|
Log-Analyse und Auswertung: HijackThis Auswerten! Danke!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.09.2009, 14:44 | #1 |
| HijackThis Auswerten! Danke! Ohne viele Worte. PC macht ärger! Bitte helft mir. Für eure Hilfe dankt euch, Haze_l Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:19:36, on 04.09.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\RocketDock\RocketDock.exe C:\WINDOWS\system32\wpabaln.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\reader_s.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\D.tmp C:\WINDOWS\TEMP\VRTF.tmp C:\WINDOWS\explorer.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BASIS-SOFTWARE\BASIS2\UPDATE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\system32\svchost.exe C:\Dokumente und Einstellungen\Denis\reader_s.exe C:\WINDOWS\system32\15.tmp C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\sofatnet.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\HijackThis\HijackThis\HijackThis.exe C:\WINDOWS\system32\wiawow32.sys R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw6_sc_webtour.htm O4 - HKLM\..\Run: [24363] C:\WINDOWS\system32\15.tmp.exe O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Dokumente und Einstellungen\Denis\reader_s.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Dokumente und Einstellungen\Denis\reader_s.exe (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8A8AF496-F376-455B-B566-C9D936C3EE08}: NameServer = 217.0.43.145 217.0.43.129 O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe -- End of file - 3529 bytes |
04.09.2009, 15:39 | #2 |
/// Helfer-Team | HijackThis Auswerten! Danke! Hallo und Herzlich Willkommen!
__________________tja...ich glaube kannst Du schon die Windows-CD und Killdisc vorbereiten Code:
ATTFilter C:\WINDOWS\System32\reader_s.exe Code:
ATTFilter W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform. Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem. W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann. Code:
ATTFilter C:\WINDOWS\System32\reader_s.exe → Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox) → "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist → das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1) |
04.09.2009, 15:48 | #3 |
| HijackThis Auswerten! Danke! Virustotal funktioniert nicht. Gibt es eine alternative dazu. Hab mein System komplett platt gemacht und neu aufgesetzt, glaube aber das der Virus noch immer drauf ist. Kann das sein? Danke für deine Hilfe. Werd noch ein paar Stunden (evntl Minuten) da sein. Verreise dann für zwei Tage. Eventl meld ich mich dann erst wieder Sonntag oder Montag.
__________________MFG Haze_l |
04.09.2009, 15:58 | #4 |
/// Helfer-Team | HijackThis Auswerten! Danke! Link funktioniert nicht oder überlastet?...bei mir Ok es kann auch an "Virut" liegen, dass Du nicht durchkommst versuche mal hier: Geändert von kira (04.09.2009 um 16:03 Uhr) |
10.09.2009, 15:43 | #5 |
| HijackThis Auswerten! Danke! Coverflow, es hat etwas gedauert aber nun habe ich es. Ich dank dir! MFG Haze_l Datei Informationen Dateiname : reader_s.exe Größe : 59392 byte Typ : PE32 executable for MS Windows (GUI) Intel 80386 32-bit MD5 : c2839d356c9a3ae26890e451d3265591 SHA1 : 235115c8a0a9911dd82822dab38b353d171ff34f a-squared 4.5.0.8 20090910170323 2009-09-10 Trojan-Downloader.Win32.Cutwail!IK 3.933 AhnLab V3 2009.09.11.00 2009.09.11 2009-09-11 Win32/Virut.F 0.786 AntiVir 8.2.1.14 7.1.5.227 2009-09-10 W32/Virut.Gen 1.014 Antiy 2.0.18 20090910.2765250 2009-09-10 - 0.021 Arcavir 2009 200909101006 2009-09-10 - 0.045 Authentium 5.1.1 200909091649 2009-09-09 W32/Trojan2.INBR (Exact) 1.172 AVAST! 4.7.4 090909-0 2009-09-09 Win32:Crypt-EXU [Trj] 0.004 AVG 8.5.288 270.13.89/2359 2009-09-10 Generic14.ZVH 1.341 BitDefender 7.81008.4135812 7.27628 2009-09-10 Win32.Virtob.Gen.12 3.621 CA (VET) 9.0.0.143 31.6.6728 2009-09-10 Win32/Virut.17408 virus. 6.001 ClamAV 0.95.2 9790 2009-09-10 Trojan.TDSS-1051 0.016 Comodo 3.11 2275 2009-09-10 - 0.867 CP Secure 1.3.0.5 2009.09.10 2009-09-10 - 0.063 Dr.Web 4.44.0.9170 2009.09.10 2009-09-10 Win32.Virut.56 5.370 F-Prot 4.4.4.56 20090909 2009-09-09 W32/Trojan2.INBR (exact) 1.192 F-Secure 7.02.73807 2009.09.10.14 2009-09-10 Virus.Win32.Virut.ce [AVP] 0.205 Fortinet 2.81-3.120 10.813 2009-09-10 W32/Virut.NBP 0.222 GData 19.7751/19.470 20090910 2009-09-10 Virus.Win32.Virut.ce [Engine:A] 5.067 Ikarus T3.1.01.72 2009.09.10.73540 2009-09-10 Trojan-Downloader.Win32.Cutwail 3.962 JiangMin 11.0.800 2009.09.10 2009-09-10 - 5.367 Kaspersky 5.5.10 2009.09.10 2009-09-10 Virus.Win32.Virut.ce 0.062 KingSoft 2009.2.5.15 2009.9.10.18 2009-09-10 Win32.Virut.cr.61440 0.797 McAfee 5.3.00 5736 2009-09-09 W32/Virut.n.gen 3.288 Microsoft 1.5005 2009.09.10 2009-09-10 Virus:Win32/Virut.BM 7.124 Norman 6.01.09 6.01.00 2009-09-10 - 2.006 nProtect 20090910.01 5425055 2009-09-10 - 7.760 Panda 9.05.01 2009.09.08 2009-09-08 - 0.620 Quick Heal 10.00 2009.09.10 2009-09-10 W32.Virut.G 1.131 Rising 20.0 21.46.34.00 2009-09-10 Packer.Win32.UnkPacker.a [Suspicious] 1.428 Sophos 2.90.1 4.45 2009-09-10 W32/Scribble-B 3.358 Sunbelt 5382 5382 2009-09-09 Virus.Win32.Virut.ce (v) 1.632 Symantec 1.3.0.24 20090909.004 2009-09-09 W32.Virut.CF 0.083 The Hacker 6.3.4.3 v00399 2009-09-09 W32/Virut.gen3 1.065 Trend Micro 8.700-1004 6.432.02 2009-09-10 PE_VIRUX.J 0.037 VBA32 3.12.10.10 20090909.1522 2009-09-09 Virus.Win32.Virut.X6 1.950 ViRobot 20090908 2009.09.08 2009-09-08 - 0.426 VirusBuster 4.5.11.10 10.112.32/1857585 2009-09-09 Win32.Virut.AB.Gen 3.047 |
10.09.2009, 17:43 | #6 |
/// Helfer-Team | HijackThis Auswerten! Danke! hi das habe ich nun ja beführtet...Du hast auf deinem Rechner einen *W32/Virut* Infektion! - Der virus infiziert alle *.exe dateien auf dem laufwerk Also keine chance für eine Systemreinigung, Du kannst nur eins machen: dein ganzes System neu aufzusetzen Am besten mit Killdisc die Festplatte löschen, darf nichts zurückbleiben! ► Also besorg' dir Killdisc die Festplatte zu richtig und gründlich zu entrümpeln ► Dabei sowohl auch auf alle externe Medium gilt, eine totale Löschung erforderlich!! ► Du darfst keine EXE und SCR, Archive und Backups, die eventuell solche Dateien enthalten sichern und zurückspielen, da sonst die Gefahr besteht, dass Dein Rechner wirklich wieder nach wenigen Minute wieder infiziert wird! - wenn Du doch eine Datensicherung der für dich wichtigen persönlichen Dateien möchtest: **Vor zurückspielen: Problematisch sind vor allen Dingen ausführbare Dateien (darfst Du nur mit die Endung sichern wie: JPG, GIF, DOC, XLS, MP3, WMF), deswegen lautet die Empfehlung, eine solche Datensicherung gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern. - Kostenlose Online Scanner - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können. |
13.09.2009, 16:42 | #7 |
| HijackThis Auswerten! Danke! Also auf meinem Rechner befindne sich keine wichtigen Daten. Was heißt "externe Medien - Löschung"? Ich mach also mit KillDisc meine Festplatten platt und setze dann mein System wieder neu auf, richtig? Muss ich sonst noch etwas beachten? Erklär mir bitte noch was das mit den externen Medien auf sich hat dann kann ich morgen loslegen. Dankeschön! MFG Haze_l |
13.09.2009, 18:28 | #8 | |
/// Helfer-Team | HijackThis Auswerten! Danke! hi Zitat:
Hilfe, Tipps & Tricks: Zitat:
gruß Coverflow Geändert von kira (13.09.2009 um 18:36 Uhr) |
17.09.2009, 16:00 | #9 |
| HijackThis Auswerten! Danke! Hallo Coverflow! Leider komm ich mit KillDisc nicht sehr weit. Hier mal ein upload. Kann die ausgewählten Laufwerke (C,D,E) nicht löschen. Das muss ich aber um den Virus loszuwerden. Sowas. Danke für deine Hilfe! MFG Haze_l Link: http://img10.imageshack.us/img10/2843/unbenannttq.png P.s. T-Online (mein I-net Anbieter) schrieb mir: Über Ihren Account werden Spam-Mails verschickt! Ist der Virus/Trojaner/Wurm(???) dazu in der Lage??? |
Themen zu HijackThis Auswerten! Danke! |
auswerten, dateien, dll, einstellungen, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, micro, microsoft, nvidia, office, programme, rundll, software, sp3, system, system32, temp, windows, windows xp, windows\temp |