O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart O4 - Startup: UltraMon.lnk = C:\Programme\UltraMon\UltraMon.exe O4 - Startup: Verknüpfung mit connect.lnk = C:\Dokumente und Einstellungen\****\Desktop\connect.cmd O4 - Startup: Verknüpfung mit YzShadow.exe.lnk = D:\tools\yzsdw109\YzShadow.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Telefonverbindungsmonitor.lnk = ? O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://T:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - res://T:\Programme\ScanSoft\PDF Professional 3.0\IEShellExt.dll /500 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - T:\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - T:\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - T:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120465244091 O17 - HKLM\System\CCS\Services\Tcpip\..\{9408819C-AA4B-41E5-B258-9949EC11541B}: Domain = divis.private O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\k6lq0g35e6.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: DB2 JDBC Applet Server (DB2JDS) - International Business Machines Corporation - T:\Programme\IBM\SQLLIB\BIN\db2jds.exe O23 - Service: DB2-Sicherheitsservice (DB2NTSECSERVER) - International Business Machines Corporation - T:\Programme\IBM\SQLLIB\BIN\db2sec.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NTPTime - Unknown owner - C:\Programme\NTP\ntptime.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe O23 - Service: wampapache - Unknown owner - t:\wamp\apache\Apache.exe" --ntservice (file missing) O23 - Service: wampmysqld - Unknown owner - t:\wamp\mysql\bin\mysqld-nt.exe |
|
15.12.2005, 13:03
| #3 |
| | Mich hat's erwischt :( Super alles wieder wie es sein soll.
__________________Danke! |
|
| Themen zu Mich hat's erwischt :( |
| abgesicherten modus, adobe, adobe reader, antivirus, browser, components, converter, desktop, down, drivers, einstellungen, excel, explorer, google, hijack, hijackthis, internet, internet explorer, mssql, registry, rundll, server, settings manager, software, symantec, system, trend micro, werbung, windows, windows xp, öffnet |
Linear-Darstellung
