|
Log-Analyse und Auswertung: WORM/Ider.A.Rkit Hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.01.2006, 20:08 | #1 |
| WORM/Ider.A.Rkit Hilfe!!! hallo, habe mir seit gestern einen sehr lästigen wurm eingefangen, von dem ich nicht weiss woher. ich bin für jede unterstützung dankbar. hier mein HijackThis logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:28:04, on 01.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\mssearchnet.exe C:\WINDOWS\system32\nvctrl.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\USB Storage Device\shwicon.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe F:\alcohol\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Internet Explorer\iexplore.exe C:\lösch\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpB2B6.tmp O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ShowIcon_The Company_USB Storage Device v1.14e035] "C:\Programme\USB Storage Device\shwicon.exe" -t"The Company\USB Storage Device v1.14e035" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SpyAxe] C:\Programme\SpyAxe\spyaxe.exe /h O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q O4 - HKCU\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe" O4 - Startup: palmOne Registration.lnk = C:\Programme\palmOne\register.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\alcohol\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
01.01.2006, 21:58 | #2 |
| WORM/Ider.A.Rkit Hilfe!!! hallo,
__________________also du hast einiges auf deinem system angesammelt.. daher würde ich auch vorschlagen das es am besten und vor allem am sichersten ist wenn du dein system komplett neu aufsetzen würdest. alles andere wäre fummelei und würde nix bringen. anleitung zum Neuaufsetzen findest du im link meiner signatur.. wenn du dich genau daran hältst sollte dir sowas nicht mehr passieren.
__________________ |
01.01.2006, 23:04 | #3 |
| WORM/Ider.A.Rkit Hilfe!!! vielen dank für deine antwort!
__________________ist es ausreichend nur das c:\ verzeichnis neuaufzusetzen oder sollte man alle parttionen komplett löschen? kannst du noch einen tip geben wie ich all meine daten sichern kann? mfg zalmay |
02.01.2006, 11:05 | #4 |
| WORM/Ider.A.Rkit Hilfe!!! man sollte dann schon alles komplett machen.. eine ausführliche anleitung dazu findest du im link meiner signatur.. welche daten willst du denn sichern?? denn wie willst du daten sichern die von nem virus befallen sind?? das bringt dich nicht weiter..
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
02.01.2006, 11:12 | #5 |
| WORM/Ider.A.Rkit Hilfe!!! ich habe reichlich musik; eigene bilder und videos auf der festplatte, die ich noch brauche. diese befinden sich nicht auf c:\ ich dachte musik etc. auf externe festplatte dann rechner komplett neu, dateien wieder zurück in den rechner was sagst du ? mfg |
02.01.2006, 11:14 | #6 |
| WORM/Ider.A.Rkit Hilfe!!! klar das kannst du machen. aber sonstige sachen die auf c sind bitte nicht sichern.
__________________ --> WORM/Ider.A.Rkit Hilfe!!! |
03.01.2006, 14:00 | #7 |
| WORM/Ider.A.Rkit Hilfe!!! hallo nun habe ich das ganze system neuinstalliert. schau mal noch einmal, ob alles ok ist!! Danke zalmay Logfile of HijackThis v1.99.1 Scan saved at 13:52:25, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136289037187 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
03.01.2006, 14:04 | #8 |
| WORM/Ider.A.Rkit Hilfe!!! ist soweit ok... kennst du diesen eintrag: O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1 benutzt du adope programme??
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
03.01.2006, 20:38 | #9 |
| WORM/Ider.A.Rkit Hilfe!!! ich benutze das adobe acrobat reader, aber adobe download manager weiss ich nicht woher es kommt. ich denke beim laden und installieren von adobe reader. ist doch nichts schlimmes? grüsse zalmay |
03.01.2006, 21:28 | #10 |
| WORM/Ider.A.Rkit Hilfe!!! nein dann ist es ok... wollte nur wissen ob es absicht ist...
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
Themen zu WORM/Ider.A.Rkit Hilfe!!! |
adobe, adobe reader, antivirus, antivirus scan, avg, bho, computer, dll, excel, explorer, hijack, hijackthis, hijackthis logfile, hilfe!!, hilfe!!!, internet, internet explorer, logfile, nvidia, programme, rundll, software, symantec, system, tuneup utilities, usb, windows, windows xp, wurm |