| |
| |||||||
Log-Analyse und Auswertung: Vermutlich Proxyumleitung oder ähnlichesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.07.2007, 20:32
| #3 |
 |  Vermutlich Proxyumleitung oder ähnliches hallo,
__________________dank dir für deine antwort cosinus. bevor ich das system neu installiere, versuche ich erst mal eine reparatur, auch wenn das natürlich nicht die theoretisch ideale lösung ist. habe - wie du vorgeschlagen hast - mal nach ukraine gesucht, und die anweisungen in den entsprechenden threats durchgeführt: 1) fixwareout benutzt. das liefert folgenden report: ------------------------------------------------- Username "Admin" - 2007-07-13 16:17:37 [Fixwareout edited 2007/07/05] »»»»»Prerun check HKLM\SOFTWARE\~\Winlogon\ "System"="kdklz.exe" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{2A5F6974-7B99-4A86-BE71-304A1F7F62FD} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{598F67AE-FEE4-4AA7-BF14-3359890B5C44} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{D305A2F2-358C-4536-9A3C-11FBCC5F026B} "DhcpNameServer"="85.255.116.152,85.255.112.8" <Value cleared. Der DNS-Auflösungscache wurde geleert. System was rebooted successfully. »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "system"="" .... .... »»»»» Misc files. C:\Casino Deleted .... »»»»» Checking for older varients. .... »»»»» Other C:\WINDOWS\Temp\kdklz.ren 65057 04.08.2004 »»»»» Current runs (hklm hkcu "run" Keys Only) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIModeChange"="Ati2mdxx.exe" "ATIPTA"="C:\\ATI-CPanel\\atiptaxx.exe" "SoundMan"="SOUNDMAN.EXE" "ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\"" "Advanced Tools Check"="C:\\PROGRA~1\\NORTON~1\\AdvTools\\ADVCHK.EXE" "Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» 2) im abgesicherten modus escan durchlaufen lassen. ergebnis: ------------------------------------------------- ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: German C:\DOKUME~1\Admin\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Programme\Norton AntiVirus\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\044664F7//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\045B77A5.class//CryptFF infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\04A8508C//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\04BE7672//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A3767AF//CryptFF/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A4A6399//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\0A4E0D95//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ... (hab hier paar einträge rausgelöscht, alles im quarantine-ordner) ... Datei C:\Programme\Norton AntiVirus\Quarantine\7CC54D04//CryptFF/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7CD61EF2//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7CDC72EB//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7EF74660//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7F0E6C47//CryptFF/text/html infiziert von "Exploit.HTML.Iframe.FileDownload" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\Norton AntiVirus\Quarantine\7F1B1439//CryptFF infiziert von "Email-Worm.Win32.NetSky.q" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP462\A0150092.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150315.exe//stream infiziert von "Trojan.Win32.DNSChanger.jc" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\Admin\LOKALE~1\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\GLB88.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\NPROTECT\00199486.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{B6026410-5B4E-4A90-91D2-5A5BCC28B6C0}\RP463\A0150360.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 111281 Gescannte Dateien: 111281 Gefundene Viren: 120 Gefundene Viren: 120 Anzahl der desinfizierten Dateien: 0 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 218 Anzahl Fehler: 218 Dauer des Scans bisher: 01:19:16 Dauer des Scans bisher: 01:19:16 alle außer zwei gefundene viren befinden sich allerdings im norton-ordner, und sind daher eher nicht gefährlich vermute ich. was meint ihr zu den infizierten dateistreams? kann die entsprechneden files nicht löschen. komme an diese files nicht ran, da der ordner "system volume information" den zugriff verweigert. noch ne frage: wenn nur der dns-server umgeändert war, konnte ja eigentlich nichts ausgespäht werden, oder? d.h. mein system hat auf ne namens-anfrage einfach die falsche ip bekommen - nicht aber der ganze internetverkehr wurde umgeleitet, nehm ich mal an. vielen dank soweit. achso, im anschluss hab ich nochmal HijackThis die bemängelten einträge fixen lassen. das neue log (ach nach mehren neustarts) ist jetzt so: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] Geändert von clemensmaurer (14.07.2007 um 21:04 Uhr) |
| Themen zu Vermutlich Proxyumleitung oder ähnliches |
| ad-aware, adobe, antivirus, auswertung, bho, computer, dateien, desktop, drivers, einstellungen, entfernen, explorer, frage, hijack, internet explorer, komplett entfernen, microsoft, opera, programm, programme, security, security center, senden, software, symantec, system, träge, windows, windows xp |
Baum-Darstellung