|
Log-Analyse und Auswertung: HiJackThis mit Escan 4 Probleme oder mehr?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.01.2006, 16:47 | #1 |
| HiJackThis mit Escan 4 Probleme oder mehr? Hi alle! Hier mein HijackThis mit Escan. Sind searchexe, bearshare und ezula echte Probleme? Ich dachte erstere beiden wären ein Versehen von escan? Logfile of HijackThis v1.99.1 Scan saved at 16:14:49, on 13.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE C:\Programme\Norman\bin\ZANDA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\UAService7.exe C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe C:\Programme\Norman\bin\NJEEVES.EXE C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\winadm.exe C:\Programme\Norman\bin\ZLH.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\gtwatch.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\LVCOMS.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe C:\Programme\palmOne\Hotsync.exe C:\Programme\Norman\Nvc\BIN\NIP.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norman\Nvc\bin\cclaw.exe C:\WINDOWS\system32\winadmd.exe C:\Programme\Norman\Npf\BIN\npfmsg2.exe C:\Programme\Norman\bin\niu.exe D:\Daten\Software\internet-www\Virus-Trojaner-Etc\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file) O4 - HKLM\..\Run: [imekrmig7.0] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE" O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32 O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\system32\LVCOMS.EXE O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palmOne\Hotsync.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120210627921 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Programme\Norman\bin\NJEEVES.EXE O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe Fri Jan 13 14:28:11 2006 => ********************************************************** Fri Jan 13 14:28:11 2006 => eScan AntiVirus Toolkit Utility. Fri Jan 13 14:28:11 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc. Fri Jan 13 14:28:11 2006 => ********************************************************** Fri Jan 13 14:28:11 2006 => Version 7.4.5 Fri Jan 13 14:28:11 2006 => Protokolldatei: C:\BASES_X\MWAV.LOG Fri Jan 13 14:28:11 2006 => Datum und Uhrzeit des letzten Scans: 10.01.2006 13:35:40 Fri Jan 13 14:28:11 2006 => MWAV Registered: FALSE. Fri Jan 13 14:28:11 2006 => MWAV Mode: Only Scan files. Fri Jan 13 14:28:15 2006 => Letztes Datum der MWAV Dateien: 23 Dec 2005 11:32:56. Fri Jan 13 14:28:19 2006 => AV Bibliothek wird geladen... Fri Jan 13 14:28:19 2006 => MWAV doing self scanning... Fri Jan 13 14:28:19 2006 => Scanne Datei C:\BASES_X\kavss.exe Fri Jan 13 14:28:19 2006 => Scanne Datei C:\BASES_X\Getvlist.exe Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavss.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavssdi.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavssi.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavvlg.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\msvlclnt.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\ipc.dll Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\main.avi Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\virus.avi Fri Jan 13 14:28:21 2006 => MWAV files are clean. Fri Jan 13 14:28:21 2006 => Virus-Datenbank Datum: 2005/12/23 Fri Jan 13 14:28:21 2006 => Virus-Datenbank Zähler: 163086 Fri Jan 13 14:28:40 2006 => ********************************************************** Fri Jan 13 14:28:40 2006 => eScan AntiVirus Toolkit Utility. Fri Jan 13 14:28:40 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc. Fri Jan 13 14:28:40 2006 => Fri Jan 13 14:28:40 2006 => Support: support@mwti.net Fri Jan 13 14:28:40 2006 => Web: http://www.mwti.net Fri Jan 13 14:28:40 2006 => ********************************************************** Fri Jan 13 14:28:40 2006 => Version 7.4.5 Fri Jan 13 14:28:40 2006 => Protokolldatei: C:\BASES_X\MWAV.LOG Fri Jan 13 14:28:40 2006 => User Account: MK Fri Jan 13 14:28:40 2006 => Windows Root Folder: C:\WINDOWS Fri Jan 13 14:28:40 2006 => Windows Sys32 Folder: C:\WINDOWS\system32 Fri Jan 13 14:28:40 2006 => OS: Windows NT Fri Jan 13 14:28:40 2006 => Letztes Datum der MWAV Dateien: 23 Dec 2005 11:32:56. Fri Jan 13 14:28:40 2006 => Optionen vom Benutzer ausgewählt: Fri Jan 13 14:28:40 2006 => Specherüberprüfung: Aktiviert Fri Jan 13 14:28:40 2006 => Registry Überprüfung: Aktiviert Fri Jan 13 14:28:40 2006 => StartUp-Ordner Überprüfung: Aktiviert Fri Jan 13 14:28:40 2006 => System-Ordner Überprüfung: Aktiviert Fri Jan 13 14:28:40 2006 => Überprüfung der Systembereiche: Deaktiviert Fri Jan 13 14:28:40 2006 => Überprüfung der Dienste: Aktiviert Fri Jan 13 14:28:40 2006 => Festplattenüberprüfung deaktiviert Fri Jan 13 14:28:40 2006 => Verzeichniss Überprüfung: Deaktiviert Fri Jan 13 14:29:08 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Fri Jan 13 14:29:08 2006 => Scanne Datei C:\WINDOWS\system32\JAVASUP.VXD Fri Jan 13 14:29:08 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Fri Jan 13 14:29:08 2006 => Loading Spyware Signatures from new External Database (Size: 146361). Fri Jan 13 14:29:08 2006 => Indexed Spyware Databases Successfully Created... Fri Jan 13 14:30:34 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen. Fri Jan 13 14:30:36 2006 => Offending Key found: HKLM\Software\gnu !!! Fri Jan 13 14:30:36 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Fri Jan 13 14:30:36 2006 => Offending Key found: HKCU\Software\gnu !!! Fri Jan 13 14:30:36 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Fri Jan 13 14:30:43 2006 => Offending file found: C:\Dokumente und Einstellungen\MK\Desktop\internet.lnk Fri Jan 13 14:30:43 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen. Fri Jan 13 14:30:51 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware ***** Fri Jan 13 14:30:53 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\System32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Fri Jan 13 14:30:53 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Common Files\Borland Shared\BDE\IDAPINST.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ... |
13.01.2006, 20:20 | #2 |
| HiJackThis mit Escan 4 Probleme oder mehr? @wow4him
__________________Sind searchexe, bearshare und ezula echte Probleme? man sollte sie nicht im system haben. lade Adaware und spybot beide updaten, nacheinander scannen lassen, löschen was vorgeschlagen wird. BearShare, über systemsteuerung, software deinstallieren chaosman
__________________ |
14.01.2006, 12:42 | #3 |
| HiJackThis mit Escan 4 Probleme oder mehr? Hi chaosman,
__________________hab mit adaware einen Trojaner: win32.Trojan.Byteverify.A gefunden und gelöscht. Aber wie man bearshare über Systemsteuerung deinstallieren kann, weiß ich nicht. Vielleicht kann mir da jmd. einen Tipp geben. Spybot hat nichts gefunden auch mit F8-Windows-Start nichts. Ich habe allerdings die normalen Spybot-Einstellungen gelassen. Escan hat nun folgendes gefunden: 1. searchexe 2. bearshare 3. gtwatch unknown trojan ??? Hier die Details: Sat Jan 14 10:57:03 2006 => Virusliste wird erstellt... getvlist.exe C:\BASES_X\vlist.txt Sat Jan 14 10:57:30 2006 => ********************************************************** Sat Jan 14 10:57:30 2006 => eScan AntiVirus Toolkit Utility. Sat Jan 14 10:57:30 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc. Sat Jan 14 10:58:31 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Sat Jan 14 10:58:31 2006 => Scanne Datei C:\WINDOWS\system32\JAVASUP.VXD Sat Jan 14 10:58:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems ***** Sat Jan 14 10:58:31 2006 => Loading Spyware Signatures from new External Database (Size: 146361). Sat Jan 14 10:58:31 2006 => Indexed Spyware Databases Successfully Created... Sat Jan 14 11:07:49 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen. Sat Jan 14 11:07:51 2006 => Offending Key found: HKLM\Software\gnu !!! Sat Jan 14 11:07:51 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Sat Jan 14 11:07:51 2006 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: gtwatch !!! Sat Jan 14 11:07:51 2006 => Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Sat Jan 14 11:08:00 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware ***** Sat Jan 14 11:08:01 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\System32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. |
Themen zu HiJackThis mit Escan 4 Probleme oder mehr? |
adobe, antispyware, antivirus, bho, confused, defense, desktop, dll, einstellungen, email, explorer, festplatte, hijack, hijackthis, infected, internet, internet explorer, launch, maßnahme, norman, nvidia, object, programme, registry, rundll, software, system, windows, windows xp |