| |
| |||||||
Log-Analyse und Auswertung: qhosts, zlob und media codecWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.08.2006, 13:35
| #1 |
| |  qhosts, zlob und media codec Hallo habe Probleme mit oben genannten trojanern. Habe auch schon smitfraud durchgeführt, aber nach jedem Neustart und anschließendem Scan werden alle 3 wieder gefungen: anbei das Log File von Hijack: Logfile of HijackThis v1.99.1 Scan saved at 12:33:52, on 14.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Sophos\Remote Update\imonitor.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Sophos\Remote Update\cachemgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://themen.t-online.de/c/51/41/32/5141322.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm R3 - URLSearchHook: (no name) - {EFC22034-36C8-C54B-ED85-7FADABE574F9} - install2.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Serviceprocess] zxc.exe O4 - HKLM\..\Run: [XTermInit] NSYSCPLSTR.exe O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe" O4 - HKLM\..\Run: [dmrjh.exe] C:\WINDOWS\system32\dmrjh.exe O4 - HKLM\..\Run: [tfvtc.exe] C:\WINDOWS\system32\tfvtc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [progmen] AppMasterCenter.exe O4 - HKCU\..\Run: [_ctcp] ATLIEHELPER.exe O4 - HKCU\..\Run: [Dest068] pizda.exe O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O4 - Global Startup: Remote Update Monitor.lnk = C:\Programme\Sophos\Remote Update\imonitor.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {07ADF72B-465E-49B6-9AA8-DE22CEB7A294} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {07ADF72B-465E-49B6-9AA8-DE22CEB7A294} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{68F154F8-E422-463C-AB00-0A0E6FDDB96B}: NameServer = 85.255.116.68,85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\..\{F50AF969-3576-4FFA-B4FC-EC265A0F5020}: NameServer = 85.255.116.68,85.255.112.100 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.68 85.255.112.100 O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Sophos Cache Manager (CacheMgr) - SOPHOS Plc - C:\Programme\Sophos\Remote Update\cachemgr.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe habe auch schon versucht mit HijackThis die Einträge unter Q17 zu löschen, aber ohne Erfolg. |
|
14.08.2006, 14:57
| #2 |
| Administrator > Competence Manager  | qhosts, zlob und media codec Hallo,
__________________in deinem Fall ist "Hopfen und Malz" verloren: Mehrere Trojaner, Malware und zusätzlich eine DNS-Umleitung auf einen ausländischen Server!!! Da hilft nur noch eine Neuinstallation, alles andere wäre sinn- und zwecklos. Sorry Sunny
__________________ |
|
14.08.2006, 18:32
| #3 |
| | qhosts, zlob und media codec Hallo,
__________________nochmals danke für die auskunft. werde mein system neu aufziehen. aber kann mir dennoch jemand sagen (wenn nicht zu viel arbeit) wo im logfile ersichtlich ist was a) ein Trojaner b) Malware c) auf welchen dns-server ich umgeleitet werde? Möchte für die Zukunft besser gerüstet sein! Danke |
|
| Themen zu qhosts, zlob und media codec |
| .dll, adobe, bho, dsl, explorer, fraud, hijack, hijackthis, internet, internet explorer, log, log file, löschen, neustart, nvidia, programme, rundll, scan, smitfraud, software, system, temp, trojaner, träge, tuneup utilities, unknown file in winsock lsp, urlsearchhook, windows, windows xp, zlob |
Linear-Darstellung
