|
Log-Analyse und Auswertung: Bitte Hilfe an LaienWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.08.2004, 16:09 | #1 |
| Bitte Hilfe an Laien Hallo @all, ich habe einen Trojaner auf meinem Rechner,kriege ihn aber nicht weg. Habe auch schon einiges gemacht,was hier beschrieben war,aber sicher nicht richtig. Meldung bei kaspersky..Zu überprüfende Datei: _explorer.cab _explorer.cab Archive: CAB _explorer.cab/explorer.exe Infiziert: TrojanDownloader.Win32.Small.or _explorer.cab/start26.inf Ok (explorer.cab habe ich erst mal umbenannt) mein log sieht so aus Logfile of HijackThis v1.98.2 Scan saved at 16:53:30, on 31.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\WINNT\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINNT\System32\PGPsdkServ.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Speed Disk\nopdb.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZONELABS\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Programme\Network Associates\PGP for Windows 2000\PGPservice.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\qttask.exe C:\WINNT\system32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink\PowerVCRII\Agent.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\ICQPlus\vplus.exe C:\Programme\Microsoft Office 97\Office\OSA.EXE C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Mail Inspector\minspect.exe C:\Programme\CASIO\Photo Loader\Plauto.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\WINNT\System32\svchost.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINNT\System32\HPZipm12.exe C:\Dokumente und Einstellungen\RALF1\Eigene Dateien\eigenes\hijack\HijackThis.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.friseursalon-franz.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TectalogSettings] regedit /s c:\tecsetts.reg O4 - HKLM\..\Run: [EumexInst] C:\Programme\TELEDAT\WCOM\SETUP.EXE O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [system] C:\WINNT\system32\lssas.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [system] C:\WINNT\system32\lssas.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office 97\Office\OSA.EXE O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Mail Inspector 2000.lnk = C:\Programme\Mail Inspector\minspect.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office10\OSA.EXE O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{08B985B4-3BF1-41CF-B186-1E006818657C}: NameServer = 192.168.52.50 O17 - HKLM\System\CS1\Services\Tcpip\..\{08B985B4-3BF1-41CF-B186-1E006818657C}: NameServer = 192.168.52.50 O17 - HKLM\System\CS2\Services\Tcpip\..\{08B985B4-3BF1-41CF-B186-1E006818657C}: NameServer = 192.168.52.50 O17 - HKLM\System\CS3\Services\Tcpip\..\{08B985B4-3BF1-41CF-B186-1E006818657C}: NameServer = 192.168.52.50 wer kann mir helfen ? Danke eilenburger |
31.08.2004, 17:13 | #2 |
| Bitte Hilfe an Laien Halli Hallo,
__________________ich mache mich mal wieder nützlich Hier das, was Du bitte fixen solltest : R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ der hier ist mir auch nicht geheuer, weil er irgendwas mit der regedit anstellt, bitte auch fixen : O4 - HKLM\..\Run: [TectalogSettings] regedit /s c:\tecsetts.reg Überdies sind auch folgende Trojaner-Einträge zu fixen : O4 - HKLM\..\Run: [system] C:\WINNT\system32\lssas.exe O4 - HKCU\..\Run: [system] C:\WINNT\system32\lssas.exe Ans Herz lege ich Dir den allseits beliebten Rat : Lade Dir eScan runter und einmal im Abgesicherten Modus rüberlaufen lassen (achja, und BITTE fixe die Sachen auch im abgesichterten Modus da Du sonst schneller wieder Probleme hast als Du Piep sagen kannst)
__________________ |
31.08.2004, 19:45 | #3 |
| Bitte Hilfe an Laien Hallo FancyAndy !
__________________vielen Dank,habe alles im abgesicherten Modus gemacht und es scheint alles clean zu sein. Ich benutze momentan Opera.Was ist mit Netscape,ist der zu gebrauchen ? gruss eilenburger |
31.08.2004, 21:07 | #4 | |
| Bitte Hilfe an LaienZitat:
Also wenn noch was sein sollte, immer Fragen. Gruß Andy
__________________ Fragen, die die Welt nicht braucht (oder doch ?) Wie setze ich mein System neu auf ? |
Themen zu Bitte Hilfe an Laien |
.inf, adobe, bho, button, cs3, cyberlink, dateien, einstellungen, helfen, hijack, hijackthis, hilfe, http://www.google.com, infiziert, internet, internet explorer, log, meinem, microsoft, office, officejet, programme, regedit, seite, software, sun java, system, system32, tcpip, trojaner, update, usb, windows |