Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: "Virus Buster" war der Anfang...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.12.2006, 19:07   #1
Highko
 
"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Hallo,
(erstes Posting wohl zu prosaisch, hier noch mal neu)

Zunächst hatte ich mit dem blinkenden Dreieck und der "Security Warning" (Virus Buster) zu tun, hier konnte ich dank dieses und anderer Foren - und smitfraudfix - Abhilfe schaffen. Dann habe ich die NAV2007 Trial (angeblich in den ersten 2 Wochen voll funktionsfähig) geladen und installiert, einen Fullscan gemacht, einige Trojaner gefunden, isoliert und entfernt... mittlerweile ist die Trial abgelaufen und ich gehe auch schon seit diesem Unfall nicht mehr mit diesem Rechner online. Aber Clean ist er noch lange nicht...

Lange Rede, kurzer Sinn, hier das HijackThis-Logs:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:03, on 21.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\System32\ismini.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
D:\Programme\WinTV\Ir.exe
D:\Programme\CASIO\Photo Loader\Plauto.exe
D:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\WINDOWS\System32\ishost.exe
D:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Safety Bar - {fbea0445-4c4a-4136-864a-c72a4a182a84} - D:\Programme\Safety Bar\SafetyBar.dll (file missing)
O3 - Toolbar: Safety Bar - {18668683-731c-48fa-b1b9-ad013748fb00} - D:\Programme\Safety Bar\SafetyBar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "D:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\System32\sxuqcsqd.dll",setvm
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] D:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoStart IR.lnk = D:\Programme\WinTV\Ir.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Photo Loader resident.lnk = D:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = D:\Programme\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/099dddd4...dxIE601_de.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - D:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - D:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Aufgrund einiger Umstände möchte ich eine Neuinstallation vermeiden (z.B. Dreamweaver-Sites, deren Zugangsdaten nicht mehr auffindbar sind u.ä.).

Ist da noch etwas zu retten? Was soll ich tun?

Vielen Dank!

Highko

Geändert von Highko (21.12.2006 um 19:50 Uhr)

Alt 21.12.2006, 20:09   #2
Sunny
Administrator
> Competence Manager
 

"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Hallo.

Als Unfall kann man eigentlich nur die Absicherung deines Systems benennen:

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Wo ist der Internet Explorer, er ist Bestandteil deines Betriebssystems, warum hast du ihn entfernt/entfernen lassen?

Eindeutiger Fall für folgenden Link -> Kompromittierung durch fehlende Sicherheitsupdates

Sorry,
Sunny
__________________

__________________

Alt 21.12.2006, 20:31   #3
Highko
 
"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Meinen IE habe ich nicht deinstalliert, er funzt bei Bedarf auch noch, aber ich verwende eigentlich nur noch Firefox...

Ganz kurz - warum siehst Du keine andere Möglichkeit, als neu aufzusetzen? Wie ich schon angedeutet habe, ist das genau DAS, was ich eigentlich irgendwie vermeiden will.

Danke soweit,

Highko
__________________

Alt 21.12.2006, 20:56   #4
Sunny
Administrator
> Competence Manager
 

"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Zitat:
Zitat von Highko Beitrag anzeigen
ist das genau DAS, was ich eigentlich irgendwie vermeiden will.
Was nützt mir (und dir!) wenn wir das System jetzt bereinigen, und in 10 Minuten hast du wieder neue Probleme da riesige Sicherheitslücken in deinem System klaffen?! Ohne ordentliche Absicherung, d.h. ohne Service Pack2 sowie alle nachfolgenden Updates, werde ich und niemand anderes hier im Forum Hilfe bei der Bereinigung geben.

Das wäre für uns verschenkte Zeit und Mühe, mehr dazu hier -> Kompromittierung durch fehlendes SP2

Sorry
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.12.2006, 21:08   #5
Highko
 
"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Zitat:
Zitat von [Gc]Sunny Beitrag anzeigen
Was nützt mir (und dir!) wenn wir das System jetzt bereinigen, und in 10 Minuten hast du wieder neue Probleme da riesige Sicherheitslücken in deinem System klaffen?! Ohne ordentliche Absicherung, d.h. ohne Service Pack2 sowie alle nachfolgenden Updates, werde ich und niemand anderes hier im Forum Hilfe bei der Bereinigung geben.
Wie schon beschrieben, habe ich diesen Rechner offline genommen, die "Viren" können also nicht nach Hause telefonieren. Da wäre es doch denkbar, das System zu bereinigen und danach SP2, eine anständige AV SW etc. aufzuspielen, bevor er wieder an das Netz darf - und schon hätte ich das Neuaufsetzen umgangen, oder?

Ich will nicht nerven - nur verstehen...

Danke,

Highko


Alt 21.12.2006, 22:11   #6
felix1
/// Helfer-Team
 
"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Vergesse den Plan.
Tue, was Sunny Dir geraten hat.
__________________
--> "Virus Buster" war der Anfang...

Alt 21.12.2006, 22:36   #7
Highko
 
"Virus Buster" war der Anfang... - Standard

"Virus Buster" war der Anfang...



Nope, ich kann die Kiste nicht neu aufsetzen, wie beschrieben. Ich muss es anders versuchen. Ich weiß, das wird mühsam, aber ich weiß auch, dass es klappt - irgendwann... muss mir wohl ein anderes (ein "Gedulds-") Board suchen.

Tschüss

Highko

Antwort

Themen zu "Virus Buster" war der Anfang...
adobe, antivirus, computer, dll, excel, explorer, hijack, internet, internet explorer, microsoft, monitor, neu, nvidia, programme, rojaner gefunden, rundll, security, security warning, settings manager, software, symantec, system, trojaner, trojaner gefunden, virus, warning, windows, windows xp, wireless lan




Ähnliche Themen: "Virus Buster" war der Anfang...


  1. "Suspicious.Cloud.9" (Trojaner) und "SAPE.DnwldSponsor.2" (Virus?, vielleicht False Positive)
    Plagegeister aller Art und deren Bekämpfung - 22.08.2015 (23)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Sicherheitscenter deaktiviert und Virus "ADWARE/InstallCo.HA" "ADWARE/bProtect.D" "TR/Mevade.A.95" gefunden
    Log-Analyse und Auswertung - 10.09.2013 (10)
  5. Diverse "Buren" "Lamar" sowie ein Exploit Virus entdeckt
    Plagegeister aller Art und deren Bekämpfung - 04.09.2013 (13)
  6. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  7. Diverse Fehlermeldungen bei Start des Systems nach "Entfernen" des "Polizei-Virus"
    Log-Analyse und Auswertung - 27.10.2012 (10)
  8. "Falsche" E-Mail von Freund mit Link ins Netz -> Virus oder nur "Werbung"?
    Log-Analyse und Auswertung - 30.07.2012 (1)
  9. Vermehrtes Virenvrkommen nach "50€-Virus" unteranderem "TR/injetor569344.5"
    Plagegeister aller Art und deren Bekämpfung - 04.02.2012 (1)
  10. "a5uyh54usr5u" verursacht "beinahe" Whitescreen? Virus?
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (6)
  11. Verspätetes "Xmas-geschenk": 50€-Virus mit Text "System wird aus sicherheitsgründen blockiert"
    Log-Analyse und Auswertung - 02.01.2012 (5)
  12. Virus "Suela-1042" in "Pagefile.sys" der Win XP-Partition
    Alles rund um Mac OSX & Linux - 02.12.2010 (2)
  13. Virus oder Wurm " Perflib_Perfdata_1cc " & " Perflib_Perfdata_228 "
    Log-Analyse und Auswertung - 23.08.2010 (23)
  14. Trojaner/Virus lähmt das Internet "extrem". "TR/Cospet.EO.1" !
    Plagegeister aller Art und deren Bekämpfung - 10.06.2010 (11)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  17. Bekomme "http://default.home/" und "ACCESS BLOCKED - VIRUS WARNING" nicht mehr los
    Log-Analyse und Auswertung - 16.01.2005 (5)

Zum Thema "Virus Buster" war der Anfang... - Hallo, (erstes Posting wohl zu prosaisch, hier noch mal neu) Zunächst hatte ich mit dem blinkenden Dreieck und der "Security Warning" (Virus Buster) zu tun, hier konnte ich dank dieses - "Virus Buster" war der Anfang......
Archiv
Du betrachtest: "Virus Buster" war der Anfang... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.