|
Log-Analyse und Auswertung: HiJackThis Log-FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.10.2006, 12:12 | #1 |
| HiJackThis Log-File Hallo @all, ich bin neu hier und brauche Hilfe mit meinem Rechner. Ich habe gestern eine Rar-datei ,die ich mir bei einem bestimmten Muli runtergeladen hatte entpackt und wupps war alles voll mit Trojanischen Hotte Hüs zb Bsp vom Typ : TR/Spy.Bandra.df.199 (Quelle C:\WINDOWS\TWlyaWFt\command.exe) ;TR/DldrIstBar.PM (Quelle C:\WINDOWS\widupdate.exe) ;TR/Dldr.VB.alt.19 (Quelle C:\WINDOWS\dr.exe) ; TR/Dldr.YM (Quelle C:\WINDOWS\sytem32\w1298ac6.dll) ; HEUR-DBLEXT/Crypted (Quelle C:\Programme\pacher.jpg)(oder auch patcher.jpg) ; TR/Dldr.DollarRev.C (Quelle C:\Programme\dr.exe) Die hocken nun in ner Quarantäne bei Antivir,das immer wieder neue Hottis findet. So weiter:Rechner wurde gestern dann extremst langsam und fing an zu laden wo es nix zu laden gab...ich hab dann gemerkt ,das was faul ist als ich bemerkt hab, das ich ich auf wundersame Weise plötzlich installierte Programme (hab ich bereits gelöscht) wie z.b Patcher fand ,die da nicht hingehörten wo sie waren und die ich net wollte. Ich poste nun mal mein Hijack und hoffe das mir jemand helfen kann. C:\WINDOWS\system32\taskmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe c:\programme\softwin\bitdefender8\bdmcon.exe C:\Programme\a-squared Anti-Malware\a2wizard.exe C:\Programme\Opera\Opera.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w.medion.com/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [I downloaded pirated Software from P2P 2006] Baphomets Fluch 4 Der Engel des Todes O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ylz4e62f] RUNDLL32.EXE w1298ac6.dll,n 0054e62a0000000a1298ac6 O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {79629ABC-1DDD-490E-8AA3-28B1739FC9BC} - h**p://w.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://w.medion.com/ O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143192665890 O17 - HKLM\System\CCS\Services\Tcpip\..\{B28BE1B6-9035-405B-99F1-A35046FA296F}: NameServer = 217.237.151.225 217.237.150.205 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\CYAB4SMK.DLL (file missing) O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\ciseqchk.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlyaWFt\command.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINDOWS\System32\ssl.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Mfg , Cali |
05.10.2006, 12:37 | #2 |
| HiJackThis Log-File Hallo,
__________________1. poste bitte das vollständige HJT-Log inklusive Kopf und aller Prozesse 2. Lokalisiere diese DLL w1298ac6.dll und lasse sie bei virustotal oder jotti (siehe meine signatur) scannen. Poste den vollständigen Scanbericht.
__________________ |
05.10.2006, 12:40 | #3 |
| HiJackThis Log-File Du hast echt ne Menge drauf.
__________________z.B O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlyaWFt\command.exe Versuch einfach alle möglichen Anti Viren Prorgamme, wobei bei ein starken Virenbefall eigentlich nur noch Neuaufsetzen des Systems sinnvoll ist, da man sich nie sicher sein kann ob ALLES was böse ist entfernt wurde. Geändert von ApexX (05.10.2006 um 12:57 Uhr) |
05.10.2006, 12:48 | #4 | |
| HiJackThis Log-FileZitat:
__________________ When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one. |
05.10.2006, 12:58 | #5 |
| HiJackThis Log-File hi, danke erstmal ,dass ihr euch so fix gemeldet habt!! Ist das vollständig?? Logfile of HijackThis v1.99.1 Scan saved at 13:59:58, on 05.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\DitExp.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\TWlyaWFt\command.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Network Monitor\netmon.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\ups.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe c:\programme\softwin\bitdefender8\bdmcon.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Opera\Opera.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w.medion.com/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Programme\Deskbar\deskbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [I downloaded pirated Software from P2P 2006] Baphomets Fluch 4 Der Engel des Todes O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ylz4e62f] RUNDLL32.EXE w1298ac6.dll,n 0054e62a0000000a1298ac6 O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {79629ABC-1DDD-490E-8AA3-28B1739FC9BC} - h**p://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.com/ O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143192665890 O17 - HKLM\System\CCS\Services\Tcpip\..\{B28BE1B6-9035-405B-99F1-A35046FA296F}: NameServer = 217.237.151.225 217.237.150.205 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\CYAB4SMK.DLL (file missing) O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\ciseqchk.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWlyaWFt\command.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINDOWS\System32\ssl.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Die DLL w1298ac6.dll finde ich bei dir Suche nicht Aber C:\WINDOWS\TWlyaWFt\command.exe finde ich und habs beim Jotti durchlaufen lassen ---> es wollte das zwar nicht..da sagte das jotti erstmal vonwegen its a littele bit lol a spyware is prohibiting you to scan itself. aber nu atei: command.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Trojan/Spy.Banbra.df.199 gefunden ArcaVir Trojan.Delf.Hp gefunden Avast Win32:Adware-gen. gefunden AVG Antivirus Generic.GVT gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Downloader.VB-104 gefunden Dr.Web Trojan.Proxy.493 gefunden F-Prot Antivirus W32/Agent.WF gefunden Fortinet W32/Agent.WF!tr gefunden Kaspersky Anti-Virus Trojan-Clicker.Win32.VB.fo gefunden NOD32 Win32/Adware.CommAd application gefunden Norman Virus Control W32/CommAd.A gefunden UNA Keine Viren gefunden VirusBuster Adware.CommAd.C gefunden VBA32 AdWare.Win32.CommAd.a gefunden Geändert von calypsoo (05.10.2006 um 13:13 Uhr) |
05.10.2006, 13:11 | #6 | |
| HiJackThis Log-FileZitat:
So findest Du versteckte Dateien. Ganz ehrlich, gut schaut das ganze nicht aus.
__________________ --> HiJackThis Log-File |
05.10.2006, 13:22 | #7 |
| HiJackThis Log-File ups.exe ist doch Microsoft Uninterruptible Power Supply. Heisst zwar noch lange nicht das es nicht böse sein kann, aber ich glaube die ist ok oder? |
05.10.2006, 13:26 | #8 |
| HiJackThis Log-File Der 1te Freund :C:\WINDOWS\system32\CNAB4RPK.EXE Datei: CNAB4RPK.EXE Auslastung: 0% 100% Status: OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Der 2te C:\WINDOWS\TWlyaWFt\command.exe Dienst Datei: command.exe Auslastung: 0% 100% Status: Datei wird hochgeladen, bitte warten... Entdeckte Packprogramme: - AntiVir Trojan/Spy.Banbra.df.199 gefunden ArcaVir Trojan.Delf.Hp gefunden Avast Win32:Adware-gen. gefunden AVG Antivirus Generic.GVT gefunden BitDefender Keine Viren gefunden ClamAV Trojan.Downloader.VB-104 gefunden Dr.Web Trojan.Proxy.493 gefunden F-Prot Antivirus W32/Agent.WF gefunden Fortinet W32/Agent.WF!tr gefunden Kaspersky Anti-Virus Trojan-Clicker.Win32.VB.fo gefunden NOD32 Win32/Adware.CommAd application gefunden Norman Virus Control W32/CommAd.A gefunden UNA Adware.CommAd gefunden VirusBuster Adware.CommAd.C gefunden VBA32 AdWare.Win32.CommAd.a gefunden Der 3te C:\WINDOWS\System32\ups.exe Dienst Datei: ups.exe Auslastung: 0% 100% Status: OK Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden und den 4ten w1298ac6.dll finde ich auch mit erweiterter Dateisuche nicht Geändert von calypsoo (05.10.2006 um 13:53 Uhr) |
05.10.2006, 14:41 | #9 |
| HiJackThis Log-File achso und das TR/Spy.Banbra.df.199 das in C:\WINDOWS\TWlyaWFt\command.exe hockt will nicht weg ich lasse grad nochma a-squared durchlaufen und poste das mal was es sagt |
05.10.2006, 15:36 | #10 |
/// TB-Ausbilder | HiJackThis Log-File Hi, lasse bitte alle Dateien, die als virenfrei befunden wurden, (CNAB4RPK.EXE , ups.exe),nochmal durchlaufen und poste dann das gesamte Ergebnis. Um festzustellen ob es sich um einen Virus oder eine normale Datei handelt braucht man nämlich die Größe der Dateien. Diese wird am Schluss angezeigt. lg myrtille |
05.10.2006, 16:40 | #11 |
| HiJackThis Log-File bei C:\WINDOWS\TWlyaWFt\command.exe: Complete scanning result of "command.exe", received in VirusTotal at 10.05.2006, 17:28:01 (CET). Antivirus Version Update Result AntiVir 7.2.0.22 10.05.2006 TR/Spy.Banbra.df.199 Authentium 4.93.8 10.05.2006 W32/Agent.WF Avast 4.7.892.0 10.05.2006 Win32:Adware-gen. AVG 386 10.04.2006 Adware Generic.GVT BitDefender 7.2 10.05.2006 Adware.CommAd.A CAT-QuickHeal 8.00 10.05.2006 AdWare.CommAd.a (Not a Virus) ClamAV devel-20060426 10.05.2006 Trojan.Downloader.VB-104 eTrust-InoculateIT 23.73.14 10.05.2006 no virus found eTrust-Vet 30.3.3115 10.05.2006 no virus found DrWeb 4.33 10.05.2006 Trojan.Proxy.493 Ewido 4.0 10.05.2006 Adware.CommAd Fortinet 2.82.0.0 10.05.2006 W32/Agent.WF!tr F-Prot 3.16f 10.04.2006 security risk named W32/Agent.WF F-Prot4 4.2.1.29 10.04.2006 W32/Agent.WF Ikarus 0.2.65.0 10.05.2006 AdWare.CommAd.A Kaspersky 4.0.2.24 10.05.2006 Trojan-Clicker.Win32.VB.fo McAfee 4866 10.04.2006 potentially unwanted program Adware-Isearch Microsoft 1.1603 10.05.2006 CMDService (threat-c) NOD32v2 1.1791 10.05.2006 Win32/Adware.CommAd Norman 5.80.02 10.05.2006 W32/CommAd.A Panda 9.0.0.4 10.04.2006 Adware/CommAd Sophos 4.10.0 10.05.2006 no virus found Symantec 8.0 10.04.2006 no virus found TheHacker 6.0.1.092 10.05.2006 Adware/CommAd.a UNA 1.83 10.05.2006 Adware.CommAd.CAA7 VBA32 3.11.1 10.05.2006 AdWare.Win32.CommAd.a VirusBuster 4.3.7:9 10.05.2006 Adware.CommAd.C Aditional Information File size: 293888 bytes MD5: 3e2c234dde711c6754f2df994fb3cc94 SHA1: 14ed43e58d0fea3404886824d011814a241caaac -------------------------------------------------------------------------------------- Bei C:\WINDOWS\system32\CNAB4RPK.EXE Complete scanning result of "CNAB4RPK.EXE", received in VirusTotal at 10.05.2006, 17:44:06 (CET). Antivirus Version Update Result AntiVir 7.2.0.22 10.05.2006 no virus found Authentium 4.93.8 10.05.2006 no virus found Avast 4.7.892.0 10.05.2006 no virus found AVG 386 10.04.2006 no virus found BitDefender 7.2 10.05.2006 no virus found CAT-QuickHeal 8.00 10.05.2006 no virus found ClamAV devel-20060426 10.05.2006 no virus found DrWeb 4.33 10.05.2006 no virus found eTrust-InoculateIT 23.73.14 10.05.2006 no virus found eTrust-Vet 30.3.3115 10.05.2006 no virus found Ewido 4.0 10.05.2006 no virus found Fortinet 2.82.0.0 10.05.2006 no virus found F-Prot 3.16f 10.04.2006 no virus found F-Prot4 4.2.1.29 10.04.2006 no virus found Ikarus 0.2.65.0 10.05.2006 no virus found Kaspersky 4.0.2.24 10.05.2006 no virus found McAfee 4866 10.04.2006 no virus found Microsoft 1.1603 10.05.2006 no virus found NOD32v2 1.1791 10.05.2006 no virus found Norman 5.80.02 10.05.2006 no virus found Panda 9.0.0.4 10.04.2006 no virus found Sophos 4.10.0 10.05.2006 no virus found Symantec 8.0 10.04.2006 no virus found TheHacker 6.0.1.092 10.05.2006 no virus found UNA 1.83 10.05.2006 no virus found VBA32 3.11.1 10.05.2006 no virus found VirusBuster 4.3.7:9 10.05.2006 no virus found Aditional Information File size: 57344 bytes MD5: b0c2c7180063782c5dd6f84b9c1b359a SHA1: b9dfe432f507e934e7286d40352bf6c98ba5d8c7 ------------------------------------------------------------------------------ C:\WINDOWS\System32\ups.exe Complete scanning result of "ups.exe", received in VirusTotal at 10.05.2006, 17:48:15 (CET). Antivirus Version Update Result AntiVir 7.2.0.22 10.05.2006 no virus found Authentium 4.93.8 10.05.2006 no virus found Avast 4.7.892.0 10.05.2006 no virus found AVG 386 10.04.2006 no virus found BitDefender 7.2 10.05.2006 no virus found CAT-QuickHeal 8.00 10.05.2006 no virus found ClamAV devel-20060426 10.05.2006 no virus found DrWeb 4.33 10.05.2006 no virus found eTrust-InoculateIT 23.73.14 10.05.2006 no virus found eTrust-Vet 30.3.3115 10.05.2006 no virus found Ewido 4.0 10.05.2006 no virus found Fortinet 2.82.0.0 10.05.2006 no virus found F-Prot 3.16f 10.04.2006 no virus found F-Prot4 4.2.1.29 10.04.2006 no virus found Ikarus 0.2.65.0 10.05.2006 no virus found Kaspersky 4.0.2.24 10.05.2006 no virus found McAfee 4866 10.04.2006 no virus found Microsoft 1.1603 10.05.2006 no virus found NOD32v2 1.1791 10.05.2006 no virus found Norman 5.90.23 10.05.2006 no virus found Panda 9.0.0.4 10.04.2006 no virus found Sophos 4.10.0 10.05.2006 no virus found Symantec 8.0 10.04.2006 no virus found TheHacker 6.0.1.092 10.05.2006 no virus found UNA 1.83 10.05.2006 no virus found VBA32 3.11.1 10.05.2006 no virus found VirusBuster 4.3.7:9 10.05.2006 no virus found Aditional Information File size: 18432 bytes MD5: a99f867e76cfdaa28ee305b93f70e84f SHA1: 84d783c1608850f01da61bb375b381b43c81f261 Geändert von calypsoo (05.10.2006 um 16:51 Uhr) |
06.10.2006, 20:56 | #12 |
| HiJackThis Log-File hi könnte sich bitte einer nochmal mal hijack log anschauen und sagen ob es nun ein bissl besser ausschaut?? Logfile of HijackThis v1.99.1 Scan saved at 21:54:46, on 06.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\DrWeb\SpiderNT.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\ups.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\CNAB4RPK.EXE C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Programme\DrWeb\spiderml.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\a-squared Anti-Malware\a2HiJackFree.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w.medion.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w.medion.com/ R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ylz4e62f] RUNDLL32.EXE w1298ac6.dll,n 0054e62a0000000a1298ac6 O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O4 - HKLM\..\Run: [DrWebScheduler] C:\Programme\DrWeb\DRWEBSCD.EXE O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [SpIDerMail] "C:\Programme\DrWeb\spiderml.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {79629ABC-1DDD-490E-8AA3-28B1739FC9BC} - h**p://w.medionshop.de/ (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O14 - IERESET.INF: START_PAGE_URL=h**p://w.medion.com/ O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143192665890 O20 - Winlogon Notify: Applets - C:\WINDOWS\system32\CYAB4SMK.DLL (file missing) O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\ciseqchk.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: Microsoft SSL (ssl) - Unknown owner - C:\WINDOWS\System32\ssl.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) THX cali |
06.10.2006, 21:04 | #13 |
/// Helfer-Team | HiJackThis Log-File Erkläre doch mal, warum Du zwei Thread hast http://www.trojaner-board.de/showthread.php?t=32688
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
Themen zu HiJackThis Log-File |
.dll, adobe, antivir, avg, avgnt, avgnt.exe, avira, brauche hilfe, computer, ctfmon.exe, defender, explorer, helfen, hijack, hijackthis, icqtoolbar, immer wieder, instant messanger, internet, internet explorer, langsam, log-file, monitor, nvidia, opera, programme, quara, rar-datei, rundll, scan, server, software, system, urlsearchhook, windows |