W32/Polip.A...

Kingchen · 10.10.2007, 19:31

Hey

Ich hab ein eigenartiges problem..
Unten ist das letze HijackThis log, von gestern, jetzt kann ich den rechner nicht mehr starten^^ er zeigt die selben symtome wie der blaster, also beim starten restartet er nach 1 min..! Es fing an, mit einer exe. sie war sauber, nod32 zeige nichts an, klicke an, öffnete sich nix.. nach 2 min war das ganze system verseucht, jede exe... es war natürlich der W32/Polip.A oder wie der noch heisst.. Ich hab gelesen heir im board, mit Dr. Web könnte ihn man wegbringen, ja ich hab so um die 500k daten desinfiziert.. danach restartete ich, alles war sehr langsam.. keine exe. ging mehr, nochmal restart, dann kam eben wie oben gesagt son rotes viereck..
tja, kann ich da noch was retten? oder format d?
Vielen Dank für eure hilfe grüss, Kingchen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:06:23, on 10.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Programme\DU Meter\DUMeter.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Lavalys.EVEREST.Ultimate.Edition.2007\everest.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\a-squared Anti-Malware\a2service.exe
D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\Programme\DriveCrypt\DcrServ.exe
D:\Programme\Eset\nod32krn.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\oodag.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\WINDOWS\system32\PnkBstrB.exe
D:\Programme\CyberLink\Shared files\RichVideo.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
D:\Programme\Webroot\Washer\WasherSvc.exe
D:\WINDOWS\System32\alg.exe
D:\Meine Games\Xfire\Xfire.exe
D:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\ESET\nod32kui.exe
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
D:\WINDOWS\system32\WISPTIS.EXE
D:\Meine Games\Steam\Steam.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Sascha Bigler\Desktop\TcpView\TcpView\Tcpview.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\Programme\Eset\nod32.exe
D:\WINDOWS\system32\XCOPY.exe
D:\WINDOWS\system32\XCOPY.exe
D:\Dokumente und Einstellungen\Sascha Bigler\Desktop\HiJackThis\HijackThis.exe

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LDM] D:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DU Meter.lnk = D:\Programme\DU Meter\DUMeter.exe
O4 - Startup: ICQ 5.1.lnk = D:\Programme\ICQLite\ICQLite.exe
O4 - Startup: NOD32 Control Center.lnk = D:\Programme\ESET\nod32kui.exe
O4 - Startup: Verknüpfung mit everest.lnk = D:\Programme\Lavalys.EVEREST.Ultimate.Edition.2007\everest.exe
O4 - Startup: Verknüpfung mit msnmsgr.lnk = D:\Programme\MSN Messenger\msnmsgr.exe
O4 - Startup: Xfire.lnk = D:\Meine Games\Xfire\Xfire.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'd:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173537298921
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5069/mcfscan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - D:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: DriveCrypt Service (DriveCryptService) - Unknown owner - D:\Programme\DriveCrypt\DcrServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe (file missing)
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - D:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - D:\Programme\Webroot\Washer\WasherSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe (file missing)

--
End of file - 10776 bytes

Cleriker · 11.10.2007, 10:27

Hi und

Herzlich Willkommen im Trojaner-Board

in deinem Logfile kann ich keinen Schädling entdecken.
Erstelle bitte folgende Scans:

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

* Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)

Benutze bitte in Zukunft nur ein AV-Tool, mehrere bremsen sich
nur unnötig aus.

mfg Cleriker

Kingchen · 11.10.2007, 14:50

Hallo

Danke für deine Antwort.
Der eScan scannt noch

Hier mal das Silent Runners LoG:
Komisch

Das Silent Runner speichert kein LoG im gleichen Ordner, es öffnet sich nur eine txt. Datei die ca. 300.000 Zeichen hat.. Ich mach da was glaub falsch

Gruss Kingchen

Trojanerade · 11.10.2007, 14:55

Nöp du machst nichts falsch !Poste das Log und alle werden dir DAnkbar sein

Mfg Trojanerade

Cleriker · 11.10.2007, 16:53

hi nochmal,

poste es am besten in 2 Abschnitten -> 2 Posts
-> dann ist es am übersichtlichsten.

mfg Cleriker

Kingchen · 11.10.2007, 17:07

Zitat:

Zitat von Cleriker

hi nochmal,

poste es am besten in 2 Abschnitten -> 2 Posts
-> dann ist es am übersichtlichsten.

mfg Cleriker

Sagen wirs so^^
ich müsste ca. 15 Posts machen?

naja, ich lad mal das log wo hoch

Silent Runners.txt

myrtille · 11.10.2007, 17:22

Hi,
eScanlogs sollten, entsprechend folgender Anleitung: klick, mithilfe der find.bat zusammengekürzt werden. Dann passen sie eigentlich auch hier in den Thread.

und es heißt individuell.

lg myrtille

11.10.2007, 17:22	#7
myrtille /// TB-Ausbilder	W32/Polip.A... Hi, eScanlogs sollten, entsprechend folgender Anleitung: klick, mithilfe der find.bat zusammengekürzt werden. Dann passen sie eigentlich auch hier in den Thread. und es heißt individuell. lg myrtille

W32/Polip.A...

Log-Analyse und Auswertung: W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

W32/Polip.A...

Ähnliche Themen: W32/Polip.A...

11.10.2007, 14:50	#3
Kingchen	W32/Polip.A... Hallo Danke für deine Antwort. Der eScan scannt noch Hier mal das Silent Runners LoG: Komisch Das Silent Runner speichert kein LoG im gleichen Ordner, es öffnet sich nur eine txt. Datei die ca. 300.000 Zeichen hat.. Ich mach da was glaub falsch Gruss Kingchen __________________

11.10.2007, 14:55	#4
Trojanerade	W32/Polip.A... Nöp du machst nichts falsch !Poste das Log und alle werden dir DAnkbar sein Mfg Trojanerade __________________ Nothing can stop me in MY work

11.10.2007, 16:53	#5
Cleriker	W32/Polip.A... hi nochmal, poste es am besten in 2 Abschnitten -> 2 Posts -> dann ist es am übersichtlichsten. mfg Cleriker