| |
| |||||||
Log-Analyse und Auswertung: EbayfraudWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.02.2007, 08:17
| #1 |
 |  Ebayfraud Moin und DANKE im voraus Mein Avira meldet in den letzten Tagen ständig wieder: TR/Agent.AKT.1 Phish/Ebayfraud.6 TR/Agent.37888.4 Mein AntiVir steckt beim Virusscan die Datei zwar in Quarantäne aber sie kommen immer wieder. Ziehe schon nach Möglichkeit mein Netzwerk ab und habe auch schon eScan, AdAware usw laufen lassen (natürlich auch im Abgesicherten Modus) hat aber nichts gebracht. Gruß Sven Logfile of HijackThis v1.99.1 Scan saved at 08:06:08, on 17.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\tp4serv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Roxio\Roxio DVDMax Player\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\Programme\WMonitor\WLService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NETGEAR\SC101 Manager Utility\ZeteraService.exe C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Steps\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SD Helper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Roxio\Roxio DVDMax Player\PDVDServ.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSNMSGR] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Quicken 2006 Zahlungserinnerung.lnk = C:\Programme\Quicken2006\billmind.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111857248359 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE0BBDDA-8680-4316-A86D-1DAF8C7900FA}: NameServer = 192.168.178.1 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: SiteCOM Wireless Service (SITECOMWL1XXb) - Unknown owner - C:\Programme\WMonitor\WLService.exe O23 - Service: Zetera - Zetera Corporation - C:\Programme\NETGEAR\SC101 Manager Utility\ZeteraService.exe |
|
17.02.2007, 08:51
| #2 |
| |  Ebayfraud Hier noch das Suchergebniss von AntiVir:
__________________C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\51exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba516.qua' verschoben! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\33exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba51d.qua' verschoben! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\66exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba524.qua' verschoben! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\86exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba527.qua' verschoben! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\6exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '464ea566.qua' verschoben! C:\Dokumente und Einstellungen\Steps\Lokale Einstellungen\Temp\88exhdda.3.exe [FUND] Ist das Trojanische Pferd TR/Agent.AKT.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '463ba539.qua' verschoben! |
|
17.02.2007, 21:33
| #3 |
| Administrator > Competence Manager  | Ebayfraud Hallo.
__________________ CleanUp Lade die als erstes das Tool -> CleanUp *konfiguriere das Tool wie in der Anleitung beschrieben *starte nun das Programm und lass dein System bereinigen. Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Gruß  Sunny
__________________ |
|
18.02.2007, 13:21
| #4 |
| | Ebayfraud ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] > ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
18.02.2007, 18:13
| #5 |
| | Ebayfraud ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Sun Feb 18 08:24:36 2007 => Version 9.1.4 (C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com) Sun Feb 18 08:24:03 2007 => Virus Database Date: 2/16/2007 Sun Feb 18 11:31:41 2007 => Virus Database Date: 2/16/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Feb 18 08:25:40 2007 => System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: No Action Taken. Sun Feb 18 08:25:41 2007 => System found infected with direct advertiser Spyware/Adware (ginstall.dll)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sun Feb 18 08:25:40 2007 => Offending file found: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ginstall.dll Sun Feb 18 08:25:41 2007 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
|
18.02.2007, 18:32
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Ebayfraud Sieht eigentlich ganz gut, im Hijackthis-Logfile lässt sich auch nichts pöhses ausmachen. Werte doch mal die Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\ginstall.dll bei Virustotal aus und poste die Ergebnisse. BTW: Man sollte nicht ständig mit Adminrechten arbeiten... 
__________________ --> Ebayfraud |
|
18.02.2007, 20:02
| #7 |
| | Ebayfraud Version Update Result AntiVir 7.3.1.37 02.18.2007 no virus found Authentium 4.93.8 02.16.2007 no virus found Avast 4.7.936.0 02.18.2007 no virus found AVG 386 02.18.2007 no virus found BitDefender 7.2 02.18.2007 no virus found CAT-QuickHeal 9.00 02.16.2007 no virus found ClamAV devel-20060426 02.18.2007 no virus found DrWeb 4.33 02.18.2007 no virus found eSafe 7.0.14.0 02.18.2007 no virus found eTrust-Vet 30.4.3410 02.18.2007 no virus found Ewido 4.0 02.18.2007 no virus found Fortinet 2.85.0.0 02.18.2007 no virus found F-Prot 4.2.1.29 02.16.2007 no virus found F-Secure 6.70.13030.0 02.17.2007 no virus found Ikarus T3.1.0.31 02.18.2007 no virus found Kaspersky 4.0.2.24 02.18.2007 no virus found McAfee 4965 02.16.2007 no virus found Microsoft 1.2204 02.18.2007 no virus found NOD32v2 2069 02.18.2007 no virus found Norman 5.80.02 02.16.2007 no virus found Panda 9.0.0.4 02.18.2007 no virus found Prevx1 V2 02.18.2007 no virus found Sophos 4.14.0 02.18.2007 no virus found Sunbelt 2.2.907.0 02.17.2007 no virus found Symantec 10 02.18.2007 no virus found TheHacker 6.1.6.059 02.16.2007 no virus found UNA 1.83 02.16.2007 no virus found VBA32 3.11.2 02.17.2007 no virus found VirusBuster 4.3.19:9 02.18.2007 no virus found |
|
18.02.2007, 20:04
| #8 |
| | Ebayfraud Ach mit Adminrechten arbeite ich eigentlich so gut wie nie. Eigentlich nur zum Virenscannen. Tja es scheint dann ja geschaft zu sein Herzlichen dank für DIE Hilfe |
|
| Themen zu Ebayfraud |
| abgesicherten modus, adobe, antivir, avg, avira, bho, computer, escan, explorer, firefox, hijack, hijackthis, internet, internet explorer, konvertieren, microsoft, mozilla, mozilla firefox, netgear, netzwerk, pdf, pdf-datei, programme, quara, software, system, temp, urlsearchhook, windows, windows xp, yahoo |
Linear-Darstellung
