| |
| |||||||
Log-Analyse und Auswertung: Worm ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.09.2008, 22:18
| #1 |
| |  Worm ? Hallo, nachdem ich mich jetzt seit knapp zwei Wochen mit nervigen POP UP Fenstern von z.B. spyware solutions.com, Neckermann und Neu.de rumärge dachte das vlt irgendwas faul sein könnte. Hab mich also versucht ein wenig "schlau" zumachen und fand in einem anderen Forum jemanden mit dem gleichen Problem, ihm oder ihr wurde gesagt das es sich dabei um einen WORM handelt aber keine Lösung gepostet. Da ich mich gerne davon distanzieren würde meinen PC komplett neu aufzusetzen wollte ich hier mal um Hilfe fragen. Dazu habe ich mal ein HiJack This Log file machen lassen. Vlt kann mir ja jemand einen Rat oder sogar eine Problemlösung geben. Danke aber schon mal für die Mühe ______________________________________________________________ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:53:34, on 15.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\Explorer.EXE C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe C:\WINDOWS\Cpqdiag\Cpqdfwag.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe D:\service.exe C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe D:\Programme\Spyware Doctor\pctsAuxs.exe C:\WINDOWS\system32\fast.exe C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE C:\Compaq\EAKDRV\EAUSBKBD.EXE C:\WINDOWS\Logi_MwX.Exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\taskswitch.exe C:\Programme\Analog Devices\SoundMAX\SMTray.exe C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe D:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\icsgo.exe C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\vssvc.exe C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\WINDOWS\system32\Fast.exe D:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\msdtc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\system32\fast.exe O4 - HKLM\..\Run: [SetRefresh] C:\Programme\COMPAQ\SetRefresh\\SetRefresh.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\system32\bgswitch.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [ISTray] "D:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [icsgo] "c:\dokumente und einstellungen\****\lokale einstellungen\anwendungsdaten\icsgo.exe" icsgo O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: G DATA Firewall Tray.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Compaq Local Alerter (CPQALERT) - Compaq Computer Corporation - C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe O23 - Service: Compaq Remote Diagnostics Enabling Agent (CpqDfwWebAgent) - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe O23 - Service: cpqdmi - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe O23 - Service: Compaq DMI Web Agent (cpqWebDmi) - Compaq Computer Corporation - C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - D:\service.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: Win32Sl (WIN32SL) - Intel - C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe -- End of file - 8900 bytes |
|
16.09.2008, 01:22
| #2 |
| /// TB-Ausbilder     | Worm ? Hi,
__________________arbeite bitte Folgendes ab:
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. lg myrtille
__________________ |
|
16.09.2008, 19:13
| #3 |
| | Worm ? Hi, danke erstmal
__________________hier die fixnavi.txt lg _______________________________________________ Search Navipromo version 3.6.5 began on 16.09.2008 at 19:56:46,65 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Lucian" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.13 Filesystem type : NTFS Search done in normal mode *** Searching for installed Software *** Favorit *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\******\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\****\lokale~1\anwend~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\*****\startm~1\progra~1" *** *** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\******\lokale~1\anwend~1" * * Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Search files *** *** Search specific Registry keys *** HKEY_CURRENT_USER\Software\Lanconfig found ! *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\*******\lokale~1\anwend~1" : icsgo.dat found ! icsgo.exe found ! icsgo_nav.dat found ! icsgo_navps.dat found ! * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate found ! Electronic-Group certificate found ! Montorgueil certificate not found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 16.09.2008 at 20:06:54,37 *** |
|
16.09.2008, 19:40
| #4 |
| /// TB-Ausbilder | Worm ? Hi, das sieht gut aus  Mach bitte damit weiter:
lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
16.09.2008, 19:53
| #5 |
| | Worm ? cleannavi.txt nach dem neustart Navipromo Removal version 3.6.5 started on 16.09.2008 at 20:43:39,09 Fix running from C:\Programme\navilog1 Actual User Account : "******" Updated on 22.08.2008 at 17h30 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Internet Explorer : 7.0.5730.13 Filesystem type : NTFS Automatic removal with Catchme and GNS results Cleanning stage done on Reboot *** fsbl1.txt not found *** (Check that Catchme found nothing in Search Mode) *** Deleting with Backups GenericNaviSearch results *** * Deletion in "C:\WINDOWS\System32" * * Deletion in "C:\Dokumente und Einstellungen\*****\lokale~1\anwend~1" * * Deletion in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Deleting folders in "C:\WINDOWS" *** *** Deleting folders in "C:\Programme" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" *** *** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\******\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\*******\lokale~1\anwend~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** *** Deleting folders in "C:\Dokumente und Einstellungen\******\startm~1\progra~1" *** *** Deleting folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** *** Deleting files *** *** Deleting temporary files *** Cleaning of C:\WINDOWS\Temp done ! Cleaning of C:\Dokumente und Einstellungen\******\lokale~1\Temp done ! *** Complementary Search *** (Search specific files) 1)Deletion with backups new Instant Access files: 2)Heuristic search and deletion with backups : * In "C:\WINDOWS\system32" * * In "C:\Dokumente und Einstellungen\******\lokale~1\anwend~1" * icsgo.exe found ! Copy icsgo.exe done ! icsgo.exe deleted ! icsgo.dat found ! Copy icsgo.dat done ! icsgo.dat deleted ! icsgo_nav.dat found ! Copy icsgo_nav.dat done ! icsgo_nav.dat deleted ! icsgo_navps.dat found ! Copy icsgo_navps.dat done ! icsgo_navps.dat deleted ! C:\WINDOWS\prefetch\icsgo*.pf found ! Copy C:\WINDOWS\prefetch\icsgo*.pf done ! C:\WINDOWS\prefetch\icsgo*.pf deleted ! * In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * *** Copy Registry to Safebackup folder *** Backing up Registry done ! *** Cleaning Registry *** Registry cleaned *** Certificates *** Egroup Certificate deleted ! Electronic-Group Certificate deleted ! Montorgueil Certificate not found ! OOO-Favorit Certificate deleted ! Sunny-Day-Design-Ltd Certificate not found ! *** Cleaning stage complete on 16.09.2008 at 20:49:32,23 *** lg sirpunk |
|
16.09.2008, 20:09
| #6 |
| /// TB-Ausbilder | Worm ? Wie gehts dem Rechner? lg myrtille
__________________ --> Worm ? |
|
16.09.2008, 20:28
| #7 |
| | Worm ? Wahnsinn, bis jetzt öffnet sich kein POP UP Fenster mehr und alles funktioniert so wie es soll. Vielen vielen dank, kann ich mich irgendwie erkenntlich zeigen ... außer einem wirklich ernst gemeinten vielen lieben Dank. _________________________________________________ Noch eine andere Frage kann man irgendwie lernen solche Files auszulesen. Würde gerne wissen wie man erkennt was falsch ist und was man dagegen tun kann. BZW was ich eigentlich grade gemacht habe und was dagegen. Vielen vielen lieben Dank SirPunk |
|
16.09.2008, 20:39
| #8 |
| /// TB-Ausbilder | Worm ? Hi, du hattest dir Navipromo eingefangen, eine Rootkitgeschützte Adware. Diese Malware wird häufig mit MessengerSkinner, HotTVPlayer, SudoPlanet und anderne Porgrammen installiert. Ein möglicher Test gegen Malware ist die Kontrolle bei virustotal. Außerdem ist es wichtig mit den möglichst aktuellen Programmen im Netz untewegs zu sein, damit die Malware keine Schwachstellen ausnutzen kann. Deinstalliere bitte noch Navilog über Start->Systemsteuerung->Software. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
|
| Themen zu Worm ? |
| 0 bytes, antivirus, bho, bonjour, computer, diagnostics, down, einstellungen, explorer, firewall, frage, g data, gdfwsvc.exe, handel, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, log file, pop up fenster, problem, programme, refresh, security, software, spyware, system, userinit.exe, windows, windows xp |
Linear-Darstellung
