|
Log-Analyse und Auswertung: Bitte mal checkenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.08.2008, 15:53 | #1 |
| Bitte mal checken Hallo, also ich hab mir irgendetwas eingefangen und weiß nun nicht mehr weiter. Bei mir geht der Taskmanager nicht mehr, regedit kann ich auch nicht mehr starten. Habe Datenträger C und D. Win 2000 habe ich auf C und hab auch schon mehrmals C formatiert, nur nach einer Weile kommen die Probleme wieder. Manchmal kommt auch eine Fehrlermeldung als Desktop Hintergrund, in der behauptet wird, dass ich einen Virus habe und ich meinen Virus programm starten solle. Und diesen Hintergrund kann ich noch nichtmal weg machen. Vielleicht hat ja jemand tipps dazu. Danke Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:29:36, on 30.08.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\savedump.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\Programme\AMD\Cool'n'Quiet\GemServ.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINNT\system32\internat.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Alice\Signup\AliceCnn.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- End of file - 4511 bytes |
30.08.2008, 16:14 | #2 | |
| Bitte mal checken Sers,
__________________Zitat:
hol dir am Besten SpyBot. Ich habe das im abgesicherten Modus bei crypt.Xpack und Virtumonde und PrivacyRemover.m64 laufen lassen. Auch zur Sicherheit Malwarebytes und CCleaner falls etwas in der Temp gefunden wurde. SpyBot erkennt nämlich Vundo und hat viele Definitionen dafür. Lösch nach allen Schritten alle Systemwiederherstellungspunkte unter Datenträger bereinigen auf dem Hauptfach. Davor erstellst du aber einen neuen unter Start->Programme->Zubehör DIe Links zu den Programmen: SpyBot: http://filepony.de/download-spybot_search_destroy/ Malwarebytes: http://www.malwarebytes.org/ CCleaner: http://filepony.de/download-ccleaner/ Gruß Humpestos |
30.08.2008, 16:43 | #3 | ||
/// TB-Ausbilder | Bitte mal checken Mit Verlaub,
__________________Zitat:
Der Eintrag ist vollkommen legitim und sollte NICHT gefixt werden. Mache bitte einen Scan mit Malwarebytes und poste das Ergebnis dann hier. Alles andere ist vorerst nicht nötig. lg myrtille
__________________ |
30.08.2008, 18:54 | #4 |
| Bitte mal checken Was heißt hier Alice. Der o.g. Server ist mit dem Computer verbunden und greift auf Daten zu. Nur weil ich jetzt T-Online habe, steht eine IP-Nummer im Log drin. Auch bei Downloads kommt so etwas nicht vor. Bei anderen Logs, die dasselbe zeigten, wurde dazu geraten, schnell die Verbindung zu trennen... Gruß |
30.08.2008, 22:22 | #5 | ||||
| Bitte mal checken Moin Zitat:
Zitat:
Zitat:
Macht jetzt keinen wirklichen Sinn NUR FÜR DICH die WhoIs Abfrage Zitat:
@Riu mach bitte weiter wie myrtille beschrieben hat. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
30.08.2008, 23:53 | #6 | |
/// TB-Ausbilder | Bitte mal checken Hi, @Humpestos welche Logs hast du dir angeguckt? Wenn ich mal nach der IP suche, finde ich nur Treffer, wo die Einträge nicht angemeckert wurde: Etwa hier und hier und hier und hier und hier und und und... Alle Themen findest du hier: google ist dein Freund Nicht jede IP ist automatisch böse. Ich lege dir die HijackThis Anleitung ans Herz, insbesondere die Erklärungen zu den einzelnen Einträgen: Und da steht für O17: Zitat:
lg myrtille
__________________ --> Bitte mal checken |
31.08.2008, 03:39 | #7 |
| Bitte mal checken so hier ist der mbam log: Malwarebytes' Anti-Malware 1.25 Datenbank Version: 1062 Windows 5.0.2195 Service Pack 4 04:28:36 31.08.2008 mbam-log-08-31-2008 (04-28-36).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 45818 Laufzeit: 29 minute(s), 54 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) in den abgesichtern Modus kann ich übrigens auch nicht mehr, da kommt ein blauer Bildschirm mit Fehlermeldung |
31.08.2008, 10:55 | #8 |
/// TB-Ausbilder | Bitte mal checken Hi, lade dir bitte auch mal Smitfraudfix herunter und arbeite den Schritt Reinigung ab (im normalen Modus). Ich bräuchte außerdem die genaue Fehlermeldung des Bluescreens. (Wenn die Meldung nicht lang genug angezeigt wird, dann nimm bitte den Haken bei Start->Systemsteuerung->System->Erweitert->Start und Wiederherstellen->bei Systemfehler den Haken vor "Automatisch Neustart durchführen" rausnehmen ) lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
Themen zu Bitte mal checken |
1.exe, adobe, antivirus, bho, checken, dateien, desktop, explorer, firewall, g data, hijack, hijackthis, hintergrund, hotkey, internet, internet explorer, micro, microsoft, programm, programme, regedit, security, software, starten., system, taskmanager, virus, windows |