|
Log-Analyse und Auswertung: Ergebnis Escan. Schlimm, oder eher harmlos?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.02.2006, 22:38 | #1 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Hallo an Euch alle und speziell Haui und MightyMarc, die bisher super geholfen haben. Nachdem mein Desktop und meine Taskleiste verschwunden sind und 1000 Versuche diese wieder herzustellen nichts brachten, landete ich hier und sehe mich tatsächlich in besten, fachlichen Händen! Nach weiteren Fehlversuchen konnte Escan nun endlich durchlaufen und das hier kam dabei raus. Ich hoffe, Ihr könnt mir sagen, was nun zu tun ist? Folgendes noch dazu: Da ich SP2 erst seit kürzerem nutze, ist es ziemlich warscheinlich, dass einiger Krams schon länger auf dem Rechner haust. Ich hoffe inständig um eine Neuinstallation herumzukommen und würde erst einmal Versuchen, durch entfernen meinen Desktop, bzw. Rechner wieder flott zu kriegen. Ich bin mir nicht ganz sicher, was ich nun alles aus dem Logfile posten soll, fange aber mal vorsichtig mit diesen Auszügen hier an: Mon Feb 27 20:44:35 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Mon Feb 27 20:44:35 2006 => Loading Spyware Signatures from new External Database (Size: 152733). Mon Feb 27 20:44:35 2006 => Indexed Spyware Databases Successfully Created... Mon Feb 27 20:44:37 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!! Mon Feb 27 20:45:28 2006 => Object "win32.passma Virus" found in File System! Action Taken: No Action Taken. Mon Feb 27 20:45:29 2006 => Offending file found: C:\WINDOWS\system32\redirect.dll Mon Feb 27 20:45:29 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken. Mon Feb 27 20:45:29 2006 => Offending Folder found: C:\Programme\whinstall Mon Feb 27 20:45:29 2006 => Object "webhancer Spyware/Adware" found in File System! Action Taken: No Action Taken. Mon Feb 27 20:45:30 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark04\readme.url Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Mon Feb 27 20:45:30 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark04\readme.url Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Mon Feb 27 20:45:30 2006 => Offending file found: C:\WINDOWS\start.exe Mon Feb 27 20:45:30 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken. Mon Feb 27 20:45:29 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken. Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Mon Feb 27 20:45:30 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Mon Feb 27 20:45:30 2006 => System found infected with cws.smartsearch Browser Hijacker (C:\WINDOWS\start.exe)! Action taken: No Action Taken. Mon Feb 27 21:29:26 2006 => Total Objects Scanned: 106551 Mon Feb 27 21:29:26 2006 => Total Critical Objects: 7 Mon Feb 27 21:29:26 2006 => Total Disinfected Objects: 0 Mon Feb 27 21:29:26 2006 => Total Objects Renamed: 0 Mon Feb 27 21:29:26 2006 => Total Deleted Objects: 0 Mon Feb 27 21:29:26 2006 => Total Errors: 6 Mon Feb 27 21:29:26 2006 => Time Elapsed: 00:45:48 Mon Feb 27 21:29:26 2006 => Virus Database Date: 2/25/2006 Mon Feb 27 21:29:26 2006 => Virus Database Count: 174644 Mon Feb 27 21:29:26 2006 => Scan Completed. Was benötigt ihr noch? (Habt Nachsicht mit mir ) Gruß Imp |
27.02.2006, 23:18 | #2 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Hallo Impossible-sr,
__________________lösche folgende Dateien: C:\WINDOWS\start.exe C:\WINDOWS\system32\redirect.dll C:\Programme\whinstall <-- Ordner darus
__________________ |
27.02.2006, 23:41 | #3 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Hallo dartus.
__________________Ok, mache ich. Wenn ich das richtig sehe, muss das ohne Systemwiederherstellung passieren? Kannst du mir sagen, wie ich die abschalte, wenn ich nur den Taskmanager habe?? Das ganze dann noch im abgesicherten Modus durchführen? Gruß Imp |
28.02.2006, 01:00 | #4 | |
| Ergebnis Escan. Schlimm, oder eher harmlos?Zitat:
1. Versuche es mal über die DOS-Box. Starte hierzu den Task "cmd" (ohne ""). Sollte das gehen, Glück gehabt. Wenn nicht, musst Du versuchen über "neuer Task" eine leicht kryptisch anmutende Befehlszeile in das kleine Fensterchen einzutippen. Also sowohl für die DOS-Box als auch für "neuer Task" (falls sich die DOS-Box nicht öffnen lassen sollte) gilt: reg add HKLM\SYSTEM\CurrentControlSet\Services\sr /v Start /t REG_DWORD /d 4 /f Danach neustarten. Ob das ganze gefunzt hat, kannst Du wie folgt testen. Neuer Task cmd net start Systemwiederherstellungsdienst Kommt da eine Fehlermeldung ist alles bestens und der Dienst bis auf weiteres deaktivert. 2. Neuer Task cmd. Dann: net stop Systemwiederherstellungdienst Alternativ direkt als "neuer Task versuchen". 3. Neuer Task services.msc Suche den Dienst "Systemwiederherstellungsdienst", rechter Mausklick, Eigenschaften Als erstes den Dienst stoppen und dann den Starttyp auf deaktiviert setzen. Und ja, die Dateien am besten im abgesicherten Modus löschen (sonst droht unter Umständen das Sysiphus-Syndrom). Gruß Marc Edit: Es gibt sicherlich noch andere Möglichkeiten den Dienst zu beenden, nur leider fallen mir grad keine praktiablen ein.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. Geändert von MightyMarc (28.02.2006 um 01:18 Uhr) |
28.02.2006, 22:43 | #5 |
| Ergebnis Escan. Schlimm, oder eher harmlos? So! Habe die von dartus angegebenen Dateien gelöscht und einen neuen Escan durchgeführt. win32.passma Virus Dynamic Desktop Media Spyware/Adware Midaddle Sind noch da! Wie krieg ich die weg? Mein Desktop ist nach wie vor leer. Leider! Bin für alle Tips dankbar. Hier noch ein Auszug aus dem neuen Log: Tue Feb 28 21:02:44 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Tue Feb 28 21:02:44 2006 => Loading Spyware Signatures from new External Database (Size: 152733). Tue Feb 28 21:02:44 2006 => Indexed Spyware Databases Successfully Created... Tue Feb 28 21:02:46 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\time zones !!! Tue Feb 28 21:14:10 2006 => Object "win32.passma Virus" found in File System! Action Taken: No Action Taken. Tue Feb 28 21:14:12 2006 => Offending file found: C:\WINDOWS\system32\redirect.dll Tue Feb 28 21:14:12 2006 => System found infected with dynamic desktop media Spyware/Adware (redirect.dll)! Action taken: No Action Taken. Tue Feb 28 21:14:17 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\futuremark\pcmark04\readme.url Tue Feb 28 21:14:17 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Tue Feb 28 21:14:18 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\futuremark\pcmark04\readme.url Tue Feb 28 21:14:18 2006 => System found infected with midaddle Spyware/Adware (readme.url)! Action taken: No Action Taken. Sehe gerade, dieses redirect.dll scheint noch immer vorhanden zu sein? Hatte es im abgesicherten Modus ohne Systemwiederherstellung in der Reg gelöscht. Dachte ich zumindest. Need Help please. Grüße Imp |
01.03.2006, 00:02 | #6 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Versuche mal von der Wiederherstellungskonsole aus, die Datei zu löschen. Dort gibst Du folgendes ein: del C:\Windows\system32\redirect.dll Wie Du in die Konsole kommst, wird hier beschrieben. Du wirst das Passwort für den User Administrator benötigen (und eine Windows XP CD). Falls kein Passwort vergeben wurde, bei der Abfrage einfach ENTER drücken. http://support.microsoft.com/?scid=k...24120121120120
__________________ --> Ergebnis Escan. Schlimm, oder eher harmlos? |
01.03.2006, 00:10 | #7 |
| Ergebnis Escan. Schlimm, oder eher harmlos? OK, werd ich versuchen. Und was ist mit dem Rest? Gruß Imp |
01.03.2006, 21:52 | #8 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Brauche weiterhin eure Hilfe. Die redirect.dll scheint weg zu sein. Mein Desktop/Taskleiste allerdings auch noch immer. Scheint noch an diesem dynamic desktop media zu liegen? Wie kann ich das lokalisieren und entfernen? Und wie ist die Meldung cws.smartsearch Browser Hijacker einzustufen??? Braucht ihr evtl. doch das komplette Logfile? Gruß und Dank Imp |
02.03.2006, 01:22 | #9 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Mal schauen, ob von dem dynamic desktop media noch etwas übrig ist. 1. Neuer Task: cmd 2. dort: cd %windir%\system32 3. dort: dir ddm* berichte, ob Du folgende Dateien findest: ddmp.dll, ddm_d.exe 4. dort: dir sysu* berichte, ob Du folgende Datei findest: sysu.exe 5. dort: dir redirect* berichte, ob Du dir redirect.dll noch finden kannst 1. Neuer Task: regedit 2. Manövriere Dich zu folgender Stelle: HKEY_LOCAL_MACHINE\SOFTWARE und berichte ob Du links unterhalb von SOFTWARE einen Eintrag "ddm" finden kannst. So, alle bestätigten Funde der angesprochenen Dateien, in der Wiederherstellungskonsole löschen. Beispiel: del C:\Windows\system32\ddmp.dll Normal booten und nachschauen, ob diese Dateien tatsächlich weg sind (Methode siehe oben).
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
03.03.2006, 15:18 | #10 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Und wieder bin ich etwas weiter. Habe die Tips von MightyMarc durchgeführt und alles entfernt. Habe nun auch diesen Time Zones Virus entfernt. der Rest ist auch gelöscht und ein erneuter Escan hat nun nichts mehr ergeben. Trotzdem ist mein Desktop leer! Noch immer! Was kann ich denn nun noch tun? Wieder dll's kopieren von der CD ins Windows System? Die Lösung scheint ja nun hoffentlich in greifbare Nähe zu kommen. Langsam bin ich doch soweit aufzugeben, obwohl ich das nicht wollte. Also mal wieder die Bitte an die Spezialisten: Was kann ich nun noch tun, um meinen Desktop wieder zu bekommen? (Neuer Task: Explorer.exe läuft für etwa 2 sek.) Gruß Imp |
04.03.2006, 00:05 | #11 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Niemand mehr eine Idee? Gruß Imp |
04.03.2006, 00:25 | #12 | |
| Ergebnis Escan. Schlimm, oder eher harmlos?Zitat:
Du hast dein Problem leider über zig Threads verteilt und die will ich ungern alle durcharbeiten Der schnellste Weg wäre sicherlich dieser. Seit wann tritt das Problem genau auf? Tritt das Problem auch im abgesicherten Modus auf? Hilft evtl. die Option "letzte als funktionierend bekannte Konfiguration"? Was ist mit einer Reparaturinstallation? Was sagt die Ereignisanzeige (eventvwr.exe)? |
04.03.2006, 15:22 | #13 |
| Ergebnis Escan. Schlimm, oder eher harmlos? Hallo Haui. Also gepostete Threads gibt es nur 2. Und den anderen hab ich ja auf dein Anraten geschlossen! Das Problem besteht im abgesicherten Modus genauso. Systemwiederherstellung ist nicht möglich und letzte als funktionierend bekannte Konfig tut auch nicht. Das Problem bleibt. An eine Reparatur Installation dachte ich auch, aber da tritt das Phänomen auf, dass die Fehlermeldung kommt: Die Installierte Windowsversion ist neuer, als die im CD Laufwerk. Und dann geht nur noch abbrechen, sonst nix weiter! Dabei ist es genau die Version, die installiert ist. Zumindest bis auf durchgeführte Updates. Vor kurzem erst installierte ich SP2. Aber auch das liefen wochenlang wunderbar. Irgendwann trat der Fehler auf und mein Desktop war leer, die Taskleiste weg! Kann diese Fehlermeldung bei der Rep-Installation mit dem SP2 zusammen hängen? Wollte SP2 eigentlich als nächstes mal deinstallen. Aber vielleicht hast du noch andere Ideen? Gruß Imp |
04.03.2006, 15:34 | #14 | |
| Ergebnis Escan. Schlimm, oder eher harmlos?Zitat:
Neuer Task: eventvwr.msc (oder eventvwr.exe) Links dann System anwählen und mal berichten, ob und wenn ja, welche Fehlermeldungen (rotes Kreuz) für die explorer.exe gemeldet werden. Versuche den Inhalt möglichst genau wieder zu geben. Achte dabei bitte darauf, dass Du Fehlermeldung ins Auge fasst, die zeitlich mit dem Bootvorgang korrelieren.
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
15.03.2006, 11:32 | #15 |
| Ergebnis Escan. Schlimm, oder eher harmlos? So, hat leider etwas gedauert, aber hier die Daten aus dem Ereignisprotokoll: Dienst "Aha154x" wurde nicht gestartet. Angegebene datei nicht findbar. dasselbe mit: "aic78u2"; "aic78xx"; "ini910u". Weiterhin die Fehlermeldung: Der Computerbrowser ist vom Dienst Server abhängig. Dieser wurde nicht gestartet. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden. Diese Fehler treten immer wieder "on Block" auf. Vielleicht liegt da das Problem? Ich habe diese Dateien auf der Windows CD, weiß aber nicht, wo ich sie hinkopieren muss. Könnt ihr helfen? Danke Gruß Imp |
Themen zu Ergebnis Escan. Schlimm, oder eher harmlos? |
browser, browser hijacker, desktop, einstellungen, entfernen, ergebnis, escan, hijacker, infected, logfile, microsoft, object, programme, rechner, registry, software, sp2, super, system, system32, taskleiste, total, verschwunden, virus, webhancer, windows |