|
Log-Analyse und Auswertung: Hilfe...Bitte um Hilfe - Trojan AttackeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.07.2006, 14:19 | #1 |
| Hilfe...Bitte um Hilfe - Trojan Attacke Hallo wie bei anderen... meldet mein computer immer wieder iworm_attck_v122.02a has detected ... Es öffnen sich auch bei mir immer wieder pop up's , mit glücksspielen, erotik usw. IE wird immer gestartet mit .. res://C:\Program%20Files\Internet%20Explorer\mui\0407\sh doclc.dll/navcancl.htm und sofort weiter geleitet zu h**p://www.syssecuritysite.com/ Das hjt ergebniss beigefügt... mit Vielen Dank im Voraus für die Unterstutzung Stefan. Logfile of HijackThis v1.99.1 Scan saved at 16:03:12, on 13.07.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE C:\WINNT\system32\PowManSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\SecMaint.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\Program Files\UPHClean\uphclean.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\atmclk.exe C:\WINNT\system32\dcomcfg.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe D:\Program Files\****\7398437\Program\************ TV.exe C:\WINNT\AGRSMMSG.exe C:\WINNT\system32\hkcmd.exe C:\PROGRA~1\Fujitsu\BtnHnd\BtnHnd.exe C:\PROGRA~1\Fujitsu\APPLIC~1\QUICKT~1.EXE C:\PROGRA~1\Fujitsu\BATTER~1\BATTER~1.EXE C:\WINNT\system32\PRPCUI.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINNT\system32\internat.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINNT\explorer.exe C:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\******.***\LOCALS~1\Temp\Rar$EX00.359\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ************ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p://*******.corp.************.com:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local> O1 - Hosts: 3.7.113.20 debis20 dtgie01 # R/3 / I01 DB+Appl. O1 - Hosts: **.7.***.21 debis21 dtgia01 # R/3 / I02 DB+Appl. O1 - Hosts: **.7.***.22 debis22 dtgip01 # R/3 / I03 DB O1 - Hosts: **.7.***.23 debis23 dtgip11 # R/3 / I03 Appl. O1 - Hosts: **.7.***.30 debis30 dtgip00 # R/3 / Message Server O1 - Hosts: **.7.***.40 debis40 dtgia02 # R/3 / I04 DB+Appl. O1 - Hosts: **.7.***.27 dtgip02 # R/3 / I05 DB+Appl. O1 - Hosts: **.7.***.10 debis10 dtgp01 # R/3 / K03 O1 - Hosts: 3.7.***.11 debis11 dtgt01 # R/3 / K01, K02 O1 - Hosts: 3.7.***.12 debis12 dtga01 # R/3 / K03 O1 - Hosts: ***.1.1.1 localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINNT\system32\hp100.tmp O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: BEBHO.clsBEBHO - {E9E7EA0F-8D28-46D1-BCAD-B0843D4A4B4B} - C:\WINNT\system32\BEBHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [PwrMngSvc] c:\Winnt\System32\PwrMngSvc.exe O4 - HKLM\..\Run: [Outlook Security ] wscript.exe "C:\Program Files\************\Global Desktop\Utilities\Outlook Security Tool.vbs" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [************* TV] "D:\Program Files\****\7398437\Program\************ TV.exe" -startup O4 - HKLM\..\Run: [NPSMan] C:\WINNT\system32\NPSMan.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\system32\hkcmd.exe O4 - HKLM\..\Run: [LoadBtnHnd] c:\PROGRA~1\Fujitsu\BtnHnd\BtnHnd.exe O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] c:\PROGRA~1\Fujitsu\APPLIC~1\QUICKT~1.EXE O4 - HKLM\..\Run: [BATTERYAID] c:\PROGRA~1\Fujitsu\BATTER~1\BATTER~1.EXE O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [TrustedSites] Regedit /S C:\Winnt\System32\TrustedSites.reg O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ************** TV.lnk = D:\Program Files\****\7398437\Program\************ TV.exe O4 - Global Startup: VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.*************.com (HKLM) O15 - Trusted Zone: *.*******.****.com (HKLM) O15 - Trusted Zone: *.**************.com (HKLM) O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - h**ps://be.webex.com/client/v_mywebex-t20-localized/webex/ieatgpc.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - h**p://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4800/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = corp.**************.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = corp.***************.com O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = corp.*************.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = corp.**************.com O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = corp.***************.com O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = corp.************.com O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll O21 - SSODL: *************** - {210b4043-35ca-4aa0-8796-191f9663dfb3} - C:\WINNT\system32\vpxnk.dll (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IgniteService - Unknown owner - D:\Program Files\****\7398437\Program\IgniteService.exe" -Service (file missing) O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TGL~1\NetCfgSv.EXE O23 - Service: Power Management Service (PowManSvc) - NPS software - C:\WINNT\system32\PowManSvc.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: Security maintenance service - ************* - Global - C:\WINNT\system32\SecMaint.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe |
14.07.2006, 22:18 | #2 | |
Administrator > Competence Manager | Hilfe...Bitte um Hilfe - Trojan AttackeZitat:
Wenn ich mir dein Log so ansehe kann einem echt übel werden! Es gibt in deinem System jede Art von Verseuchung die man sich nur (oder auch nicht!) vorstellen kann! Nur mal ein paar Beispiele: Smitfraud bzw. Zlob, SpywareQuake, Script-Viren, Reste von Trojanern Also ob eine Bereinigung da noch Sinn macht bleibt fragwürdig! Ich an deiner Stelle würde das System einmal komplett neu aufsetzen, das spart Zeit und vermutlich jede Menge Ärger! Sorry, Daniel
__________________ |
16.07.2006, 22:05 | #3 |
| Hilfe...Bitte um Hilfe - Trojan Attacke Sunny,
__________________Vielen Dank....neu ausfstezen scheint sinnvoll!!! viele grüsse Stefan |
Themen zu Hilfe...Bitte um Hilfe - Trojan Attacke |
adobe, adobe reader, antivirus, bho, computer, desktop, detected, drivers, excel, explorer, google, hijack, hijackthis, immer wieder, internet, internet explorer, messenger, microsoft, regedit, settings manager, software, symantec, system, system32, temp, trojan, vielen dank, windows, wscript.exe |