| |
| |||||||
Log-Analyse und Auswertung: Versteckte Dateien-System32 (Antivir)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.11.2008, 23:01
| #1 |
| Gast |  Versteckte Dateien-System32 (Antivir) Hallo,... ich habe habe folgendes Problem: Mein Antivir findet seit neusten 5 versteckte Dateien! Ich habe diese Dateien in die Quarantäne verschoben. Ich wollte sie nicht einfach löschen, weil ich kein Fachman, in diesen Dingen, bin. Alle Funde befinden sich im folgenden Ordner: c:\windows\system32\c_617039.nls ... 49.nls... 69.nls...19.nls . Ich habe den PC dann beu gestartet im Abgesicherten Modus. Eine Komplett Überprüfung gestartet. -Es wurde nichts beanstandet. -Neu gestartet. -Wieder 5 Meldungen. Das geht jetzt jedes mal so, obwohl ich die Datein in Quarantäne geschoben habe. Was soll ich machen? Mein System: Windows Xp-Media. dualcore 1,86, 1024mb ram, sericepak 3. alle Scanner (antivir, spybot) auf neustem Stand. Benutze Firefox. Rechner läuft ohne Probleme. http://www.hijackthis.de/de#anl ->findet nichts "negatives" Mein log: (Antivir log kommt morgen nach...) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:40:04, on 17.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ehome\ehtray.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Windows Defender\MSASCui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\OpenOffice.org 2.1\program\soffice.exe C:\Programme\OpenOffice.org 2.1\program\soffice.BIN C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\dllhost.exe c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.5.0_11\bin\jucheck.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] c:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175093537515 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - c:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - c:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cycling Manager 2007 Drivers Auto Removal (pr2akt6c) (pr2akt6c) - Cyanide - C:\WINDOWS\system32\pr2akt6c.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe -- End of file - 8179 bytes |
|
17.11.2008, 23:04
| #2 |
  | Versteckte Dateien-System32 (Antivir) Hallo,
__________________seit wann genau tritt das Problem auf? Hast du kurz zuvor irgendein Programm gedownloaded/ausgeführt oder einen Emailanhang geöffnet? Das sieht nämlich stark nach Silentbanker aus. Mach bitte mal folgendes: Blacklight scannen lassen
__________________ |
|
17.11.2008, 23:08
| #3 |
| Gast | Versteckte Dateien-System32 (Antivir) Danke für die schnelle Antwort!
__________________Was bewirkt das genau? Seit ich heute ne pdf aufgemacht habe. Leider ka. welche Seite das war...->Der Rechner rackerte zimlich, da bin ich stuzig geworden. ca. 8 Stunden her! Ich bin nicht ganz naiv^^, also keine mail etc., sondern ne Hausarbeit^^ |
|
17.11.2008, 23:10
| #4 | |
| | Versteckte Dateien-System32 (Antivir)Zitat:
Deswegen wäre es wichtig zu wissen, was der Auslöser des Problems war.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
17.11.2008, 23:12
| #5 | |
| Gast | Versteckte Dateien-System32 (Antivir)Zitat:
|
|
17.11.2008, 23:14
| #6 |
| | Versteckte Dateien-System32 (Antivir) BlackLight ist ein Rootkitscanner, der z.Z. der Einzigste (mir bekannte) ist, der Silentbanker erkennt.
__________________ --> Versteckte Dateien-System32 (Antivir) |
|
17.11.2008, 23:17
| #7 |
| Gast | Versteckte Dateien-System32 (Antivir) OK, klingt sinnvoll. Halt mich für dusselich, aber welches genau soll ich runter laden? Die heissen alle anders. http://www.f-secure.com/security_center/malware_removal_tools.html |
|
17.11.2008, 23:24
| #8 |
| Gast | Versteckte Dateien-System32 (Antivir) Ah,...verdammt. Ich hab nicht weit genug runter gescrollt...... Tut mir leid  |
|
17.11.2008, 23:26
| #9 |
| | Versteckte Dateien-System32 (Antivir) Hier BlackLight: ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe Btw. willst du bis dahin meine Fragen beantworten? 
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
17.11.2008, 23:27
| #10 |
| Gast | Versteckte Dateien-System32 (Antivir) habs schon... jo... bis jetzt "5 items found"!!! |
|
17.11.2008, 23:29
| #11 |
| Gast | Versteckte Dateien-System32 (Antivir) Dann einfach auf cleaning und das wars? |
|
17.11.2008, 23:31
| #12 |
| | Versteckte Dateien-System32 (Antivir) Nein, Log bitte posten.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
17.11.2008, 23:41
| #13 |
| Gast | Versteckte Dateien-System32 (Antivir) 11/17/08 23:32:06 [Info]: BlackLight Engine 2.2.1092 initialized 11/17/08 23:32:06 [Info]: OS: 5.1 build 2600 (Service Pack 3) 11/17/08 23:32:06 [Note]: 7019 4 11/17/08 23:32:06 [Note]: 7005 0 11/17/08 23:32:14 [Note]: 7006 0 11/17/08 23:32:14 [Note]: 7011 1816 11/17/08 23:32:14 [Note]: 7035 0 11/17/08 23:32:14 [Note]: 7026 0 11/17/08 23:32:14 [Note]: 7026 0 11/17/08 23:32:15 [Note]: FSRAW library version 1.7.1024 11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617019.nls 11/17/08 23:34:21 [Note]: 10002 2 11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617030.nls 11/17/08 23:34:21 [Note]: 10002 2 11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617039.nls 11/17/08 23:34:21 [Note]: 10002 2 11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617049.nls 11/17/08 23:34:21 [Note]: 10002 2 11/17/08 23:34:21 [Info]: Hidden file: c:\WINDOWS\system32\c_617069.nls 11/17/08 23:34:21 [Note]: 10002 2 11/17/08 23:35:34 [Note]: 2000 1012 |
|
17.11.2008, 23:46
| #14 | |
| | Versteckte Dateien-System32 (Antivir) Das währe am Besten: http://www.trojaner-board.de/51262-a...sicherung.html Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
17.11.2008, 23:50
| #15 |
| Gast | Versteckte Dateien-System32 (Antivir) gibts keine andere lösung?????? das wäre grad das schlimmste,... |
|
| Themen zu Versteckte Dateien-System32 (Antivir) |
| adobe, antivir, antivirus, avira, bho, dateien, defender, explorer, hkus\s-1-5-18, hotkey, internet, internet explorer, log, löschen, messenger, micro, microsoft, mozilla, ordner, pdf, problem, programme, scan, shortcut, software, system, was soll ich machen, windows, windows defender, windows xp sp3, xp sp3 |
Linear-Darstellung
