|
Log-Analyse und Auswertung: Virus Bursters + Andere[!?]Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.11.2006, 15:40 | #1 |
| Virus Bursters + Andere[!?] Moin, ich wollte mir gerade ein Plugin für Mozilla saugen (WMP) und hab mir dabei diesen Trojaner eingefangen...oder mehrere.Dieses Ding hat sich in der Toolbar Leiste und im Startmenü und sonst wo eingenistet.Ich bin kein PC Crack aber hab schon geschaut ob ich andere Forumeinträge verwerten kann...hat aber alles ncihts genutzt. Hier meine HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:25:17, on 05.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iVideoCodec\isamonitor.exe C:\Programme\iVideoCodec\isamini.exe C:\Programme\iVideoCodec\pmsngr.exe C:\Programme\iVideoCodec\pmmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\chris\LOKALE~1\Temp\Rar$EX00.031\avenger.exe C:\DOKUME~1\chris\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - C:\Programme\iVideoCodec\isaddon.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\iVideoCodec\iesplugin.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Blue Software Play First] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ReadmeFileBlueSoftware\Rdrflag.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [areslite] "E:\Programme\ares\Ares Lite Edition\AresLite.exe" -h O4 - HKCU\..\Run: [About option] C:\DOKUME~1\chris\ANWEND~1\REALBR~1\webwinplay.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe Ich bitte um Hilfe, bin schon ganz verzweifelt...Danke |
05.11.2006, 15:54 | #2 |
| Virus Bursters + Andere[!?] mOIn auch
__________________du hast dir, wie es aussieht, zwei unterschiedliche Sachen an den Hals gehängt. Mache als erstes mal alle Dateien sichtbar : Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht --> häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden - häkchen raus bei - Geschützte Systemdateien ausblenden - anhaken - Inhalte von Systemordnern anzeigen - bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen - --> Übernehmen Dann lasse folgende Dateien : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ReadmeFileBlueSoftware\Rdrflag.exe und C:\DOKUME~1\chris\ANWEND~1\REALBR~1\webwinplay.exe (sehen aus wie Swizzor) hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
05.11.2006, 16:12 | #3 |
| Virus Bursters + Andere[!?] Complete scanning result of "Rdrflag.exe", received in VirusTotal at 11.05.2006, 16:11:12 (CET).
__________________Antivirus Version Update Result AntiVir 7.2.0.37 11.03.2006 HEUR/Crypted Authentium 4.93.8 11.05.2006 no virus found Avast 4.7.892.0 11.03.2006 Win32:Swizzor-gen AVG 386 11.04.2006 Lop.H BitDefender 7.2 11.05.2006 GenPack:Trojan.Swizzor.IA CAT-QuickHeal 8.00 11.04.2006 (Suspicious) - DNAScan ClamAV devel-20060426 11.05.2006 no virus found DrWeb 4.33 11.05.2006 Trojan.Swizzor eTrust-InoculateIT 23.73.45 11.03.2006 no virus found eTrust-Vet 30.3.3176 11.03.2006 Win32/Swizzor Ewido 4.0 11.05.2006 no virus found Fortinet 2.82.0.0 11.05.2006 suspicious F-Prot 3.16f 11.04.2006 no virus found F-Prot4 4.2.1.29 11.04.2006 no virus found Ikarus 0.2.65.0 11.03.2006 no virus found Kaspersky 4.0.2.24 11.05.2006 not-a-virus:AdWare.Win32.Lop.bb McAfee 4888 11.03.2006 Swizzor.gen Microsoft 1.1609 11.04.2006 C2.Lop NOD32v2 1.1853 11.03.2006 a variant of Win32/TrojanDownloader.Swizzor Norman 5.80.02 11.03.2006 Swizzor.JG Panda 9.0.0.4 11.04.2006 Adware/Lop Sophos 4.10.0 10.26.2006 Troj/Swizz-Fam TheHacker 6.0.1.112 11.03.2006 Trojan/Downloader.Swizzor UNA 1.83 11.03.2006 no virus found VBA32 3.11.1 11.04.2006 AdWare.Win32.Lop.ag VirusBuster 4.3.15:9 11.05.2006 no virus found Aditional Information File size: 368582 bytes MD5: c3c8802821821db418c2e871615fc01f SHA1: dd50dc76d923b0c558b73bb51469d4db0452a0b6 packers: UPC packers: UPC ------------------------------------------------------------------------------------------------------------------ Complete scanning result of "webwinplay.exe", received in VirusTotal at 11.05.2006, 16:30:55 (CET). Antivirus Version Update Result AntiVir 7.2.0.37 11.03.2006 HEUR/Crypted Authentium 4.93.8 11.05.2006 no virus found Avast 4.7.892.0 11.03.2006 Win32:Swizzor-gen AVG 386 11.04.2006 Lop.J BitDefender 7.2 11.05.2006 GenPack:Trojan.Swizzor.HS CAT-QuickHeal 8.00 11.04.2006 (Suspicious) - DNAScan ClamAV devel-20060426 11.05.2006 no virus found DrWeb 4.33 11.05.2006 Trojan.Swizzor eTrust-InoculateIT 23.73.45 11.03.2006 no virus found eTrust-Vet 30.3.3176 11.03.2006 Win32/Swizzor Ewido 4.0 11.05.2006 no virus found Fortinet 2.82.0.0 11.05.2006 suspicious F-Prot 3.16f 11.04.2006 no virus found F-Prot4 4.2.1.29 11.04.2006 no virus found Ikarus 0.2.65.0 11.03.2006 no virus found Kaspersky 4.0.2.24 11.05.2006 not-a-virus:AdWare.Win32.Lop.bc McAfee 4888 11.03.2006 Swizzor.gen Microsoft 1.1609 11.04.2006 C2.Lop NOD32v2 1.1853 11.03.2006 a variant of Win32/TrojanDownloader.Swizzor Norman 5.80.02 11.03.2006 Swizzor.JH Panda 9.0.0.4 11.04.2006 Adware/Lop Sophos 4.10.0 10.26.2006 Troj/Swizz-Fam TheHacker 6.0.1.112 11.03.2006 Trojan/Downloader.Swizzor UNA 1.83 11.03.2006 no virus found VBA32 3.11.1 11.05.2006 Trojan.Win32.Agent.uq VirusBuster 4.3.15:9 11.05.2006 no virus found Aditional Information File size: 201314 bytes MD5: 77198bd8bb6ea7e847b4e6db308bb5f4 SHA1: 9acfa80b40d4f636cfaf37c23f290ee702e233bc packers: UPC packers: UPC Geändert von elektronegativ (05.11.2006 um 16:34 Uhr) |
05.11.2006, 17:07 | #4 |
| Virus Bursters + Andere[!?] Also ich bin so langsam am verzweifeln... habs jetzt schon mit regsearch und avatar versucht und bin zu keinem ergebniss gekommen. Falls es hilft hier die Regsearch Ergebnisse zu "ivideocodec" und "virusbursters": REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 05.11.2006 16:54:12 for strings: ; 'ivideocodec' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}\InprocServer32] @="C:\\Programme\\iVideoCodec\\iesplugin.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}\InprocServer32] @="C:\\Programme\\iVideoCodec\\isaddon.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run] "isamonitor.exe"="C:\\Programme\\iVideoCodec\\isamonitor.exe" "pmsngr.exe"="C:\\Programme\\iVideoCodec\\pmsngr.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006] "UninstallString"="\"C:\\Programme\\iVideoCodec\\iesuninst.exe\"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec] "DisplayName"="iVideoCodec 3.0" "UninstallString"="C:\\Programme\\iVideoCodec\\uninst.exe" "DisplayIcon"="C:\\Programme\\iVideoCodec\\uninst.exe" "URLInfoAbout"="www.ivideocodec.com" "Publisher"="iVideoCodec Software" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03] "UninstallString"="\"C:\\Programme\\iVideoCodec\\pmuninst.exe\"" [HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Internet Security] "Path"="C:\\Programme\\iVideoCodec" [HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Dokumente und Einstellungen\\chris\\Desktop\\ivideocodec.689(2).exe"="ivideocodec.689(2)" "C:\\Programme\\iVideoCodec\\pmsngr.exe"="pmsngr" "C:\\Programme\\iVideoCodec\\isamonitor.exe"="isamonitor" ; End Of The Log... ---------------------------------------------------------------------- REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 05.11.2006 16:55:16 for strings: ; 'virusbursters' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\0\win32] @="C:\\Programme\\VirusBursters\\virusbursters.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\HELPDIR] @="C:\\Programme\\VirusBursters\\" [HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusBursters] [HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Programme\\VirusBursters\\virusbursters.exe"="Anti- spyware and adware" "C:\\Programme\\VirusBursters\\uninst.exe"="VirusBurster Install" ; End Of The Log... |
05.11.2006, 17:14 | #5 | ||
Administrator > Competence Manager | Virus Bursters + Andere[!?] Hallo, 1.) arbeite folgende Anleitung ab -> Entfernung Swizzor.A Die für dich geltenden Einträge im Hijacklog sind folgende: Zitat:
(Start->Systemsteuerung->Software) 3.) Lade dir dieses Tool -> SmitfraudFix Starte das Programm, wähle Option "2" und lass es laufen, poste im Anschluss den Inhalt der Report.txt. 4.) Lade dir dir Killbox, klicke die Option "delete on reboot", suche danach nacheinander foolgende Dateien/Verzeichnisse: Zitat:
Lösche nach dem Neustart den Ordner C:\Killbox! 5.) Poste ein neues Hijacklog... Gruß Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
Themen zu Virus Bursters + Andere[!?] |
adobe, antivir, avira, bho, bitte um hilfe, dll, einstellungen, explorer, hijack, hijackthis, hijackthis logfile, icqtoolbar, internet, internet explorer, logfile, mozilla, pdf, programme, rundll, software, system, temp, trojaner, träge, urlsearchhook, virus, windows, windows xp |