| |
| |||||||
Log-Analyse und Auswertung: Bitte Log anschauenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.07.2007, 19:59
| #1 |
| Gast |  Bitte Log anschauen Hallo Ich hatte vor kurzem Probleme mit scvhost.exe! Der Pc lief aber nach dem Angriff nur ungefähr 5 Stunden und habe ihn auch dann wieder herunter bekommen. Beim scannen mit Hij ist mir mal nichts aufgefallen aber ich bin auch nicht so gut um da was heraus zu lesen. Ebenso habe ich ein Escan durchgeführt und da mehrere Probleme gefunden wo ich um eure Hilfe bitte. Hij: Logfile of HijackThis v1.99.1 Scan saved at 20:58:09, on 01.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\winamp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3B9FEE73-2F09-B466-C0D0-E7C180AC3424} - (no file) O2 - BHO: (no name) - {605C1BD5-B2D7-B03E-96E9-FC274479ACE8} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.6.0_01\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150654477468 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Private Folder Service (prfldsvc) - Unknown owner - C:\Programme\Microsoft Private Folder 1.0\PrfldSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe und Escan ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.9 Sprache: German C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with bonzibuddy Spyware/Adware (msagent.exe)! Action taken: Keine Aktion vorgenommen. System found infected with bonzibuddy Spyware/Adware (spchapi.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\nkit.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\rootkit.dll//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP388\A0085032.exe//data0079 infiziert von "Trojan.Win32.Obfuscated.fk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP394\A0087290.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP394\A0087295.exe//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\nkit.dll infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\rootkit.dll//UPX infiziert von "Backdoor.Win32.Nucleroot.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\D.Demmer\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File D:\Diverses\Lustich\prolangeweile.exe markiert als "not-virus:BadJoke.Win32.VB.ai". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\diverses\nero7.5.9.1_29.03.2007_ppo\installation\redist\tts\msagent.exe Offending file found: C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\diverses\nero7.5.9.1_29.03.2007_ppo\installation\redist\tts\spchapi.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! Offending Key found: HKLM\Software\ptech !!! Offending Key found: HKCU\\magnet !!! Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\E !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in E\Shell\AutoRun\command: E:\Setupx.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\D.Demmer\Eigene Dateien\Diverses\ICQ Lite\288892011\P_252644850\WoW.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Programme\Alcohol Soft\Alcohol 120\DevSupp.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP375\A0082282.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP375\A0082283.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP377\A0082861.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{5388C338-6703-41E3-B7D3-1232BBA8F0B2}\RP377\A0082862.rbf nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 93537 Gefundene Viren: 16 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 24 Dauer des Scans bisher: 00:59:43 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:48:29,67 Batchende: 20:48:39,84 Bitte helf mir mein System wieder sauber zu bekommen ohne eine Neuaufsetzung des Systems. Mit freundlichen Grüßen |
| Themen zu Bitte Log anschauen |
| ad-aware, antivir, avira, bho, dateisystem, desktop, drivers, excel, fehler, festplatte, firefox, helper, hijack, hijackthis, hosts-datei, installation, internet, internet explorer, maßnahme, mehrere, mozilla, mozilla firefox, mozilla thunderbird, object, registry, scan, software, system, viren, windows, windows xp |
Baum-Darstellung