| |
| |||||||
Log-Analyse und Auswertung: EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.11.2006, 17:25
| #1 |
 |  EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! hallo, ich habe gestern mein system neu aufgesetzt, bzw. durch meine xp-cd in lieferzustand zurückgesetzt, auch sp2 installiert, ein teil meiner programme neu installiert und finde durch das programm "a-squared HiJackFree 2.0" in meinen prozessen und ports diverse angaben mit bösartige würmer und/oder trojaner. hatte aber doch system neu aufgesetzt und zu dem zeitpunkt noch nichmal meinen online-zugang neu installiert! da es angaben in prozessen sind, und die würmer sich wohl umbenennen, und so von AV nich gefunden werden?!, weiß ich nich wie ich vorgehen und die entfernen soll.  ich poste mal zb. den screenshot: winlogon.exe mit bösartiger angabe:  außerdem mein hijackthis: ------------------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 17:23:22, on 26.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Spybot\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ht*p://w*w.cidres-security.de/benutzerkonto.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\AntiDialer\a-squared Anti-Dialer\a2adguard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{34B92D11-4512-44E3-AE77-C4D93AC39843}: NameServer = 195.50.140.252 195.50.140.114 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: e-DiagTools LAN Configuration Agent (edtlancfg) - Hewlett-Packard - C:\Programme\HP\e-DiagTools\edtsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE ------------------------------------------------------------------------------- die vielen explorer-angaben in R1 sind bestimmt auch nich normal?! da ich sowieso mit firefox surfe, benutze auch kein messenger... ansonsten bitte ich die fachleute mir ratschläge zu geben. danke schonmal!!!! |
| Themen zu EMail.Worm.Win32.Sober.Z und haufen andere... BITTE HILFE! |
| antivir, avg, avira, bho, diverse, entfernen, excel, explorer, firefox, hijackthis, home, hotkey, internet, internet explorer, logon.exe, messenger, microsoft, mozilla, mozilla firefox, neu, neu aufgesetzt, programme, prozesse, software, system, system neu, windows, windows xp |
Baum-Darstellung