|
Log-Analyse und Auswertung: HiJack Log bei Vundo.GenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.09.2006, 12:01 | #1 |
| HiJack Log bei Vundo.Gen Hi @ all, mich hats auch erwischt. Vundo.Gen, teilweise konnte ich die befallenen Dateien löschen, befürchte aber das im LogFile eine Umleitung drin ist. Bitte kontrollieren. Die befallenen Dateien stehen im Logfile unter O20, die Umleitung die ich befürchte in O 17. Die gebxwur.dll konnte ich im abgesichten Modus löschen, ddabb.dll nicht. Darüber hinaus wird bei jedem Booten eine bbadd.ini erstellt. Die kann ich löschen, kommt aber immer wieder neu. darüber hinaus existierte eine mguard.exe. Solange die aktiv war wurde der Zugriff auf Virenscanner sowohl auf der Platte als auch im Internet immer abgebrochen. gebxwur.dll war ein Auto Dialer, der im Hintergrund eine Verbindung ins Internet hergestellt hat, über die dann weitere Malware downgeloaded wurde. In O2 wird die ddabb.dll und die gebxwur.dll initialisiert. Musste die Hijack.exe umbenennen, da Ausführung mit Fehlermeldung abgebrochen wurde. Heißt jetzt newprogramm.com. Habe den Rechner physisch vom Netz getrennt ( Stecker raus) und arbeite im Moment von anderen Rechnern. Vielen Dank schon einmal im voraus Husky07 Hier der Logfile: Logfile of HijackThis v1.99.1 Scan saved at 08:24:14, on 14.09.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe C:\Programme\Unlocker\UnlockerAssistant.exe C:\Programme\4D Browser Mouse\Scw64.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Programme\HiJackThis\newprogramm.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG F2 - REG:system.ini: Shell=Explorer.exe mguard.exe F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,mguard.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {179F98BE-5563-4B8F-88DB-8862669B04B3} - C:\WINNT\system32\ddabb.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5E05CFC1-00D5-4E73-A5F5-ADA952F03CF6} - C:\WINNT\system32\gebxwur.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\system32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKCU\..\Run: [4-D-Maus] C:\Programme\4D Browser Mouse\Scw64.exe O4 - HKCU\..\Run: [Ms Update WinServices NT/XP] winservnt32.exe O4 - HKCU\..\RunServices: [Windows Kernel System Service] wkssvr.exe O4 - Global Startup: Exif Launcher.lnk.disabled O4 - Global Startup: HPAiODevice.lnk.disabled O4 - Global Startup: Microsoft Office.lnk.disabled O4 - Global Startup: Photo Loader resident.lnk.disabled O4 - Global Startup: WinZip Quick Pick.lnk.disabled O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f008.mail.lycos.de/app/uploader/FileUploader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{E4C0714B-DCC7-413D-B9BC-305D6633A9DF}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{04BE7F77-6282-406B-8AD1-9F213DE6F8EA}: NameServer = 192.168.122.252,192.168.122.253 O20 - Winlogon Notify: ddabb - C:\WINNT\system32\ddabb.dll O20 - Winlogon Notify: gebxwur - gebxwur.dll (file missing) O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINNT\system32\ssl.exe (file missing) O23 - Service: Windows Genuine Advantage Registration Service (wgareg) - Unknown owner - C:\WINNT\system32\wgareg.exe (file missing) O23 - Service: Windows UPnP Service (wupnp) - Unknown owner - C:\WINNT\system32\wupnp.exe (file missing) |
14.09.2006, 13:00 | #2 |
| HiJack Log bei Vundo.Gen Servus!
__________________Bei Dir sind min. zwei sog. Backdoortrojaner am werken (der hier und der hier). Da hilft nur mehr Cidres Generallösung - alles andere ist Mumpitz! Lies bei Cidre nach: er hat dort ausgiebig verlinkt/erklärt, warum das die einzige Lösung ist! stupormundi
__________________ |
14.09.2006, 13:29 | #3 |
| HiJack Log bei Vundo.Gen Danke für die Info,
__________________sowas hatte ich schon befürchtet, eine gute Zeit noch husky07 |
Themen zu HiJack Log bei Vundo.Gen |
adobe, antivir, askbar, avira, bho, booten, browser, drivers, explorer, fehlermeldung, hijack, hijackthis, hintergrund, home, immer wieder, internet, internet explorer, locker, log, logfile, löschen, malware, microsoft, programme, scan, software, system, userinit.exe, vundo.gen, windows |