Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich finde den Fehler nicht und weiß nicht weiter!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.01.2009, 01:03   #1
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Unglücklich

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo!!
Seit etwa 2 Wochen läuft das Internet bei mir nicht richtig und zuletzt gar nicht mehr. Der Internet Explorer öffnete nicht mehr, die letzten Tage davor waren schon Probleme zu erkennen: beim googlen fand er keine richtigen Ergebnisse mehr, und laufend öffnete er Werbefenster.
Ein separates Pokerprogramm lief allerdings einwandfrei.
Habe mir heute Firefox draufgeladen, jetzt komme ich zwar wieder ins Internet, aber so richtig will er noch nicht, ist noch langsam und googlen klappt auch nicht so.

Hab hier schon einiges nachgelesen, komme aber einfach nicht hinterher, hab von PC nicht so die Ahnung.
Habe HijackThis durchlafen lassen, hier die Auswertung:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:46:06, on 18.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Fighters\configservice.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fighters\licenseservice.exe
C:\Programme\Fighters\updateservice.exe
C:\Programme\Fighters\ScannerService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\dokumente und einstellungen\m\lokale einstellungen\anwendungsdaten\iokck.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\programme\fighters\spywarefighter\SPYWAREfighterTray.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\Fighters\spywarefighter\SpywarefighterUser.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [iokck] "c:\dokumente und einstellungen\m\lokale einstellungen\anwendungsdaten\iokck.exe" iokck
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab
O16 - DPF: {7318A953-6BDA-4266-A2BC-A8912CD66E82} (O2DM DLMCtl Class) - https://music.o2online.de/O2DM.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02B98235-94ED-46BC-847F-BAC45E1D041D}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{02B98235-94ED-46BC-847F-BAC45E1D041D}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{02B98235-94ED-46BC-847F-BAC45E1D041D}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: PTK License-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-18668899 - SPAMfighter - C:\Programme\Fighters\configservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
--
End of file - 8044 bytes


Kann mir jemand sagen, was ich noch tun kann?
Trau mich gar nicht mehr auf Internet-Banking oder andere Seiten zu gehen, weil ich nicht weiß was dahinter steckt!

Ich hoffe es ist nicht zuviel verlangt, wenn Ihr mir sagen könnt was ich tun muß, was gelöscht werden muß, oder so, ich habe echt keine Ahnung....

Vielen Dank schon mal im Voraus!!!

Alt 18.01.2009, 01:09   #2
Mr.Vain
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!





Folgende Dateien bei VirusTotal - Free Online Virus and Malware Scan
hochladen und auswerten lassen
Code:
ATTFilter
 c:\dokumente und einstellungen\m\lokale einstellungen\anwendungsdaten\iokck.exe
         
Ergebniss bitte posten.

Sonst ist der Log sauber.

2. --> Bitte alle Toolbars unter --> Systemsteuerung --> Programme deinstallieren!

3. --> Systemscan mit Avira Antivir und Malwarebytes machen.

Meist können auch Fehlerhafte Konfigurationen oder Serverüberlastungen deines Providers Ursache des langsamen Internets sein
__________________


Alt 18.01.2009, 11:28   #3
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Lächeln

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo Mr. Vain!!
Erstmal vielen Dank für die schnelle Antwort!
Hab vorhin erstmal die Datei auswerten lassen, hier das Ergebnis:

Datei iokck.exe empfangen 2009.01.18 09:35:04 (CET)
Status: Beendet
Ergebnis: 1/39 (2.56%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.18 -
AhnLab-V3 2009.1.15.0 2009.01.17 -
AntiVir 7.9.0.57 2009.01.17 -
Authentium 5.1.0.4 2009.01.17 -
Avast 4.8.1281.0 2009.01.16 -
AVG 8.0.0.229 2009.01.17 -
BitDefender 7.2 2009.01.18 -
CAT-QuickHeal 10.00 2009.01.17 -
ClamAV 0.94.1 2009.01.18 -
Comodo 934 2009.01.17 -
DrWeb 4.44.0.09170 2009.01.18 -
eSafe 7.0.17.0 2009.01.15 -
eTrust-Vet 31.6.6312 2009.01.17 -
F-Prot 4.4.4.56 2009.01.17 -
F-Secure 8.0.14470.0 2009.01.18 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.18 -
Ikarus T3.1.1.45.0 2009.01.18 -
K7AntiVirus 7.10.594 2009.01.17 -
Kaspersky 7.0.0.125 2009.01.18 -
McAfee 5498 2009.01.17 -
McAfee+Artemis 5498 2009.01.17 -
Microsoft 1.4205 2009.01.18 -
NOD32 3774 2009.01.17 a variant of Win32/Kryptik.EY
Norman 5.93.01 2009.01.16 -
nProtect 2009.1.8.0 2009.01.16 -
Panda 9.5.1.2 2009.01.17 -
PCTools 4.4.2.0 2009.01.17 -
Prevx1 V2 2009.01.18 -
Rising 21.12.61.00 2009.01.18 -
SecureWeb-Gateway 6.7.6 2009.01.17 -
Sophos 4.37.0 2009.01.18 -
Sunbelt 3.2.1835.2 2009.01.16 -
Symantec 10 2009.01.18 -
TheHacker 6.3.1.5.222 2009.01.17 -
TrendMicro 8.700.0.1004 2009.01.16 -
VBA32 3.12.8.10 2009.01.17 -
ViRobot 2009.1.17.1563 2009.01.17 -
VirusBuster 4.5.11.0 2009.01.17 -
weitere Informationen
File size: 219136 bytes
MD5...: 3a408531f5db5fd82bead66b21aa2a43
SHA1..: 48120ce1ad469ad263e93925286bd0f8ef67850e
SHA256: 844653440fd9e6438030f6dc47d19199adefbce6205b7e47dab0d006d1ef5e9d
SHA512: 6a32183b65686e37aa532fc27b3b9a8a1f9424c41f424212f443066b3777c85a
ddf03a7089303d227dcab70033df779bbd08315a33496dd299a2f133702c1c71
ssdeep: 6144:mXskVEnC8MwbPkuA8FrAtkY6rhvR9hna:3kgHZrA2lo
PEiD..: Armadillo v1.71
TrID..: File type identification
Windows Screen Saver (39.4%)
Win32 Executable Generic (25.6%)
Win32 Dynamic Link Library (generic) (22.8%)
Generic Win/DOS Executable (6.0%)
DOS Executable Generic (6.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4017a2
timedatestamp.....: 0x41b7b869 (Thu Dec 09 02:28:57 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x93c 0xa00 6.40 1522946a1640be30da1467e8569893c5
.rdata 0x2000 0xce4 0xe00 4.97 7ac2390c440a40a782af77dd4c7d7a56
.data 0x3000 0x33acc 0x33c00 7.41 7499f6316051848eaccfbe9c84b8d60a

( 10 imports )
> KERNEL32.dll: WaitNamedPipeA, GetFullPathNameA, GetConsoleCursorInfo, SetErrorMode, VirtualFree, ReleaseMutex, GetTapeParameters, DosDateTimeToFileTime, ExitThread, SetConsoleCursorPosition, CreateDirectoryExA, FreeResource, DebugBreak, GetVersion, GetModuleHandleA, WriteConsoleOutputCharacterA, SetupComm, WritePrivateProfileSectionA, GetFileType, SetEnvironmentVariableW, ConnectNamedPipe, ReleaseSemaphore, LeaveCriticalSection, MoveFileExA, IsBadStringPtrA, SetMailslotInfo, FileTimeToLocalFileTime, SizeofResource, lstrcpyA, SetConsoleWindowInfo, EnumResourceNamesW, GetPrivateProfileSectionW, SetVolumeLabelA, VirtualAlloc, GetHandleInformation, lstrlenA, SetSystemTime, GetStartupInfoA
> USER32.dll: OemToCharA, TabbedTextOutA, PeekMessageW, SetWindowTextW, SetUserObjectInformationW, GetMenuItemCount, GetMenuItemID, SystemParametersInfoW, OemToCharBuffA, CreateDialogIndirectParamA, DefDlgProcW, InsertMenuA, CopyAcceleratorTableA, SetCaretPos, GetNextDlgTabItem, PostQuitMessage, MsgWaitForMultipleObjects, IsChild, GetWindowContextHelpId, IsCharLowerW, MonitorFromPoint
> GDI32.dll: GetPixel, SetROP2, OffsetRgn, EnumMetaFile, GetTextExtentExPointA, SetDIBitsToDevice, SaveDC, EqualRgn, PlayMetaFileRecord, GetViewportExtEx
> comdlg32.dll: GetFileTitleW, GetSaveFileNameW
> ADVAPI32.dll: GetSecurityDescriptorSacl, DeleteService, IsValidSid, GetServiceKeyNameW, IsValidAcl, RegCreateKeyExA, RegEnumKeyExW
> OLEAUT32.dll: -, -, -
> COMCTL32.dll: ImageList_Duplicate, ImageList_Destroy
> VERSION.dll: GetFileVersionInfoA, GetFileVersionInfoSizeA, VerFindFileA
> WS2_32.dll: WSAJoinLeaf, WSANtohs, WSAGetQOSByName, WSAStringToAddressA, WSASetEvent
> MSVCRT.dll: _acmdln, exit, _XcptFilter, _exit, _endthread, _sys_errlist, _wsetlocale, printf, isleadbyte, _wchmod, mbstowcs, fclose, _mbsupr, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, __getmainargs

( 0 exports )

Das Ergebnis bei NOD 32 war rot geschrieben, heisst ja meistens nix Gutes...

Haba dann ICQ Tollbar gelöscht, Windows Live Tollbar ließ sich nicht löschen, ist der PC immer hängen geblieben.

Malwarebytes habe ich scannen lassen, Resultat:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1664
Windows 5.1.2600 Service Pack 3

18.01.2009 11:26:11
mbam-log-2009-01-18 (11-26-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 102247
Laufzeit: 1 hour(s), 6 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{648575B5-7480-4B95-AC4A-E756C3CA4332}\RP307\A0072316.exe (Rogue.AdorableCasino) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Rogue.WebMediaPlayer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\WebMediaPlayer.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.

So, ich hoffe Du kannst aus dem ganzen noch etwas ersehen.

Vielen Dank schon mal für Deine Tipps!
Bis später!!
__________________

Alt 18.01.2009, 11:51   #4
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Nochmal kurz als Anmerkung:
Auch nach den ganzen Maßnahmen läuft er langsam und googlen sieht immer noch aus, als ob er's verlernt hat, zeigt völlig abwegige Seiten an.
Soll ich den IE auch löschen?
Hab jetzt nur Panik, dass sich Firefox bald auch nicht mehr ins Internet einwählen kann.

Alt 18.01.2009, 12:33   #5
Mr.Vain
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hmn. Rogue Ware... ziemlich verzwicktes zeugs.

Lad dir CCleaner herunter und klick dich durch Extras --> Programme deinstallieren --> Als Textdatei speichern.

Log bitte reinposten.

Hast du die Funde von Malwarebytes gelöscht?


Alt 18.01.2009, 12:51   #6
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Also die Funde von Malwarebytes hab ich gelöscht, so wie das in der Anleitung auf der Seite stand und den Bericht dann hierher kopiert.

Den CCleaner hab ich schon, wußte aber nicht so recht was ich löschen kann und was nicht.

Ich kann doch jetzt nicht einfach alle Programme deinstallieren oder als Textdateien speichern, oder?
Welche soll ich denn nehmen??

(Ich weiß, wenn es um PC geht bin ich echt dämlich...)

Alt 18.01.2009, 12:53   #7
nochdigger
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo

Zitat:
Soll ich den IE auch löschen?
NEIN

Wie es aussieht hast du dir Adware Navipromo mit dem Webmediaplayer selbst installiert

Du solltest evtl. nochmal mit Navilog nachfassen
Zitat:
Bitte lade Dir Navilog von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.
poste das entstandene Log bitte hierher.


MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 18.01.2009, 13:26   #8
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



So, hab Navilog durchlaufen lassen, hier das Ergebnis:

Search Navipromo version 3.7.1 began on 18.01.2009 at 13:18:16,48

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.40GHz )
BIOS : Default System BIOS
USER : M ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 6.39.0.40
(Activated)


C:\ (Local Disk) - NTFS - Total:55 Go (Free:23 Go)
D:\ (CD or DVD)


Search done in normal mode

*** Searching for installed Software ***

Favorit

*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\WebMediaPlayer found !

*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\M\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\M\startm~1\progra~1" ***


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" *



*** Search files ***



*** Search specific Registry keys ***
!! Following keys are not certainly all infected !!

HKEY_CURRENT_USER\Software\Lanconfig

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iokck"="\"c:\\dokumente und einstellungen\\m\\lokale einstellungen\\anwendungsdaten\\iokck.exe\" iokck"


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" :

iokck.exe found !
iokck.dat found !
iokck_nav.dat found !
iokck_navps.dat found !

3)Certificates Search :

Egroup certificate found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search others known folders and files :



*** Search completed on 18.01.2009 at 13:23:40,01 ***


Kann man hieraus jetzt etwas erkennen?
Hoffentlich, ich bin echt schon am verzweifeln...

Aber danke, danke, danke, dass hier alle so hilfsbereit sind!!!

Alt 18.01.2009, 13:44   #9
nochdigger
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo

Zitat:
Kann man hieraus jetzt etwas erkennen?
Ja kann man
Zitat:
* In "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" :

iokck.exe found !
iokck.dat found !
iokck_nav.dat found !
iokck_navps.dat found !
Die fettmakierte findest du im HijackThis Log auch wieder
Zitat:
O4 - HKCU\..\Run: [iokck] "c:\dokumente und einstellungen\m\lokale einstellungen\anwendungsdaten\iokck.exe" iokck

Lass Navilog nun bitte mit der Option 2 laufen
Zitat:
  • Rufe das Programm bitte erneut auf und wähle die Option 2
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
    Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.
poste bitte wiederum das entstandene Log und berichte ob eine Besserung eingetreten ist.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 18.01.2009, 14:07   #10
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



So, hab das jetzt auch durchgeführt, folgendes Ergebnis kam:

Navipromo Removal version 3.7.1 started on 18.01.2009 at 13:55:22,31

Fix running from C:\Programme\navilog1

Updated on 02.01.2009 at 19h00 by IL-MAFIOSO

Microsoft Windows XP Home Edition ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.40GHz )
BIOS : Default System BIOS
USER : M ( Administrator )
BOOT : Normal boot

Antivirus : Avira AntiVir PersonalEdition Classic 6.39.0.40
(Activated)


C:\ (Local Disk) - NTFS - Total:55 Go (Free:23 Go)
D:\ (CD or DVD)


Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***

...\WebMediaPlayer ...deleting...
...\WebMediaPlayer deleted !


*** Deleting folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\M\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\M\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\M\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


C:\WINDOWS\prefetch\iokck*.pf found !
Copy C:\WINDOWS\prefetch\iokck*.pf done !
C:\WINDOWS\prefetch\iokck*.pf deleted !


* In "C:\Dokumente und Einstellungen\M\lokale~1\anwend~1" *


iokck.exe found !
Copy iokck.exe done !
iokck.exe deleted !

iokck.dat found !
Copy iokck.dat done !
iokck.dat deleted !

iokck_nav.dat found !
Copy iokck_nav.dat done !
iokck_nav.dat deleted !

iokck_navps.dat found !
Copy iokck_navps.dat done !
iokck_navps.dat deleted !


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***

Registry cleaned


*** Certificates ***

Egroup Certificate deleted !
Electronic-Group Certificate deleted !
Montorgueil Certificate not found !
OOO-Favorit Certificate deleted !
Sunny-Day-Design-Ltd Certificate not found !

*** Search others known folders and files ***

*** Cleaning stage complete on 18.01.2009 at 14:01:10,60 ***


Hab Firefox eben gestartet, ist immer noch langsam. Und googlen geht immer noch nicht...

Gibt es noch irgendwas, was man machen kann/muß???

Alt 18.01.2009, 14:44   #11
john.doe
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo Leonora,

da deine Helfer off sind, springe ich kurz ein.

GMER - Rootkit Detection
  • Lade GMER von hier
  • entpacke es auf den Dektop
  • Doppelklicke die gmer.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten
  • Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.

ciao, andreas

Alt 18.01.2009, 15:28   #12
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hi Andreas!
Erstmal danke für's einspringen!!
Hab Deine Anleitung befolgt, hier nun das Ergebnis:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-18 15:21:12
Windows 5.1.2600 Service Pack 3


---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Mozilla Firefox\firefox.exe[1500] kernel32.dll!ExitProcess 7C81CAFA 5 Bytes JMP 10002E50
.text C:\Programme\Mozilla Firefox\firefox.exe[1500] WS2_32.dll!connect 71A14A07 5 Bytes JMP 10002DB0
.text C:\Programme\Mozilla Firefox\firefox.exe[1500] WS2_32.dll!send 71A14C27 5 Bytes JMP 100029C0
.text C:\Programme\Mozilla Firefox\firefox.exe[1500] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 10002818
.text C:\Programme\Mozilla Firefox\firefox.exe[1500] WS2_32.dll!recv 71A1676F 5 Bytes JMP 10002510
.text C:\Programme\Mozilla Firefox\firefox.exe[1500] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 10002D64

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.14 ----

Kannst Du hieraus etwas erkennen?

Bis später!

Alt 18.01.2009, 15:33   #13
john.doe
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Ja, aber nicht das, was ich vermutet hatte. Nächster Versuch: http://www.trojaner-board.de/51871-a...tispyware.html

Poste anschliessen ein aktuelles HJT-Log.

ciao, andreas

Alt 18.01.2009, 17:47   #14
Leonora
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Hallo!
Hat etwas gedauert, der hat einundhalb Stunden gescannt...
Hier das Ergebnis:

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com - AntiAdware, AntiSpyware, AntiMalware!

Generated 01/18/2009 at 05:33 PM

Application Version : 4.24.1004

Core Rules Database Version : 3714
Trace Rules Database Version: 1689

Scan type : Complete Scan
Total Scan Time : 01:34:07

Memory items scanned : 439
Memory threats detected : 0
Registry items scanned : 5281
Registry threats detected : 1
File items scanned : 60328
File threats detected : 6

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\M\Cookies\m@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\M\Cookies\m@indextools[2].txt
C:\Dokumente und Einstellungen\M\Cookies\m@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\M\Cookies\m@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\M\Cookies\m@2o7[2].txt

Trojan.DNSChanger-Codec
HKU\S-1-5-21-32283627-3017378873-2721547834-1006\Software\fcn

Trojan.Service
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\SERVICE.EXE

Kann man hieraus jetzt noch etwas lesen??
Soll ich den Rest aus der Anweisung befolgen (Restore/Remove)??
Und minimal Boot??

HILFEEEEEE!!

Alt 18.01.2009, 17:56   #15
john.doe
 
Ich finde den Fehler nicht und weiß nicht weiter!! - Standard

Ich finde den Fehler nicht und weiß nicht weiter!!



Zitat:
Kann man hieraus jetzt noch etwas lesen??
Ja. Er hat zwei Sachen gefunden. Einer davon kann Probleme mit Internetverbindungen erklären.

Ist es denn jetzt besser geworden oder so wie vorher?

Zitat:
Soll ich den Rest aus der Anweisung befolgen (Restore/Remove)??
Und minimal Boot??
Was meinst du damit?

ciao, andreas

Antwort

Themen zu Ich finde den Fehler nicht und weiß nicht weiter!!
adobe, antivir, auswertung, avira, bho, dateien, einstellungen, explorer, fehler, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, microsoft, mozilla, object, programme, seiten, software, solution, system, windows, windows xp




Ähnliche Themen: Ich finde den Fehler nicht und weiß nicht weiter!!


  1. Weiß nicht weiter
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (35)
  2. Bluescreen ich weiß nicht weiter :(
    Alles rund um Windows - 23.08.2012 (2)
  3. hilfe weiß nicht weiter
    Mülltonne - 12.11.2008 (0)
  4. Weiß nicht weiter
    Mülltonne - 26.06.2008 (2)
  5. ich weiß nicht mehr weiter =(
    Log-Analyse und Auswertung - 23.06.2008 (9)
  6. WIN32.Agent.pz lässt sich nicht löschen ....ich weiß nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (5)
  7. Weiß nicht weiter!!??
    Log-Analyse und Auswertung - 22.05.2008 (13)
  8. Ich weiß nicht weiter ...
    Log-Analyse und Auswertung - 20.09.2007 (4)
  9. Ich weiß nicht weiter...
    Mülltonne - 01.06.2007 (0)
  10. Weiß nicht mehr weiter ...
    Log-Analyse und Auswertung - 30.04.2006 (5)
  11. Also ich weiß nicht mehr weiter...
    Log-Analyse und Auswertung - 12.09.2005 (18)
  12. Weiß nicht mehr weiter...
    Log-Analyse und Auswertung - 01.06.2005 (1)
  13. Weiß nicht weiter!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 08.05.2005 (2)
  14. Weiß nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (5)
  15. Finde Fehler nicht (mit Log)
    Log-Analyse und Auswertung - 21.11.2004 (9)
  16. Ich weiß nicht mehr weiter ...
    Plagegeister aller Art und deren Bekämpfung - 21.09.2004 (7)
  17. Ein Trojaner und ich weiß nicht weiter
    Plagegeister aller Art und deren Bekämpfung - 08.01.2004 (14)

Zum Thema Ich finde den Fehler nicht und weiß nicht weiter!! - Hallo!! Seit etwa 2 Wochen läuft das Internet bei mir nicht richtig und zuletzt gar nicht mehr. Der Internet Explorer öffnete nicht mehr, die letzten Tage davor waren schon Probleme - Ich finde den Fehler nicht und weiß nicht weiter!!...
Archiv
Du betrachtest: Ich finde den Fehler nicht und weiß nicht weiter!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.