|
Log-Analyse und Auswertung: Hilfe bei AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.09.2004, 08:51 | #1 |
| Hilfe bei Auswertung Hallo, brauche bitte eure Hilfe. Habe wenig Ahnung von PCs. Habe mir diesen Trojaner eingefangen: C:\ explorer.cab ArchiveType: CAB (Microsoft) --> explorer.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Small.OR Hab mir gestern dann HijackThis runtergeladen, weiss aber nicht, wie ich damit umgehen soll. Hier der Logfile: Logfile of HijackThis v1.98.2 Scan saved at 09:29:05, on 19.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\intl.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\DitExp.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\Programme\AOL 8.0\waol.exe C:\Programme\AOL 8.0\shellmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Valdas Jelis\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC SE\routcnf.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: officejet 6100.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab28177.cab O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://www.fullmovies.nl/tools/videoplayer/player.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28177.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab28177.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BD782E97-D01D-4C44-94F3-DE4C777014DD}: NameServer = 205.188.146.146 |
19.09.2004, 12:06 | #2 |
| Hilfe bei Auswertung Hallo Simna,
__________________- besuche bitte www.windowsupdate.com und lade Dir das aktuelle Service Pack runter. - überprüfe mit dem online-scan von : Kaspersky C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe Ergebnis? - fixe mit Hijack This im abgesicherten Modus: O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [Classes] C:\WINDOWS\System32\intl.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HomeNet Control.lnk = ? O4 - Global Startup: officejet 6100.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {8B22270A-71D9-4AB9-B11A-2EA1E5292F42} - http://www.fullmovies.nl/tools/videoplayer/player.cab wenn Du diesen Eintrag nicht kennst, bitte fixen: O17 - HKLM\System\CCS\Services\Tcpip\..\{BD782E97-D01D-4C44-94F3-DE4C777014DD}: NameServer = 205.188.146.146 - lade Dir den eScan - entsprechend der Anleitung - runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus: Thread-6083 - teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. - poste ein neues Logfile. SD |
19.09.2004, 13:50 | #3 |
Gast | Hilfe bei Auswertung Diese Dateien sollten eigentlich sauber sein:
__________________C:\Programme\AOL 8.0\aoltray.exe C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe Vorsicht: Du hast einen illegalen Dialer auf deinen PC. Dieser wird von eScan bzw. von HijackThis entfernt. Du solltest die Datei zuvor auf Diskette sichern, falls du nicht mit DSL ins Web gehst. Dein Trojaner sollte aber eigentlich weg sein, wenn du deine Temp. Internet Files löscht. |
19.09.2004, 18:30 | #4 |
| Hilfe bei Auswertung Ich habe das alles gemacht, wie du beschrieben hast. Drer hat sogar 10 Trojaner gefunden. Aber ich habe jetzt ein anderes Problem. Windows zeigt mir an, dass ein Wondows-Systemfehler vorhanden ist. Es gibt ein IP-Adressenkonflikt mit einem anderen Netzwerk: Fehler beim Laden von C:/progra~1/newdot~1./newdot~1.dll Das Modul wurde nicht gefunden. Was soll ich denn nun machen? Ich komme nicht mehr ins Internet. Systemwiedergerstellung bringt auch nichts, weil das da auch wieder auftaucht. Kann mir jemand bitte helfen?! |
19.09.2004, 18:58 | #5 |
| Hilfe bei Auswertung Verwende das nachfolgende Programm um die Winsock.dll wieder zu reparieren: http://www.cexx.org/lspfix.htm dann sollte das Netz wieder gehen. |
Themen zu Hilfe bei Auswertung |
.inf, adobe, auswertung, avg, bho, dateien, dll, einstellungen, file missing, hijack, hijackthis, hilfe, home, internet, internet explorer, logfile, microsoft, msn, officejet, programme, realplayer, rundll, software, system, tcpip, temp, trojaner, trojaner eingefangen, wenig ahnung, windows, windows xp |