| |
| |||||||
Log-Analyse und Auswertung: kill evidence etcWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.09.2004, 10:58
| #1 |
| |  kill evidence etc hi leutz, ich hab da ein prob: kennt das jemand hier zufällig.... auf dem desktop hab ich neuerdings 7 neue verknüpfungen : contact lenses, delete evidence, free mp3s, free platinum card, hot matchup, kill all spyware, kill xp popups, popup killer  löschen ist sinnlos... in der reg erscheind immer wieder der schlüssel aaa_soft unter hkey current user/software... das teil treibt mich noch in den wahnsinn... dazu kommt noch das beim öffnen des ie ,manchmal sich gleich eine seite zusätzlich öffnet (siehe oben verknüpf.) oder wenn ein popup erscheint wird es von diesem dingens auf meinem rechner übernommen... das beste ist das eben dieses kill evidence ein prog ist zum entfernen solcher sachen... die schweine haben diesen echt fiesen virus oder wat dat ist wohl selber programmiert um ihr scheiss proggi zu verkaufen... kleine anmerkung... hab schon einige virenscanner und spytools drüber laufen lassen ohne erfolg... und hier noch die log: Logfile of HijackThis v1.98.2 Scan saved at 19:34:30, on 02.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WFXSVC.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\WINNT\system32\vfdvqny.exe C:\WINNT\system32\wfxsnt40.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\zonelabs\zlclient.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\Chaos Records\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [zqwwontsxqn] C:\WINNT\system32\vfdvqny.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\zonelabs\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Chaos Records.CHAOS2\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{74964A18-0B3B-4A7F-A7E0-FDB736C86A5F}: NameServer = 217.237.151.97 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C3DA9C-8F96-4E2E-961F-76EDDDBDD40A}: NameServer = 194.25.2.129 was ist den das eigentlich C:\WINNT\system32\lsass.exe hab ich noch nie gelesen besten dank taos |
| Themen zu kill evidence etc |
| adobe, bho, desktop, document, download, einstellungen, entfernen, explorer, fiese, hijack, hijackthis, home, immer wieder, internet, internet explorer, log, meinem, microsoft, popups, programme, scan, senden, spyware, symantec, system, t-online, tcpip, temp, unter, virus, windows, öffnet |
Baum-Darstellung