![]() |
|
Log-Analyse und Auswertung: HILFE! Trojaner, Abstürze und mehr...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() | #1 |
| ![]() HILFE! Trojaner, Abstürze und mehr... Hallo zusammen, ich habe ein riesen Problem mit ein paar Trojanern, die sich scheinbar schon etwas länger in meinem Rechner tummeln... Aufgefallen ist mir das ganze als eine neue Startseite im IE aufgetaucht ist ("res://C:\WINDOWS\system32\cnzum.dll/index.html#96676") - ich hab sofort Norton drüberlaufen lassen, allerdings ohne Erfolg...) Schon leicht angesäuert hab ich dann Norton runtergeschmissen und AntiVir installiert, und siehe da - über 40 Trojanerverseuchte Dateien wurden gefunden und gelöscht. Leider hat das mein Problem nicht ganz gelöst, denn obwohl AntiVir bei seinem Scan ein virenfreies System anzeigt, ploppt im 10 Sekunden-Tkt folgendes AntiVir-Warnfenster auf: "ACHTUNG! C:\WINDOWS\SYSTEM32\JAVARE.DLL Ist das Trojanische Pferd TR/Dldr.Agent.BQ.1" bzw. "ist das Trojanische Pferd TR/Spy.Tofger.BI.2" bzw. "ist das Trojanische Pferd TR/Spy.Tofger.BI.5" wobei scheinbar ziemlich viele dateien verseucht sind, da andauernd vor anderen Dateien gewarnt wird. In diesem Forum hab ich dann gelesen daß eine Überprüfung mit e-scan im abgesicherten Modus helfen könnte, doch leider stürzt Windows´immer beim scan von "C:\I386\Lang\.." ab; beim nachfolgenden blauen "Schwerer-Ausnahmefehler-Bildschirm" steht dann "KERMEL DATA INPAGE ERROR". Scheinbar ist die Datei "C:\I386\Lang\U4L2CE.SWF" dafür verantwortlich...sagt zumindest AntiVir, das auch immer im abgesicherten Modus abschmiert.Diese Datei müsste ich doch eigentlich löschen können,oder? *.swf ist doch nur die Small Web Format Endung für Flashfilmchen?! Ein weiteres Problem ensteht beim booten von Windows in "Normal-Modus", da hier automatisch Adobe Illustartor gestartet wird, um eine Datei mit dem Namen "" (ja, so scheint die wirklich zu heißen) zu öffnen, was natürlich nicht klappt da die Datei nicht gefunden wird. Ich habe daraufhin Illustrator deinstalliert, wobei jetzt nach Illustrator gefragt wird um jene Datei zu öffnen. Ich weiß leider wirklich nicht mehr weiter. Ich habe mein System im normalen Windows-Modus mit Norton, AntiVir, a², CWShredder und e-scan überprüft (immer schön den alten Virenscanner deinstalliert bevor ich den neuen draufgepackt habe...), das Trojanerproblem scheint aber (wie die Warnungs-Popups von AntiVir zeigen) nicht behoben zu sein - im Gegenteil: Ich habe den Eindruck das sich das ganze dadurch noch verschlimmert hat (siehe Totalabsturz und Illustrator...) ![]() Als scheinbar letzte Möglichkeit hab ich mir dann HijackThis runtergeladen, allerdings beschränken sich meine Computerkentnisse eigentlich auf Diablo II daddeln, Grafikbearbeitung und rumsurfen, dementsprechend verstehe ich leider hier nur Bahnhof welche Dateien gefährlich, unnötig oder sogar wichtig sind... Ich poste jetzt einfach mal das Logfile in der Hoffnung daß ihr mir weiterhelfen könnt... Logfile of HijackThis v1.97.7 Scan saved at 14:28:04, on 10.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Nhksrv.exe C:\Eigene Programme\AntiVir\AVGUARD.EXE C:\Eigene Programme\AntiVir\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\ircomm2k.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe C:\WINDOWS\mfcms32.exe C:\Eigene Programme\AntiVir\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\Explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\DEBUGSM.INI:ikoph C:\Dokumente und Einstellungen\Philip Schmidt-Beer\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676 F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {7A23E735-EC07-BB26-5CF0-DCDEBB6EADC9} - C:\WINDOWS\sdkvf.dll (file missing) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [mfcms32.exe] C:\WINDOWS\mfcms32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Eigene Programme\AntiVir\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKLM\..\RunOnce: [ikoph] C:\WINDOWS\DEBUGSM.INI:ikoph O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Info Starter.lnk = C:\Eigene Programme\D-Info\dinfostarter.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: http://www.cthulhu-forum.de O15 - Trusted Zone: http://www.forumfactory4.de O15 - Trusted Zone: http://cthulhu.rpg-forum.net O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...208.5041782407 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66 O17 - HKLM\System\CS1\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66 Besten Dank im voraus, ist eine super Sache das es so ein Forum gibt wo es Hilfe für Computer-Analphabeten wie mich gibt... ![]() Besten Dank Philip |
Themen zu HILFE! Trojaner, Abstürze und mehr... |
.pdf, abgesicherten modus, adobe, antivir, bho, booten, desktop, drivers, druck, einstellungen, error, file missing, format, google, helfen, hijack, hijackthis, hilfe, internet, internet explorer, logfile, meinem, monitor, nicht gefunden, object, problem, rundll, scan, shockwave, software, super, system, tcpip, tr/spy., trojaner, windows, windows xp |