| |
| |||||||
Log-Analyse und Auswertung: TR/iBill.E benötige HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.02.2007, 15:30
| #1 |
 |  TR/iBill.E benötige Hilfe Hallo, bei meiner Freundin taucht immer wieder dieser Trojaner auf TR/iBill.E Hier mal Ihr logfile: Logfile of HijackThis v1.99.1 Scan saved at 15:05:52, on 18.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\USB Disk Win98 Driver\Res.EXE C:\WINDOWS\system32\iasx.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe C:\Programme\Skype\Plugin Manager\SkypePM.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Programme\USB Disk Win98 Driver\Res.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iasx] iasx.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Hoffe Ihr könnt mir helfen. Vielen Dank im voraus. |
|
18.02.2007, 15:46
| #2 | |||
| Administrator > Competence Manager  | TR/iBill.E benötige HilfeZitat:
 Bei der Anmeldung hier im Forum taucht jedesmal die Nutzungsbedingungen auf, jeder akzeptiert sie, aber keiner liest sie?!  Zitat:
* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Sunny
__________________ |
|
18.02.2007, 17:39
| #3 |
| | TR/iBill.E benötige Hilfe sorry das ich nicht alles richtiig gemacht habe, ist etwas kompliziert da ich hier auch nur Ferndiagnosen machen kann, bzw. alle infos selber erfragen muß und meine freundin sich gar nicht damit auskennt.
__________________zu allererst poste ich noch mal den logfile von antivir: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Sonntag, 18. Februar 2007 16:10 Es wird nach 673792 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Computername: Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.5 208936 Bytes 20.01.2007 13:04:49 AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 14:16:23 LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 14:16:23 LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 14:16:23 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 10:21:48 ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 13:04:49 ANTIVIR2.VDF : 6.37.1.85 598016 Bytes 14.02.2007 11:45:47 ANTIVIR3.VDF : 6.37.1.109 38912 Bytes 18.02.2007 13:51:05 AVEWIN32.DLL : 7.3.1.37 2306560 Bytes 13.02.2007 12:34:15 AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 14:16:23 AVREP.DLL : 6.37.1.100 1142824 Bytes 18.02.2007 13:51:09 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 28.10.2006 21:03:53 AVREG.DLL : 7.0.1.2 30760 Bytes 20.01.2007 13:04:49 NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:47 RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 14:16:11 RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 14:16:11 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Festplatten Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp Protokollierung..................: niedrig Primäre Aktion...................: löschen Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: D:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Erweiterte Sucheinstellungen.....: 0x00001000 Beginn des Suchlaufs: Sonntag, 18. Februar 2007 16:10 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'WINWORD.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'skypePM.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'TraySvr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'cisvc.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'Skype.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'iasx.exe' - '1' Module wurden durchsucht Modul ist infiziert -> 'C:\WINDOWS\system32\iasx.exe' Durchsuche Prozess 'Res.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winampa.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'LEXPPS.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'LEXBCES.EXE' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Infected processes will be killed Process 'iasx.exe' will be killed Infected Process 'iasx.exe' will be rescanned C:\WINDOWS\system32\iasx.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.P [INFO] Vom Virus TR/Dldr.iBill.P veränderte Registry- oder WIN.INI-Einträge wurden entfernt.(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iasx) [INFO] Eine Sicherungskopie wurde unter dem Namen 464b6cbb.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. Es wurden '33' Prozesse mit '32' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 15 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\xxx\Desktop\Ebay.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.P [INFO] Eine Sicherungskopie wurde unter dem Namen 46396d2f.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\WINDOWS\system32\bild_album.VIR [FUND] Ist das Trojanische Pferd TR/iBill.E [INFO] Eine Sicherungskopie wurde unter dem Namen 4644716d.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. C:\WINDOWS\Temp\Ebay.pdf.exe [FUND] Ist das Trojanische Pferd TR/Dldr.iBill.P [INFO] Eine Sicherungskopie wurde unter dem Namen 4639721f.qua erstellt ( QUARANTÄNE ) [INFO] Die Datei wurde gelöscht. Beginne mit der Suche in 'D:\' <SICHERUNG> Ende des Suchlaufs: Sonntag, 18. Februar 2007 16:45 Benötigte Zeit: 35:13 min Der Suchlauf wurde vollständig durchgeführt. 3010 Verzeichnisse wurden überprüft 114692 Dateien wurden geprüft 5 Viren bzw. unerwünschte Programme wurden gefunden 4 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 2 Dateien konnten nicht durchsucht werden 114687 Dateien ohne Befall 6823 Archive wurden durchsucht 2 Warnungen 0 Hinweise |
|
18.02.2007, 18:17
| #4 | |||
  | TR/iBill.E benötige Hilfe Hallo, das war dämlich und entsprach in keinster Weise dessen,was dir aufgetragen wurde....  Zitat:
Zitat:
 ...und wie das mit dem Glauben so ist....einjeder hat seinen Eigenen. Meiner sagt mir "glaube ja nicht das Avira das komplett entfernen konnte,sondern setze das System neu auf" Wenn du meinem Glauben fogen willst,suchst du die Startseite auf und Schaust dir den Thread zum Thema "Neuafsetzen des Systems...." an, den du unter "Anleitungen,FAQ,Links" finden wirst.... Mein Glaube beruht übrigens auf dem hier : Zitat:
Irrlicht |
|
| Themen zu TR/iBill.E benötige Hilfe |
| add-on, adobe, antivir, avg, avira, bho, dll, excel, explorer, google, helper, hijack, hijackthis, immer wieder, internet, internet explorer, logfile, nvidia, rundll, saver, screensaver, server, software, system, trojaner, usb, vielen dank, web.de, windows, windows xp |
Linear-Darstellung
