|
Log-Analyse und Auswertung: Probleme mit Wurm/IRC BOT.24040Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.07.2007, 17:55 | #1 |
| Probleme mit Wurm/IRC BOT.24040 Hallo ich hab ein Problem mit meinem Rechner hatte vor ein paar tagen schon ein Trojaner drauf den ich aber löschen konnte ,aber irgendwie scheint wohl noch nicht alles runter zu sein hab mal mein Log geposted Logfile of HijackThis v1.99.1 Scan saved at 15:38:02, on 28.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Skype\Phone\Skype.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Marc\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINDOWS\system32\nsc22.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [fsc-reg] C:\windows\fscreg.exe 20070709 O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://****itgti.spaces.live.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1166646422125 O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
09.07.2007, 18:10 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Wurm/IRC BOT.24040 Sorry, aber den IRC-Bot bekommst du nicht einfach so weg, indem du vom Virenscanner gefundene Dateien löschen lässt. Da dieser Schädling Backdoorfuntionen aufweist, solltest du das System neu aufsetzen! Und nein, Backdoors bekommt man nicht anders weg...
__________________
__________________ |
09.07.2007, 18:22 | #3 |
| Probleme mit Wurm/IRC BOT.24040 ok danke
__________________wollt ich eigendlich vermeiden mein System neu zu machen |
09.07.2007, 18:24 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Wurm/IRC BOT.24040 Dafür gibts Backup- bzw. Imagingprogramme - einfach zu einem beliebigen Zeitpunkt ein Image des Systems erstellen (quasi ein Schnappschuss der Systempartition) und bei Bedarf wieder einspielen. Sehr praktisch wenn das System wieder verseucht sein sollte. Trotzdem solltest du es erst garnicht zu einer Infektion kommen lassen.
__________________ Logfiles bitte immer in CODE-Tags posten |
09.07.2007, 18:26 | #5 |
| Probleme mit Wurm/IRC BOT.24040 ich hab schon versucht eine Systemwiederherstellung zu machen aber das hat auch nicht geklappt |
09.07.2007, 18:40 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Wurm/IRC BOT.24040 Die SWH bringt in deinem Fall nichts mehr...
__________________ --> Probleme mit Wurm/IRC BOT.24040 |
09.07.2007, 21:52 | #7 |
| Probleme mit Wurm/IRC BOT.24040 so hab mein System neu aufgespielt und AntiVir wieder rauf und beides gleich auf den neusten stand gebracht kann ich noch etwas tun damit mein System sicherer wird |
09.07.2007, 21:56 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Probleme mit Wurm/IRC BOT.24040 Du hast auch das SP2 gleich offline eingespielt? Hoffentlich ja... Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
09.07.2007, 22:34 | #9 |
| Probleme mit Wurm/IRC BOT.24040 denke da sollte alles mit bei sein XP Media Center Edition 2005 Update Rollup 2 welches Backup Programm kann man empfehlen ,welches auch gut verstänlich ist gruß marc.sc Geändert von RabbitGTI (09.07.2007 um 23:16 Uhr) |
10.07.2007, 02:11 | #10 |
| Probleme mit Wurm/IRC BOT.24040 Nicht böse gemeint, nur feststellend: Komisch, ich schlage gerade mal zwei, drei Threads auf, und lese erneut so einen Satz. Natürlich kann man verhindern, das System "neu machen" zu müssen, das allerdings mit vorbeugenden Maßnahmen, die dazu beitragen, Infektionen bereits im Vorfeld zuverlässig zu verhindern. Zu einem vorbeugenden Konzept kann auch gehören, ein Image des Systems im sauberen Zustand zu erstellen, es extern zu sichern und im Falle des Falles zeitsparend wieder einzuspielen. Vielleicht sollte man einmal darüber nachdenken, anstatt in eine Reihe weitestgehend wirkungsloser Schutzsoftware zu investieren, lieber mal ein "Image-Programm" käuflich zu erwerben, z.B. Acronis True Image. |
Themen zu Probleme mit Wurm/IRC BOT.24040 |
adobe, antivir, avira, bho, cyberlink, desktop, disk director, downloader, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, magix, mein log, monitor, nvidia, object, pdf, photoshop, problem, rundll, server, shockwave, software, system, trojaner, windows, windows xp |