|
Log-Analyse und Auswertung: Mein PC spielt total verrückt - bitte um Hilfe!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.07.2006, 22:47 | #16 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! falls es hilft, meine letzten beiden quarantines von norton (von anfang des monats): Complete scanning result of "507123EA.dll", received in VirusTotal at 07.07.2006, 23:29:26 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 Backdoor.Cakl.B CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 26184 bytes MD5: 5a22bb601d247de7ea16c5fc8ec51765 SHA1: 1e6e80265a871db61e3d957b8ad027f6fe406ed2 packers: XORCrypt Complete scanning result of "0493409E.exe", received in VirusTotal at 07.07.2006, 23:32:50 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 Backdoor.Cakl.B CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 19528 bytes MD5: 22b16c139cd096583d215c7cefb85ba3 SHA1: 63a7bb1883816a2745c05fdbd32dca1006f526a4 packers: XORCrypt |
07.07.2006, 22:53 | #17 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! und nun der nächste schritt:
__________________ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 23:53:06 07.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WhenUSave -> Adware.SaveNow : Mit Backup gesäubert (unter Quarantäne gestellt). C:\WINDOWS\system32\__delete_on_reboot__n_t_s_w_r_l_3_2_._d_l_l_ -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt). C:\WINDOWS\system32\ldapi32.exe -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt). [1112] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2276] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2536] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2548] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2560] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [3192] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. C:\WINDOWS\system32\__delete_on_reboot__n_t_c_v_x_3_2_._d_l_l_ -> Backdoor.Dosia : Mit Backup gesäubert (unter Quarantäne gestellt). C:\Dokumente und Einstellungen\Michael\Cookies\michael@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@promarkt.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wfloekdjckp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6whkiskdzsgp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wjlygpdjebp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. ::Berichtende |
07.07.2006, 23:01 | #18 |
/// Helfer-Team | Mein PC spielt total verrückt - bitte um Hilfe!!! Und was ist mit ewido? Und dem Rest?
__________________Der Sever kann auch mal nicht erreichbar sein.
__________________ |
07.07.2006, 23:03 | #19 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! hab blacklight doch noch gefunden : 07/07/06 23:56:54 [Info]: BlackLight Engine 1.0.42 initialized 07/07/06 23:56:54 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/07/06 23:56:54 [Note]: 7019 4 07/07/06 23:56:54 [Note]: 7005 0 07/07/06 23:56:59 [Note]: 7006 0 07/07/06 23:56:59 [Note]: 7011 1112 07/07/06 23:56:59 [Note]: 7026 0 07/07/06 23:56:59 [Note]: 7026 0 07/07/06 23:56:59 [Note]: 7024 3 07/07/06 23:56:59 [Info]: Hidden process: C:\WINDOWS\system32\vssms32.exe 07/07/06 23:56:59 [Note]: FSRAW library version 1.7.1019 07/08/06 00:01:52 [Note]: 7002 0 07/08/06 00:01:52 [Note]: 7003 1 07/08/06 00:02:48 [Note]: 7007 0 |
07.07.2006, 23:04 | #20 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! also: ewido durch, blacklight durch, clearprog durch... ich mach mal das hjt...bis gleich |
07.07.2006, 23:05 | #21 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! und da wärs: Logfile of HijackThis v1.99.1 Scan saved at 00:04:37, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Opera\Opera.exe C:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7D79278F-EA3A-DBA1-D601-E5E5B2E028CE} - (no file) O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\dnxyeca.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting O4 - HKCU\..\Run: [Amok hold] C:\DOKUME~1\Michael\ANWEND~1\JUMPBA~1\dogprogram.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/272f56c27105adcdda18/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136924046343 O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Ethernet Packet Service (npacketservice) - Unknown owner - C:\WINDOWS\system32\npacketsvc.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
07.07.2006, 23:13 | #22 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! beim reboot kam jetzt auch noch so ein dos-eingabefenster... am ende der pfadangabe stand "usersafe.exe", den rest konnte ich so schnell nicht erkennen... |
07.07.2006, 23:21 | #23 | |
/// Helfer-Team | Mein PC spielt total verrückt - bitte um Hilfe!!!Zitat:
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
07.07.2006, 23:23 | #24 |
| Mein PC spielt total verrückt - bitte um Hilfe!!! wie gesagt, bin kein experte,sorry...aber als der desktop sich laaaaangsam aufbaute ging so ein fenster auf (schwarz mit grauer umrandung - wie früher bei DOS) und direkt wieder zu |
08.07.2006, 01:49 | #25 | |
| Mein PC spielt total verrückt - bitte um Hilfe!!!Zitat:
Weiterhin deutet alles darauf hin, dass auf deinem PC ein Bot installiert ist (siehe Signatur). Meines Erachtens folgender: http://www.sophos.de/security/analyses/trojbdooryp.html Da zusätzlich Blacklight vssms32.exe anmeckert (passt) und Ewido die ntswrl32.dll auch als Backdoor einstuft (passt auch), ist der Fall eindeutig und jede weitere Überprüfung Zeitverschwendung, es handelt sich um o.g. Malware: 1. Dein System ist eindeutig kompromittiert 2. Daraus folgt, dass nur ein Neuaufsetzen des Systems in Betracht kommen kann. Warum sollte klar sein, da du meine Links gelesen hast. Sorry, aber bei dir ist der "Worst-Case" eingetreten. Gruß-cronos Edit: Ich sehe gerade, das irrlicht die Diagnose schon am Anfang des Threads stellte.
__________________ Only cronos endures Geändert von cronos (08.07.2006 um 02:20 Uhr) |
Themen zu Mein PC spielt total verrückt - bitte um Hilfe!!! |
abgesicherten modus, adobe, antivir, backdoor, backdoor trojaner, bho, bildschirm, bitte um hilfe, bluescree, bluescreen, desktop, dsl, einstellungen, explorer, helfen, hijack, hijackthis, hilfe!!, hilfe!!!, immer wieder, internet, internet explorer, kis, letzt, neustart, pop-ups, programme, rojaner gefunden, scan, software, super, symantec, trend micro, trojaner, trojaner gefunden, windows, windows xp |