Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W32.Aspam + Easy Search

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 14.07.2004, 22:02   #1
Tallica0815
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



Moin!

Bei mir blinken seit neustem immer Windows Fiel Protection Meldungen auf, die W32.Aspam melden , des weiter lässt sich easy search von der about:blank Startseite nicht mehr entfernen.

AdAware, Antivir, Pest Patrol, S&D sowie CWShredder kriegen das Probelm nicht gelöst.

E-Scan läuft leidre nicht, da trotz frischem Downlaod die Meldung kommt, dass die Virus-Sig älter als 30 Tage wäre.

HiJackThis! sagt mir das hier:

Logfile of HijackThis v1.98.0
Scan saved at 22:56:23, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
g:\Programme\AVPersonal\AVGUARD.EXE
g:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
G:\SCANJET\PrecisionScanPro\HPLamp.exe
C:\WINNT\system32\dla\tfswctrl.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
G:\Programme\SlySoft\AnyDVD\AnyDVD.exe
G:\Programme\AVPersonal\AVGNT.EXE
G:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\PestPatrol\PPControl.exe
G:\Programme\PestPatrol\PPMemCheck.exe
G:\Programme\PestPatrol\CookiePatrol.exe
C:\WINNT\system32\ctfmon.exe
G:\Programme\Freecom SYNC\FCSYNC.exe
G:\Programme\Miranda\miranda32.exe
G:\Programme\SpamPal\spampal.exe
C:\WINNT\system32\taskmgn.exe
G:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Tallica1\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - g:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINNT\system32\dla\tfswshx.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINNT\system32\winnet.dll
O2 - BHO: (no name) - {8DFEB4A9-E62A-4F3E-B170-4BEAB98CE6CB} - C:\WINNT\system32\mfplay.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "g:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HP Lamp] G:\SCANJET\PrecisionScanPro\HPLamp.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "g:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "g:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] G:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [AVGCtrl] g:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] g:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PestPatrol Control Center] G:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] G:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] G:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Miranda IM.lnk = G:\Programme\Miranda\miranda32.exe
O4 - Startup: SpamPal.lnk = G:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Freecom SYNC.lnk = G:\Programme\Freecom SYNC\FCSYNC.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - G:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - G:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O18 - Filter: text/html - {11AE700E-D0D3-4D33-A821-800C53738C8F} - C:\WINNT\system32\mfplay.dll
O18 - Filter: text/plain - {11AE700E-D0D3-4D33-A821-800C53738C8F} - C:\WINNT\system32\mfplay.dll



Wäre super, wenn ihr mir weiterhelfen könntet!

Danke schonmal

Alt 14.07.2004, 22:04   #2
mmk
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



Hallo!

(U.a.) die beiden hier sehen sehr ungesund aus:
C:\WINNT\system32\taskmgn.exe
C:\WINNT\system32\dla\tfswctrl.exe

Prüf die Dateien bitte hier:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?
__________________


Alt 14.07.2004, 22:09   #3
Tallica0815
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



taskmgn.exe.mwt - packed with UPX
taskmgn.exe.mwt Infiziert: not-virus:Hoax.Win32.Likesurf


Statistiken:
Bekannte Viren: 92860 Updated: 15-07-2004
Größe der Datei (Kb): 6 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


Zu überprüfende Datei: tfswctrl.exe

tfswctrl.exe Ok


Statistiken:
Bekannte Viren: 92860 Updated: 15-07-2004
Größe der Datei (Kb): 105 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

ich sehe grad auch, dass bei mir svchost 2x läuft!? irgendwie doch sehr eigenartig, oder?
__________________

Alt 14.07.2004, 22:21   #4
mmk
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



Sorry, C:\WINNT\system32\dla\tfswctrl.exe gehört auch zu HP, ist also OK. Die andere kannst du aber aus dem System rausnehmen.

Alt 14.07.2004, 22:32   #5
mmk
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



IE-/Windows-Explorer-Fenster schließen, markieren, dann fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINNT\system32\winnet.dll
O2 - BHO: (no name) - {8DFEB4A9-E62A-4F3E-B170-4BEAB98CE6CB} - C:\WINNT\system32\mfplay.dll

O18 - Filter: text/html - {11AE700E-D0D3-4D33-A821-800C53738C8F} - C:\WINNT\system32\mfplay.dll
O18 - Filter: text/plain - {11AE700E-D0D3-4D33-A821-800C53738C8F} - C:\WINNT\system32\mfplay.dll


Alt 15.07.2004, 19:07   #6
Tallica0815
 
W32.Aspam + Easy Search - Standard

W32.Aspam + Easy Search



Besten Dank! Das Problem ist gelöst

Antwort

Themen zu W32.Aspam + Easy Search
adobe, antivir, bho, blinken, boot, browser, button, canon, control center, dateien, downlaod, download, excel, explorer, google, internet, internet explorer, links, microsoft, nvcpl.dll, obfuscated, programme, rundll, rundll32.exe, seite, software, super, system, system32, temp, update, windows




Ähnliche Themen: W32.Aspam + Easy Search


  1. Easy Speed PC und VuuPC
    Plagegeister aller Art und deren Bekämpfung - 01.08.2014 (11)
  2. Easy-Box wird angegriffen!
    Überwachung, Datenschutz und Spam - 06.01.2014 (6)
  3. Search.EasyLifeApp.com bzw. Easy Life entfernen
    Anleitungen, FAQs & Links - 02.12.2013 (2)
  4. easy scan/ Otl
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (12)
  5. w32.aspam.trojan.b
    Plagegeister aller Art und deren Bekämpfung - 22.02.2006 (6)
  6. Problem mit easy-search und Message Boxen
    Log-Analyse und Auswertung - 18.04.2005 (3)
  7. easy-search.biz
    Log-Analyse und Auswertung - 27.03.2005 (9)
  8. easy search
    Log-Analyse und Auswertung - 27.03.2005 (3)
  9. Easy-search.biz
    Log-Analyse und Auswertung - 14.03.2005 (1)
  10. Easy-Search als Startseite
    Log-Analyse und Auswertung - 11.11.2004 (3)
  11. http//easy-search.biz Hilfe!!!
    Log-Analyse und Auswertung - 10.11.2004 (8)
  12. easy-search.biz
    Log-Analyse und Auswertung - 31.10.2004 (8)
  13. easy-search.biz überschreibt IE Startseite
    Log-Analyse und Auswertung - 25.08.2004 (3)
  14. Wie krieg ich Casino Palazzo weg! Easy search ließ sich wegfixen
    Log-Analyse und Auswertung - 12.08.2004 (8)
  15. easy-search.biz
    Log-Analyse und Auswertung - 23.07.2004 (4)
  16. easy-search.biz u. casino palazzo verseucht
    Plagegeister aller Art und deren Bekämpfung - 16.07.2004 (17)
  17. Hijack durch easy-search.biz
    Plagegeister aller Art und deren Bekämpfung - 06.06.2004 (4)

Zum Thema W32.Aspam + Easy Search - Moin! Bei mir blinken seit neustem immer Windows Fiel Protection Meldungen auf, die W32.Aspam melden , des weiter lässt sich easy search von der about :blank Startseite nicht mehr entfernen. - W32.Aspam + Easy Search...
Archiv
Du betrachtest: W32.Aspam + Easy Search auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.