|
Log-Analyse und Auswertung: spyware alert/trojaner legt rechner nahezu lam!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.08.2008, 15:09 | #1 |
| spyware alert/trojaner legt rechner nahezu lam!! hi leute, vorweg: ich bin hier neu im forum und bin was log files angeht sehr unerfahren. ich hoffe jedoch, dass mir trotzdem jemand helfen kann... zum problem: ich habe mir gestern abend maleware oder einen trojaner zugezogen. zuerst wurden 3 programme auf meinem rechner installiert (error cleaner, privacy protector, spyware&malware protection). anschließend ploppte immer ein windows security alert fenster auf, auf dem folgendes stand: "windows has detected an internet attack attempt... somebody's trying to infect your pc with spyware or harmful viruses. run full system scan now to protect your pc from internet attacks, hijacking attempts and spyware! click here to download spyware remover for total protection". clickt man auf abbrechen, landet man bei "safewebnavigate2008.com", wodurch versucht werden sollte noch mehr spyware auf meinen rechner zu laden. nun lässt sich mein windows-explorer nicht mehr öffnen. wenn ich über eine datei, die sich auf meinem desktop befindet auf den arbeitsplatz komme, fehlen mir die "c" und "d" festplatte. die einzige, die noch da ist, ist "e" (zur info: ich habe meine festplatte vor einem jahr in 3 teile aufgeteilt; windows liegt auf der "c" platte) zusätzlich hatte ich neben der zeitanzeige in meiner taskleiste "virus alarm!" stehen. mein bisheriges vorgehen: komplettscan mit antivir, ad-aware se personal, ccleaner und superantispyware. zusätzlich habe ich die schritte des folgendem threads durchgeführt: http://www.trojaner-board.de/54799-virus-alert-neben-der-uhr-hilfe.html das resultat: die "virus alarm!" anzeige neben meiner uhr ist verschwunden. alle anderen probleme sind weiterhin da. hier das logfile von meinem ersten superantispyware-scan: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 08/07/2008 at 02:48 PM Application Version : 4.15.1000 Core Rules Database Version : 3469 Trace Rules Database Version: 1460 Scan type : Complete Scan Total Scan Time : 00:26:41 Memory items scanned : 447 Memory threats detected : 1 Registry items scanned : 4894 Registry threats detected : 30 File items scanned : 16796 File threats detected : 12 Adware.Vundo-Variant/J C:\WINDOWS\TFNSLOPK.DLL C:\WINDOWS\TFNSLOPK.DLL Trojan.Net-MSV/VPS-Variant HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02AA6842-B193-4D26-85F0-DDA31FF3EA66} HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66} HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66} HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\InprocServer32 HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\InprocServer32#ThreadingModel HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\ProgID HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\Programmable HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\TypeLib HKCR\CLSID\{02AA6842-B193-4D26-85F0-DDA31FF3EA66}\VersionIndependentProgID C:\WINDOWS\WNLMDAKQXMD.DLL Trojan.Unclassified/GTS HKLM\Software\Microsoft\Internet Explorer\Toolbar#{D76144AF-DF87-4614-9630-91BE83E98924} HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924} HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924} HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\InprocServer32 HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\InprocServer32#ThreadingModel HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\ProgID HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\Programmable HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\TypeLib HKCR\CLSID\{D76144AF-DF87-4614-9630-91BE83E98924}\VersionIndependentProgID HKCR\bgrqfetx.1 HKCR\bgrqfetx HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2} HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2}\1.0 HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2}\1.0\0 HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2}\1.0\0\win32 HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2}\1.0\FLAGS HKCR\TypeLib\{27012CD4-C197-4C2A-98F3-DE4BC61BDBB2}\1.0\HELPDIR C:\WINDOWS\BGRQFETX.DLL Browser Hijacker.Internet Explorer Settings Hijack HKU\S-1-5-21-3178991001-2728165134-3916952305-1005\Software\Microsoft\Internet Explorer\Main#Start Page [ http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ] Desktop Hijacker.AboutYourPrivacy C:\Dokumente und Einstellungen\Reissi\Desktop\Error Cleaner.url C:\Dokumente und Einstellungen\Reissi\Desktop\Privacy Protector.url C:\Dokumente und Einstellungen\Reissi\Desktop\Spyware&Malware Protection.url C:\Dokumente und Einstellungen\Reissi\Favoriten\Error Cleaner.url C:\Dokumente und Einstellungen\Reissi\Favoriten\Privacy Protector.url C:\Dokumente und Einstellungen\Reissi\Favoriten\Spyware&Malware Protection.url Trojan.Net-MU/Gen HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#uninstallString HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo#DisplayName Adware.WhenU D:\PROGRAMME\DAEMON TOOLS\SETUPDTSB.EXE Trojan.Downloader-Gen/Suspicious E:\PROGRAMME\DROPPIX\DROPPIX LABEL MAKER\DROPPIX.LABEL.MAKER.V2.9.1.CRACKED-F4CG\PATCH.EXE E:\PROGRAMME\DROPPIX\DROPPIX LABEL MAKER\PATCH.EXE hier noch das log file von meinem gerade durchgeführten hijackthis-scan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:05: VIRUS ALERT!, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\EzButton\CplBTQ00.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe D:\Programme\DAEMON Tools\daemon.exe C:\Programme\Apoint2K\Apntex.exe D:\Programme\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SyncroSoft\Pos\H2O\cledx.exe D:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\NETGEAR\WPN111\wpn111.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [DAEMON Tools] "d:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] D:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Name of App] C:\Programme\SAMSUNG\FW LiveUpdate\FWManager.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: NETGEAR WPN111 Smart Wizard.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O21 - SSODL: tfnslopk - {C5CA508A-36B1-4676-A5D9-8C9BE904A206} - C:\WINDOWS\tfnslopk.dll O21 - SSODL: xokvrpwg - {2629A002-2C95-4674-856F-5F9EE9412F34} - C:\WINDOWS\xokvrpwg.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Droppix Service - Droppix - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 11173 bytes ich weiß echt nicht mehr weiter. wäre echt fein, wenn mir jemand helfen könnte. vielen dank! |
07.08.2008, 16:36 | #2 | |
| spyware alert/trojaner legt rechner nahezu lam!! Hallo
__________________Zitat:
Wer weiß was noch alles auf deinem System herumschwirrt... MFG
__________________ |
Themen zu spyware alert/trojaner legt rechner nahezu lam!! |
.com, ad-aware, antivir, avira, browser, computer, desktop, error, excel, firefox, gservice, helfen, hkus\s-1-5-18, konvertieren, log files, logfile, maleware, malware, malware protection, mozilla firefox, pdf-datei, problem, saving, scan, security, software, spyware, system, trojaner, urlsearchhook, virus alert, virus alert!, windows, windows security, windows security alert, windows xp, windows-explorer, wmid |