|
Log-Analyse und Auswertung: Virus?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.08.2008, 14:38 | #1 |
| Virus? Hallo ! Ich habe mir vor Kurzem Virtumonde und einen anderen Virus eingefangen. Virtumonde habe ich gleich mit Spybot S&D und VundoFix (und TweakPower) auch wieder entfernt, der/die anderen Viren haben mir dann aber ntdll.dll zerschossen. Das heißt Firefox ging nicht mehr und notepad ist immer abgestürzt und fast kein Programm konnte mehr Dateien speichern. Ich habe mir dann Avira Anrivir Rootkit Detection und Ad-Aware geholt, welche aber nichts gefunden haben. sfc.exe hat aber gemeldet, dass die Datei (ntdll.dll) beschädigt ist, konnte sie aber nicht reparieren. Mit BartPE habe ich am Ende ntdll.dll repariert. Jetzt läuft wieder alles, aber ab zu kommen Meldungen dass rundll eine DLL nicht finden konnte (die verlorenen DLLs sollen nach Internetforen Viren seien) und ich habe mir über dieses Forum MicroWorld AntiVirus und Malwarebytes Anti-Malware runtergeladen. MVAV funktionierte nicht, doch Malwarebytes Anti-Malware hat alles Mögliche gefunden. Hier noch ein paar Informationen zu meinem System: Vista SP1 (Home Premium, OEM), AMD Phenom 9500, 3GB RAM, nVidia 8600 AUßERDEM REINER FIREFOX-3-BENUTZER, die Viren sind über den IE7 (jetzt IE8 Beta) gekommen Und das BHO "yaywxYRl.dll" habe ich gerade entfernt ! Ach. und CCleaner benutz ich ständig ! Zuerst der VundoFix Export: Code:
ATTFilter C:\Windows\System32\bbbcer.dll C:\Windows\System32\enbiefdk.dll C:\Windows\System32\Hauppauge\DivX.dll C:\Windows\System32\qiubgepi.dll C:\Windows\System32\qnaeseet.dll C:\Windows\System32\thiuvr.dll C:\Windows\System32\yjkokfnt.dll Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:43:08, on 11.08.2008 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.17184) Boot mode: Normal Running processes: C:\Windows\explorer.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\taskeng.exe C:\Program Files\uTorrent\uTorrent.exe D:\Programme\AnyDVD\AnyDVDtray.exe D:\Programme\WinTV\EPG Services\System\EPGClient.exe D:\Programme\DAEMON Tools Lite\daemon.exe C:\Windows\Explorer.exe C:\Windows\system32\wbem\unsecapp.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Users\????????\Stores\JK versus Virus\RunScanner.exe D:\Programme\ Malwarebytes Anti-Malware \mbam.exe C:\Windows\system32\SearchFilterHost.exe C:\Users\????????\Stores\JK versus Virus\HijackThis Portable.exe C:\Users\????????\Stores\JK versus Virus\net-und-web_App\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 0.0.0.0:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {AF19A406-10BC-4439-85FE-97C7BAFD6247} - C:\Windows\system32\yaywxYRl.dll O4 - HKLM\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [EPGServiceTool] D:\Programme\WinTV\EPG Services\System\EPGClient.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST') O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{67BEF12B-8CB6-4DA9-8CE1-9B4EF9167CB3}: NameServer = 192.168.178.1 O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Ad-Aware\aawservice.exe O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Program Files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe O23 - Service: EPGService - Hauppauge Computer Works - D:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Programme\Trust R-Series Mouse\KMWDSrv.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: TeamViewer 3 (TeamViewer) - TeamViewer GmbH - D:\Programme\TeamViewer3\TeamViewer_Host.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: VundoFix Service (VundoFixSvc) - Atribune.org - C:\Windows\SYSTEM32\VundoFixSVC.exe -- End of file - 4424 bytes wird nachgeliefer Und zuletzt das Malwarebytes Anti-Malware-Logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.24 Datenbank Version: 1012 Windows 6.0.6001 Service Pack 1 14:52:46 11.08.2008 mbam-log-8-11-2008 (14-52-37).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 37101 Laufzeit: 9 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\Windows\System32\yaywxYRl.dll (Trojan.Vundo) -> No action taken. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{af19a406-10bc-4439-85fe-97c7bafd6247} (Trojan.Vundo) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{af19a406-10bc-4439-85fe-97c7bafd6247} (Trojan.Vundo) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Security Packages (Trojan.Vundo) -> Data: c:\windows\system32\yaywxyrl -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\yaywxyrl |
11.08.2008, 15:15 | #2 | |
| Virus?Zitat:
Diesen eintrag mit HijackThis fixen: O2 - BHO: (no name) - {AF19A406-10BC-4439-85FE-97C7BAFD6247} - C:\Windows\system32\yaywxYRl.dll Wie ich sehe hasst du kein AntiVir oder er ist nicht aktiv also antiVir deinstallieren und neusinstallieren am besten ist Avira PE. Firewall hasst du auch nicht aktiv also den eigenden von Vista aktivieren.
__________________ |