| |
| |||||||
Log-Analyse und Auswertung: könntet ihr hier mal schauen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.12.2006, 03:06
| #1 |
 |  könntet ihr hier mal schauen? hi....könnt ihr hier mal bitte nachschauen?...3 zeilen kommen mir sehr merkwürdig vor (habe gestern nen link vonner freundin bekommen...jedoch hat sie den mir net geschickt-->hat sich reingemogelt inne icq nachricht...und ich habe ihn angeklickt...) die nachricht war: Hi, you've just received a postcard. To view the postcard click this link or copy it to your browser's address bar. h**p://cards.betionkdefunjdewinmsa.com/1/show.xml?id=52d75b901c34f449b038a0b1d0fc86b3 The postcard will be kept for 10 weeks. DEN LINK NICHT EINGEBEN!!! nun meine log: Logfile of HijackThis v1.99.1 Scan saved at 02:46:23, on 26.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Autostart\Maus\MOUSE32A.EXE C:\Autostart\Tastatur\KbdAp32A.exe C:\Autostart\Daemon Tools\daemon.exe C:\Autostart\PTB Sync\PTBSync.exe C:\Autostart\TV Genial\TVgenial.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ipv6rasm.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX90.078\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://klamm.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Schreibprogramme\Acrobat Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Internet\Java\bin\ssv.dll O4 - HKLM\..\Run: [LWBMOUSE] C:\Autostart\Maus\MOUSE32A.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] C:\AUTOST~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Autostart\Tastatur\KbdAp32A.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Autostart\Daemon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PTBSync] C:\Autostart\PTB Sync\PTBSync.exe /Start O4 - HKCU\..\Run: [TVgenial] C:\Autostart\TV Genial\TVgenial.exe -d O20 - AppInit_DLLs: ssdprasa.dll e1.dll O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll wäre geil wenn mir jemand helfen könnte!=) ps: wenn ich die ipv6rasm.exe im task manager beende...startet sie sich automatisch nach 5min. wieder neu...=/ Geändert von herbstie (26.12.2006 um 03:31 Uhr) |
|
26.12.2006, 09:50
| #2 |
| | könntet ihr hier mal schauen? die dateien:
__________________- ipv6rasm.exe - ipv6rasm.dll - ssdprasa.dll - KbdAp32A.exe mit Virustotal oder Jotti prüfen lassen (richtig suchen) und ergebnis präsentieren. ps: *grübel* die log kommt mir so kurz vor.. ^^ ach und ein antivirus programm wäre auch nicht schlecht |
|
26.12.2006, 14:01
| #3 |
| | könntet ihr hier mal schauen? naja....so die extra buttons und den kram habe ich über hijacker schon alles gelöscht gehabt
__________________KbdAp32A.exe is ne exe für meine tastatur...die ist safe! bei ipv6rasm.exe kommt das raus: Antivirus Version Update Result AntiVir 7.3.0.21 12.25.2006 no virus found Authentium 4.93.8 12.22.2006 W32/Warezov.gen4 Avast 4.7.892.0 12.21.2006 no virus found AVG 386 12.25.2006 no virus found BitDefender 7.2 12.26.2006 Worm.Stration.JI CAT-QuickHeal 8.00 12.25.2006 no virus found ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-4 DrWeb 4.33 12.26.2006 Win32.HLLM.Limar eSafe 7.0.14.0 12.26.2006 suspicious Trojan/Worm eTrust-InoculateIT 23.73.98 12.24.2006 Win32/Stration.Variant!Worm eTrust-Vet 30.3.3271 12.23.2006 no virus found Ewido 4.0 12.26.2006 no virus found Fortinet 2.82.0.0 12.25.2006 suspicious F-Prot 3.16f 12.22.2006 W32/Warezov.gen4 F-Prot4 4.2.1.29 12.22.2006 W32/KillAV.gen1 Ikarus T3.1.0.27 12.26.2006 no virus found Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji McAfee 4925 12.22.2006 no virus found Microsoft 1.1904 12.26.2006 no virus found NOD32v2 1939 12.26.2006 no virus found Norman 5.80.02 12.26.2006 no virus found Panda 9.0.0.4 12.25.2006 no virus found Prevx1 V2 12.26.2006 Spyware.SpyFalcon Sophos 4.12.0 12.26.2006 Troj/StraDr-Gen Sunbelt 2.2.907.0 12.18.2006 no virus found TheHacker 6.0.3.136 12.24.2006 no virus found UNA 1.83 12.25.2006 no virus found VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1 VirusBuster 4.3.19:9 12.25.2006 no virus found Aditional Information File size: 99328 bytes MD5: a771efe56d2e4af98f832fc7cdfffba9 SHA1: 4874636224cd59506b86adafa6f2e3137be269a0 packers: UPX packers: UPX packers: UPX packers: UPX, embedded Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=258a65627318 bei ipv6rasm.dll kommt das: Antivirus Version Update Result AntiVir 7.3.0.21 12.25.2006 WORM/Stration.Gen Authentium 4.93.8 12.22.2006 W32/Warezov.gen4 Avast 4.7.892.0 12.21.2006 no virus found AVG 386 12.25.2006 no virus found BitDefender 7.2 12.26.2006 DeepScan:Generic.Stration.B99581F6 CAT-QuickHeal 8.00 12.25.2006 no virus found ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-5 DrWeb 4.33 12.26.2006 Win32.HLLM.Limar eSafe 7.0.14.0 12.26.2006 Win32.Warezov.ev eTrust-InoculateIT 23.73.98 12.24.2006 no virus found eTrust-Vet 30.3.3271 12.23.2006 no virus found Ewido 4.0 12.26.2006 no virus found Fortinet 2.82.0.0 12.25.2006 no virus found F-Prot 3.16f 12.22.2006 W32/Warezov.gen4 F-Prot4 4.2.1.29 12.22.2006 W32/Warezov.gen4 Ikarus T3.1.0.27 12.26.2006 Email-Worm.Win32.Warezov.gen Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji McAfee 4925 12.22.2006 W32/Stration.gen@MM Microsoft 1.1904 12.26.2006 no virus found NOD32v2 1939 12.26.2006 no virus found Norman 5.80.02 12.26.2006 no virus found Panda 9.0.0.4 12.25.2006 no virus found Prevx1 V2 12.26.2006 no virus found Sophos 4.12.0 12.26.2006 W32/Strati-Gen Sunbelt 2.2.907.0 12.18.2006 no virus found TheHacker 6.0.3.136 12.24.2006 no virus found UNA 1.83 12.25.2006 I-Worm.Warezov VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1 VirusBuster 4.3.19:9 12.25.2006 no virus found Aditional Information File size: 122880 bytes MD5: e3f73cd84f7c6a26701bf5812c436b77 SHA1: 5130c42f2999add8ef0cf0c205b8efe7d7798540 bei ssdprasa.dll kommt das raus: Antivirus Version Update Result AntiVir 7.3.0.21 12.25.2006 WORM/Stration.Gen Authentium 4.93.8 12.22.2006 W32/KillAV.gen1 Avast 4.7.892.0 12.21.2006 no virus found AVG 386 12.26.2006 no virus found BitDefender 7.2 12.26.2006 no virus found CAT-QuickHeal 8.00 12.25.2006 no virus found ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-2 DrWeb 4.33 12.26.2006 Win32.HLLM.Limar eSafe 7.0.14.0 12.26.2006 no virus found eTrust-InoculateIT 23.73.98 12.24.2006 no virus found eTrust-Vet 30.3.3271 12.23.2006 no virus found Ewido 4.0 12.26.2006 no virus found Fortinet 2.82.0.0 12.25.2006 no virus found F-Prot 3.16f 12.22.2006 W32/KillAV.gen1 F-Prot4 4.2.1.29 12.22.2006 W32/KillAV.gen1 Ikarus T3.1.0.27 12.26.2006 no virus found Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji McAfee 4925 12.22.2006 no virus found Microsoft 1.1904 12.26.2006 no virus found NOD32v2 1939 12.26.2006 no virus found Norman 5.80.02 12.26.2006 no virus found Panda 9.0.0.4 12.25.2006 no virus found Prevx1 V2 12.26.2006 no virus found Sophos 4.12.0 12.26.2006 W32/Strati-Gen Sunbelt 2.2.907.0 12.18.2006 no virus found TheHacker 6.0.3.136 12.24.2006 no virus found UNA 1.83 12.25.2006 I-Worm.Warezov VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1 VirusBuster 4.3.19:9 12.25.2006 Trojan.Opnis.Gen.29 Aditional Information File size: 28672 bytes MD5: dbb529c51db8141eba0708ab01a16231 SHA1: 0a16bd07ac3665bccff23bd54a0569f125e805f7 joo....das wars |
|
26.12.2006, 14:43
| #4 |
| | könntet ihr hier mal schauen? die drei dateien generell erstmal löschen  nimm danach am besten Kaspersky da er die drei als viren erkannt hat.. schalte aber vorher sicherheits halber dies aus. Und gehe nochmal mit Spybot drüber, danach kannst du die systemwiederherstellung einschalten MfG T2  |
|
26.12.2006, 15:27
| #5 |
| | könntet ihr hier mal schauen? die exe lies sich einfach löschen...die dll's nicht! und die exe erstellt sich wieder selbst nach gewisser zeit Geändert von herbstie (26.12.2006 um 15:51 Uhr) |
|
27.12.2006, 00:17
| #7 |
| | könntet ihr hier mal schauen? Logfile of HijackThis v1.99.1 Scan saved at 23:51:33, on 26.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Autostart\Maus\MOUSE32A.EXE C:\Autostart\Tastatur\KbdAp32A.exe C:\AUTOST~1\ICQ\ICQ.exe C:\Autostart\Daemon Tools\daemon.exe C:\Autostart\PTB Sync\PTBSync.exe C:\Autostart\TV Genial\TVgenial.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.110\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://klamm.de/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Schreibprogramme\Acrobat Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Internet\Java\bin\ssv.dll O4 - HKLM\..\Run: [LWBMOUSE] C:\Autostart\Maus\MOUSE32A.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] C:\AUTOST~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Autostart\Tastatur\KbdAp32A.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Autostart\Daemon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [PTBSync] C:\Autostart\PTB Sync\PTBSync.exe /Start O4 - HKCU\..\Run: [TVgenial] C:\Autostart\TV Genial\TVgenial.exe -d O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - AppInit_DLLs: ssdprasa.dll e1.dll O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll (file missing) so das kam jetzt bei hijack dazu sind noch 2 dinge zu sagen: zwischendurch hatte ich noch msn messenger installiert...(wegen O18)...aber habe mit virustotal geshcaut ob die msngrapp.dll clean ist...-->kein virus....dann kann ich die zeile doch löschen oder? ich habe nen neuen ordner auf c: !KillBox er beinhaltet folgende dateien (habe die 3 virenbefaklllenen mit killbox gelöscht und nach nem reboot waren sie weg aus system32) Logs-->kb.log ipv6rasm.dll ipv6rasm.dll( 1) ipv6rasm.dll( 2) ipv6rasm.dll( 3) ipv6rasm.dll( 4) ipv6rasm.exe ssdprasa.dll (glaube diedll's 1-4 kamen davon dass ich diese datei mehrmals ohne reboot gelöscht habe, jedoch dnan immer kam dass die datei nicht gelöscht werden kann) desweriteren habe ich nach dem scannen von kaspersky viele neue dateien auf c...zb: pagefile.sys mit ner größe von 1,12gb kann ich die alle löschen?...oder wie gehen die weider weg? danke erstmal für deine hilfe |
|
27.12.2006, 11:45
| #8 |
| | könntet ihr hier mal schauen? die pagefile.sys ist deine auslagerungsdatei.. die würde ich an deiner stelle nicht löschen ..  dass die dateien im killbox ordner sind ist einfach plausiebel .. naja eigendlich löscht du diese nicht sie werden nur verschoben um sie dann manuell aus deinem killbox ordner zu löschen. Ach ich hoffe das war es zumindestens jetzt .. *puhh update: du kannst aber bei google mal nachschauen warum diese so groß ist zb: Pagefile.sys zu gross - administrator es kann sein das du die auslagerungs datei falsch konfiguriert hast oder kaspersky hat mal wieder böses verbrochen  |
|
27.12.2006, 12:44
| #9 |
| | könntet ihr hier mal schauen? ja ...schon mitbekommen dass das meine ganzen geschützten systemdateien waren^^...sorry... aber wie meintest du das jetzt mit dem killbox ordner? und wie ist das mit den hijack einträgen...kann ich die dann löschen? |
|
27.12.2006, 12:51
| #10 |
| | könntet ihr hier mal schauen? du hast ja killbox benutzt so wird normalerweise auf der boot platte als C: ein ordner namens !KillBox erstellt dort finden sich die log und die dateien die du zuvor "gelöscht" hast diese kannst du erst jetzt entgültig löschen im ordner von killbox.. so war es zumindestens bei mir  |
|
27.12.2006, 13:07
| #11 |
| | könntet ihr hier mal schauen? also einfach auf delete gehen=) was is mit den einträgen bei hijack...?...löschen?? |
|
27.12.2006, 13:34
| #12 |
| | könntet ihr hier mal schauen? die logs von HijackThis also die txt dateien kannste löschen nichts besonderes .. |
|
27.12.2006, 15:27
| #13 |
| | könntet ihr hier mal schauen? nee...ich meinte die einträge....wenn ich nen neuen scan mache... |
|
27.12.2006, 15:59
| #14 |
| | könntet ihr hier mal schauen? achso .. kannst du machen dann fixed du aber deinen rechner in die mülltonne nein die müssen sogar bleiben sonst würden andere anwendungen nicht starten. Nicht alles was angezeit wird ist böse.. |
|
27.12.2006, 20:12
| #15 |
| | könntet ihr hier mal schauen? wie meinst dann das mit inne mülltonne....-->system wird total destroyed...oder funktioniern dnan eben nur einige anwendungen net mehr....und diese muss ich dann eben nochmal neu installn?! aha...okay...dann bedanke ich mich=) |
|
| Themen zu könntet ihr hier mal schauen? |
| acrobat, adobe, appinit_dlls, autostart, bho, browser, explorer, helfen, helper, hijack, hijackthis, icq, internet, internet explorer, link, log, maus, microsoft, pdf, programme, sich automatisch, software, system, system32, tastatur, temp, windows, windows xp |
Linear-Darstellung
