![]() |
|
Log-Analyse und Auswertung: Kämpfe seit Tagen ... hier mein LOGWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
![]() | ![]() Kämpfe seit Tagen ... hier mein LOG Hallo, zunächst möchte ich mich kurz vorstellen. Mein Name ist Thomas und ich lese schon seit längerem desöfteren mit. Nun habe ich mich angemeldet, weil ich seit Tagen auf meinem Rechner mit gar nicht so netten, kleinen Plagegeistern kämpfe. Laufend kamen rechts unten auf dem Bildschirm angebliche Windows Sicherheitswarnungen, die mir in englischer Sprache dazu rieten, Spyware zu kaufen. Das passende Fenster dazu ging im Internet Explorer regelmässig von alleine auf. Außerdem änderte sich von alleine mein Destop Bild. Es wurde blau und in der Mitte stand eine angebliche Sicherheitswarnung bezüglich Spyware, ect. Meine IP stand auch dabei. Ich habe mein System dann ziemlich durchkämmt und einige Plagegeister gefunden und versucht zu entfernen. Danach war mehrere Tage Ruhe. Gestern Abend habe ich dann weitere Dateien im "windows32" Ordner gelöscht, die als Plagegeister auf entsprechenden Seiten und Foren genannt werden. Die Datei users32.exe habe ich bereits vor mehreren Tagen entfernt und sie ist auch seitdem nicht mehr aufgetaucht. Gestern habe ich dann folgende Dateien entfernt: a.exe , bridge.dll , jao.dll , runsrv32.exe . tcpservice2.exe , wstart.dll Wohl alles nicht so nette Zeitgenossen. Heute morgen kamen nun wieder die Sprechblasen rechts unten und die Internetseite mit der "Softwareempfehlung" zum entfernen der Spyware ging wieder auf (aaarggh). Beim Blick in den "windows32" Ordner viel mir auf, das die Datei "a.exe" wieder da ist. Nach der Systemwiederherstellung auf den Zustand gestern Abend, ist die Datei wieder weg, wird aber mit Sicherheit wieder kommen. Ihr seht, ich habe schon einiges probiert, stehe aber langsam an dem Punkt, wo ich Expertenhilfe gebrauchen könnte. Hier mein Logfile von heute: Logfile of HijackThis v1.99.1 Scan saved at 12:34:07, on 11.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\PROGRAM FILES\HijackThis\HijackThis.exe C:\PROGRAM FILES\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shortnews.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F3 - REG:win.ini: run= O1 - Hosts: 17.250.248.77 idisk0.mac.com idisk1.mac.com idisk2.mac.com idisk3.mac.com idisk4.mac.com idisk5.mac.com idisk6.mac.com idisk7.mac.com idisk8.mac.com idisk9.mac.com idisk10.mac.com idisk11.mac.com idisk12.mac.com idisk13.mac.com idisk14.mac.com idisk15.mac.com idisk16.mac.com idisk17.mac.com idisk18.mac.com idisk19.mac.com idisk20.mac.com idisk21.mac.com idisk22.mac.com idisk23.mac.com idisk24.mac.com idisk25.mac.com O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file) O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file) O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file) O2 - BHO: PopUpBlocker ; XpTuner2004 - {49E0E0F0-5C30-11D4-945D-000000000010} - C:\PROGRA~1\SIMONT~1\XP-TUN~1\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\VIRUS-~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file) O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file) O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file) O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file) O2 - BHO: (no name) - {B53455DB-5527-4041-AC41-F86E6947AA47} - (no file) O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file) O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O17 - HKLM\System\CCS\Services\Tcpip\..\{3E1689D9-C30C-4A4A-8FFA-352BB402E776}: NameServer = 192.168.2.1 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: MsMsgSrv - C:\WINDOWS\SYSTEM32\MsMsgSrv.DLL O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS O23 - Service: Sophos Anti-Virus Update (SweepUpdate) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp WinStyler\WinStylerThemeSvc.exe P.S.: Ich sehe im LOG gerade iPodService.exe. Ich habe keinen iPod, habe auch nie dieses Programm installiert! Ist vermutlich auch so´n Plagegeist ... P.P.S.: Habe QuickTime auf meinem Rechner. Möglicherweise kommt daher die iPosService.exe Geändert von Ruhrtommy (11.10.2006 um 12:16 Uhr) |
Themen zu Kämpfe seit Tagen ... hier mein LOG |
adobe, bho, bildschirm, computer, ellung, excel, explorer, hijack, hijackthis, internet, internet explorer, langsam, log, logfile, mehrere, mein log, microsoft, nvidia, ordner, programme, rundll, seiten, spyware, system, thomas, wieder weg, windows, windows xp, windows32 |