| |
| |||||||
Log-Analyse und Auswertung: Bitte helft mir malWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.02.2006, 05:08
| #1 |
| |  Bitte helft mir mal Logfile of HijackThis v1.99.1 Scan saved at 04:50:01, on 03.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\INCRED~2\bin\IMApp.exe D:\Programme\Opera\Opera.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Kleine Mü\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tgsoft.it/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114976260108 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7ABC06A5-8E95-4F35-8BCB-107D75B370C3}: NameServer = 192.168.0.1 O20 - Winlogon Notify: Explorer - C:\WINDOWS\system32\lvr6099se.dll (file missing) O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\i4600ejmehoa0.dll (file missing) O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\j4j60e1seh.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\install\WinStylerThemeSvc.exe -------------------------------------------------------------------------- * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\SYSTEM32\e602lg~1.dll Fri 3 Feb 2006 3:45:04 ..S.R 236.271 230,73 K C:\WINDOWS\SYSTEM32\g4400e~1.dll Thu 2 Feb 2006 17:46:02 ..S.R 235.911 230,38 K C:\WINDOWS\SYSTEM32\j4j60e~1.dll Fri 3 Feb 2006 4:15:08 ..S.R 235.867 230,34 K C:\WINDOWS\SYSTEM32\ksdic.dll Fri 3 Feb 2006 4:30:34 ..S.R 236.271 230,73 K ________________________________________________ 2.095 items found: 2.094 files (4 H/S), 1 directory. Total of file sizes: 453.608.279 bytes 432,59 M Administrator Account = Wahr --------------------End log--------------------- So hier das Prob !!!! Ich hab Opera und dll Compare drüber laufen lassen ich kann die Ausgegebenen datein im abgesichertn Modus Nicht löschen.. Mein Opera und mein IE sowie Mozilla öffnen in regelmässigen abständen immer neue Inet - Seiten . Dieses Problem ist weder durch Ad - Adware , Spybot, Vir - IT noch durch irgendein Virenscanner zu lösen auch die Firewall lies diese Mal- Ware durch Bitte helft mir mal im voraus danke |
|
03.02.2006, 07:48
| #2 |
   | Bitte helft mir mal Servus!
__________________Diese Adware ist zumindest bei Dir zugange! Um einen Überblick über mögliche weitere Böslinge zu bekommen, lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi
__________________ |
|
03.02.2006, 11:07
| #3 |
| | Bitte helft mir mal Fri Feb 03 09:56:57 2006 => System found infected with bearshare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
__________________Fri Feb 03 09:56:57 2006 => System found infected with bearshare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken. Fri Feb 03 09:56:58 2006 => System found infected with bearshare Spyware/Adware ({5f95e1af-2620-4f15-bdf9-7fdce4607e17})! Action taken: No Action Taken. Fri Feb 03 09:56:58 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: No Action Taken. Fri Feb 03 09:56:59 2006 => Offending Key found: HKCU\appevents\eventlabels\bearsharechatnotifymsg !!! Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:56:59 2006 => Offending Key found: HKCU\appevents\schemes\apps\bearshare !!! Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:56:59 2006 => Offending Key found: HKLM\Software\magnet\handlers\bearshare !!! Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:56:59 2006 => Offending Key found: HKLM\Software\bearshare !!! Fri Feb 03 09:56:59 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:57:00 2006 => Offending value found in HKLM\Software\Licenses: {i56b3cf0d9ab991e1} !!! Fri Feb 03 09:57:00 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:57:00 2006 => Offending value found in HKLM\Software\Licenses: {056b3cf0d9ab991e1} !!! Fri Feb 03 09:57:00 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Fri Feb 03 09:57:01 2006 => Offending file found: C:\WINDOWS\gpinstall.exe Fri Feb 03 09:57:01 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken. Fri Feb 03 09:57:03 2006 => Offending file found: C:\WINDOWS\system32\objsafe.tlb Fri Feb 03 09:57:03 2006 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken. Fri Feb 03 09:57:22 2006 => Scanning Folder: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\*.* Fri Feb 03 10:45:52 2006 => File C:\WINDOWS\winsysban4.exe infected by "Trojan-Clicker.Win32.VB.kc" Virus! Action Taken: No Action Taken. Ich hoffe so ist es richtig und ihr könnt damit was anfangen........ Thx Moon |
|
04.02.2006, 11:11
| #4 |
| | Bitte helft mir mal Könnte sich das mal bitte einer angucken die probleme sind immer noch dieselben der Lookme2 Virus is noch aktiv ich find aber leider keine datei zum löschen der Escan gibt zwar welche aus als ich aber mit Kill bill diese gelöscht habe is der Virus immer noch aktiv ich weiss leider nicht mehr weiter. Thx MOON |
|
04.02.2006, 11:25
| #5 |
| | Bitte helft mir mal Hallo, besorge dir mal folgendes Tool, entpacke es in einen eigenen Ordner, und führe es mit der Option "2" aus. Nach dem Neustart sollte ein Log erscheinen, poste es. Außerdem machst du mal folgendes und postest die vier Logfiles, nur die Dateien der letzten drei Monate abkopieren. Grüße Wildone |
|
| Themen zu Bitte helft mir mal |
| adware, antivir, danke, desktop, dll, einstellungen, explorer, firewall, hijack, hijackthis, index, infected, internet, internet explorer, logfile, microsoft, mozilla, nvidia, opera, problem, programme, rundll, seiten, software, system, windows, windows xp |
Linear-Darstellung
