![]() |
|
Log-Analyse und Auswertung: Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte! hallo! ich hoffe ihr könnt mir helfen.. ich versteh das nicht!! ich geh einfach ins internet, ich besuche weder xxx-seiten, noch download-seiten noch sonstige unseriöse seiten und ständig bekomme ich viren ab! obwohl ich eine vollversion von bitdefender benutze, ich bin echt am verzweifeln.. hier ist der logfile, vielleicht werdet ihr daraus schlau.. danke schoneinmal! ***edit: der scan von bitdefender bringt ergebnisse, kann allerdings nichts korrigieren =( Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA [/edit] |
![]() | #2 | |
Administrator > Competence Manager | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte!Hallo und ![]() Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Gruß Sunny
__________________ |
![]() | #3 |
![]() | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte! C:\WINDOWS\TEMP\win22F7.tmp.exe
__________________Antivirus Version Last Update Result AhnLab-V3 2007.7.24.0 2007.07.23 no virus found AntiVir 7.4.0.44 2007.07.23 TR/Crypt.PEC2X.Gen Authentium 4.93.8 2007.07.23 no virus found Avast 4.7.997.0 2007.07.23 no virus found AVG 7.5.0.476 2007.07.22 Generic5.OPE BitDefender 7.2 2007.07.23 no virus found CAT-QuickHeal 9.00 2007.07.23 (Suspicious) - DNAScan ClamAV devel-20070416 2007.07.23 no virus found DrWeb 4.33 2007.07.23 no virus found eSafe 7.0.15.0 2007.07.23 Win32.Agent.qt eTrust-Vet 31.1.5002 2007.07.23 no virus found Ewido 4.0 2007.07.23 no virus found FileAdvisor 1 2007.07.23 no virus found Fortinet 2.91.0.0 2007.07.23 W32/Agent.QT!tr F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.23 Trojan.Win32.Agent.qt Ikarus T3.1.1.8 2007.07.23 Trojan.Win32.Dialer.qn Kaspersky 4.0.2.24 2007.07.23 Trojan.Win32.Agent.qt McAfee 5080 2007.07.23 no virus found Microsoft 1.2704 2007.07.23 Trojan:Win32/Agent.PA NOD32v2 2415 2007.07.23 no virus found Norman 5.80.02 2007.07.23 W32/Agent.BWGX Panda 9.0.0.4 2007.07.23 Generic Malware Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 VIPRE.Suspicious Symantec 10 2007.07.23 MagicAntiSpy TheHacker 6.1.7.152 2007.07.23 Trojan/Agent.qt VBA32 3.12.2.1 2007.07.23 no virus found VirusBuster 4.3.26:9 2007.07.23 no virus found Webwasher-Gateway 6.0.1 2007.07.23 Trojan.Crypt.PEC2X.Gen Additional information File size: 22016 bytes MD5: 03f3853f68f22d31c8733f992e39a16d SHA1: 52e4eaf539a17e7a9ad400f9f027a3fd374376b7 packers: PECOMPACT packers: PecBundle, PECompact Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. ______________________________________________ Magicantispy.exe Antivirus Version Last Update Result AhnLab-V3 2007.7.24.0 2007.07.23 no virus found AntiVir 7.4.0.44 2007.07.23 no virus found Authentium 4.93.8 2007.07.23 no virus found Avast 4.7.997.0 2007.07.23 no virus found AVG 7.5.0.476 2007.07.22 no virus found BitDefender 7.2 2007.07.23 no virus found CAT-QuickHeal 9.00 2007.07.23 (Suspicious) - DNAScan ClamAV devel-20070416 2007.07.23 no virus found DrWeb 4.33 2007.07.23 no virus found eSafe 7.0.15.0 2007.07.23 no virus found eTrust-Vet 31.1.5002 2007.07.23 no virus found Ewido 4.0 2007.07.23 no virus found FileAdvisor 1 2007.07.23 no virus found Fortinet 2.91.0.0 2007.07.23 no virus found F-Prot 4.3.2.48 2007.07.20 no virus found F-Secure 6.70.13030.0 2007.07.23 no virus found Ikarus T3.1.1.8 2007.07.23 Virus.Win32.Alman.a Kaspersky 4.0.2.24 2007.07.23 no virus found McAfee 5080 2007.07.23 no virus found Microsoft 1.2704 2007.07.23 no virus found NOD32v2 2415 2007.07.23 a variant of Win32/Adware.SpySheriff Norman 5.80.02 2007.07.23 no virus found Panda 9.0.0.4 2007.07.23 Suspicious file Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.21 magicantispy Symantec 10 2007.07.23 no virus found TheHacker 6.1.7.152 2007.07.23 no virus found VBA32 3.12.2.1 2007.07.23 no virus found VirusBuster 4.3.26:9 2007.07.23 no virus found Webwasher-Gateway 6.0.1 2007.07.23 Win32.Malware.gen!94 (suspicious) Additional information File size: 401920 bytes MD5: 1d5ff72570c4562605afd52fe4a4bac3 SHA1: e479e5e4a2dfbbe57a3612dfb3d25bb35de4f585 packers: Aspack Sunbelt info: magicantispy is a purported anti-spyware application to scan for and remove spyware from users' computers. ________________________________________________ C:\WINDOWS\system32\xxywxus.dll 0 bytes size received / Se ha recibido un archivo vacio ________________________________________________ C:\WINDOWS\system32\drvher.dll 0 bytes size received / Se ha recibido un archivo vacio ich hoff ich hab alles richtig gemacht =/ der hyperlink vom anzeigen geht übrigens nicht! passt alles so? danke für deine hilfe =) |
![]() | #4 | |
Administrator > Competence Manager | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte!Anleitung Avenger: 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: ![]() 2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein: Zitat:
![]() 4.) Danach das System unverzüglich neu starten lassen 5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei. Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. Gruß ![]() Sunny
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
![]() | #5 |
![]() | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte! ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Error: could not create zip file. Error code: 0 ////////////////////////////////////////// Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\pxdontan ******************* Script file located at: \??\C:\WINDOWS\vdymxsse.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\TEMP\win22F7.tmp.exe deleted successfully. File C:\Program Files\Magicantispy\Magicantispy.exe deleted successfully. File C:\WINDOWS\system32\xxywxus.dll deleted successfully. File C:\WINDOWS\system32\drvher.dll not found! Deletion of file C:\WINDOWS\system32\drvher.dll failed! Could not process line: C:\WINDOWS\system32\drvher.dll Status: 0xc0000034 File C:\WINDOWS\system32\ddayw.dll deleted successfully. File C:\WINDOWS\system32\xxpgokls.dll not found! Deletion of file C:\WINDOWS\system32\xxpgokls.dll failed! Could not process line: C:\WINDOWS\system32\xxpgokls.dll Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate. ___________________________________________________________ Logfile of HijackThis v1.99.1 Scan saved at 22:01:00, on 23.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Tobias\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1F6581D5-AA53-4b73-A6F9-41420C6B61F1} - C:\WINDOWS\system32\puewoluj.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {93D42B2A-A064-40E4-9684-242713268D28} - C:\WINDOWS\system32\ddayw.dll (file missing) O2 - BHO: (no name) - {941508F8-CCD9-44E0-AC29-4F1E141373F7} - C:\WINDOWS\system32\xxywxus.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvher.dll,startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\xxpgokls.dll",forkonce O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: CAPIControl.lnk = ? O4 - Startup: HomeNet Control.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180949809734 O20 - Winlogon Notify: ddayw - C:\WINDOWS\system32\ddayw.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: wineij32 - wineij32.dll (file missing) O20 - Winlogon Notify: xxywxus - xxywxus.dll (file missing) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) soweit, sogut =) ich les mir jetzt mal das eScan durch, hab also einschließlich vundofix alles gemacht! danke nochmals =) |
![]() | #6 |
![]() | ![]() Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte! soooo und hier jetzt das was find.bat ausgespuckt hat. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jul 23 22:21:40 2007 => System found infected with bravesentry Spyware/Adware (xpupdate.exe)! Action taken: Keine Aktion vorgenommen. Mon Jul 23 22:21:50 2007 => System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen. Mon Jul 23 22:21:50 2007 => System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Jul 23 22:21:40 2007 => Offending file found: C:\WINDOWS\xpupdate.exe Mon Jul 23 22:21:50 2007 => Offending file found: C:\WINDOWS\system32\svkp.sys Mon Jul 23 22:21:50 2007 => Offending Registry Entry found: hkey_local_machine\system\controlset001\services\svkp ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ |
![]() |
Themen zu Viele Viren, u.a. Virtomundo & magicantispy, helft mir bitte! |
angezeigt, bitdefender, daraus, defender, editiere, einfach, ergebnisse, helft, hijack, hijackthis, hoffe, inter, interne, internet, links, logfile, nichts, scan, sonstige, unseriöse seiten, verzweifel, viele viren, viren, vollversion |