|
Log-Analyse und Auswertung: HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.09.2004, 18:28 | #1 |
| Hilfe Hallo Bei mir hat sich ne Toolbar im IE installiert. Hieß "elite.bar" und "miracle-search" oder so. Das Problem hab ich mittlerweile mit hijack und Adaware in Griff bekommen, aber ein Sache bleibt. Es öffnen sich gelegentlich ungewollte Popups! Hier ma mein Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\SLEE503.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos Security Suite 6\spm.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Steganos Security Suite 6\sss.exe C:\Programme\Arcor\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\ULTIMA~1.7\uzip.exe C:\DOKUME~1\VOLKER~1\LOKALE~1\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ERwkwoCrng5rsUlw...ent/index.html O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB002" /M "Stylus C62" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Zitatomat 2.1.lnk = C:\Programme\Zitatomat 2.1\zitatomat.exe O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB Hab hier im Archiv schon gelesen das die 04 - HKLM ..... [Sys29] der Übeltäter ist. Im Archiv stand auch das man das mit Hijack fixen und dann manuell löschen soll, das klappt aber nich!!! Die "winowv32.exe" lässt sich einfach nicht löschen!!!! Bitte helft mir!!! Dringend!!! Sonst killt mein Papa mich (ist nämlich sein Compi) Wie kann ich das Problem lösen? Wie kann ich die Datei löschen???? Danke für eure Hilfe MfG MrTreck |
30.09.2004, 18:43 | #2 |
| Hilfe O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe
__________________Lass die Datei mal heir checken: http://virusscan.jotti.org/de |
30.09.2004, 18:54 | #3 |
| Hilfe Der Virusscan sagt folgendes:
__________________File: winowv32.exe Status: INFECTED/MALWARE Packers detected: FSG AntiVir No viruses found (3.39 seconds taken) Avast Win32:StartPage-042 (6.51 seconds taken) BitDefender Trojan.Clicker.BA (12.76 seconds taken) ClamAV Trojan.Startpage-78 (9.68 seconds taken) Dr.Web Trojan.StartPage.256 (4.93 seconds taken) F-Prot Antivirus W32/Startpage.CJ (0.42 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (5.32 seconds taken) mks_vir Trojan.Startpage.Nk (2.58 seconds taken) NOD32 No viruses found (3.00 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information ] * File might be compressed. * Creating several executable files on hard-drive. * File length: 12441 bytes. [ Changes to filesystem ] * Creates file C:\windows\system\winnun32.exe. * Creates directory C:\WINDOWS\EliteBar. * Creates file C:\WINDOWS\TEMP\tmp9099.tmp. * Creates file C:\WINDOWS\SYSTEM\bkmsf32.dat. [ Changes to registry ] * Creates key "HKCU\Software\LQ". * Creates key "HKLM\Software\backup". * Creates key "HKLM\Software\Elitum". * Sets value "AD"="0" in key "HKCU\Software\LQ". * Sets value "AC"="0" in key "HKCU\Software\LQ". * Sets value "U"="0" in key "HKCU\Software\LQ". * Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ". * Sets value "TM"="10" in key "HKCU\Software\LQ". * Creates value "Sys29"="c:\windows\system\winnun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Downloads file from http://searchmiracle.com/update.php?0&c=L&os=ME&init=1&id={000000-0000-000000&v=2.9&country=&state=&city= as C:\WINDOWS\TEMP\tmp9099.tmp. [ Process/window information ] * Creates a mutex K_! * Enumerates running processes. * Enumerates running processes several parses.... * Modifies other process memory. * Creates a remote thread. * Will automatically restart after boot (I'll be back...). (9.53 seconds taken) Bei Adaware taucht auch jedesmal wieder (trotz löschen`s) folgendes auf: WIN32.BACKDOOR.AGOBOT - RegValue - HKEY/localMachine _ software/microsoft/windows/currentversion/run Das läßt sich einfach nicht löschen!!! Mist!! |
30.09.2004, 19:16 | #4 |
| Hilfe E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winowv32.exe Boote in den abgesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html lösche die Datei, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Beim neuen Log im normalen Modus das KOMPLETTE Log inklusive Information über das Windows posten. Edit: In welcher Datei wird Agobot denn entdeckt? In diesem Fall solltest du dich schon mal mit dem Gedanken befassen, das System neu aufzusetzen. |
01.10.2004, 10:03 | #5 |
| Hilfe Moin Moin Sooooo , also erstma vielen Dank MountainKing, du hast mir sehr geholfen!! Bin vorgegangen wie du beschrieben hast, und das hat gefunzt! Im abgesicherten Modus konnte ich die winowv32.exe endlich löschen. Jetzt taucht die O4 - HKLM\..\Run: [Sys29]... nicht mehr bei HiJack auf, aber vorsichtshalber hier nochma ein aktuelles Log (für mich als Amateur sieht das recht sauber aus ): Scan saved at 10:48:49, on 01.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\SLEE503.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos Security Suite 6\spm.exe C:\Programme\Hardcopy\hardcopy.exe C:\Programme\Arcor\Arcor.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\ULTIMA~1.7\uzip.exe C:\DOKUME~1\VOLKER~1\LOKALE~1\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/content/index.html O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Samsung LBP SM] "C:\WINDOWS\Samsung\LaserSMMgr\ssmmgr.exe" /autorun O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB002" /M "Stylus C62" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Zitatomat 2.1.lnk = C:\Programme\Zitatomat 2.1\zitatomat.exe Zudem taucht der Win32.Backdoor.Agobot jetzt nicht mehr bei AdAware auf. *puh* . Scheint also alles wieder fit zu sein, vielen Dank nochmal für deine großartige Hilfe!! MfG MrTreck |
01.10.2004, 10:14 | #6 |
| Hilfe Was hat E-Scan denn genau gefunden? Ansonsten sieht es gut aus (wobei es, wenn der Agobot lief, keine 100%ige Sicherheit mehr gibt). Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html |
01.10.2004, 10:57 | #7 |
| Hilfe Da ich nicht bis zum Ende des eScan-Vorgangs geblieben bin, sondern mein Vater das alles zu Ende ausgeführt hat, weiß ich nicht was genau er alles gefunden hat. Aber ich kann ihn später mal fragen. Was ist denn ein "Agobot"? bzw. warum/inwiefern gibt es keine 100% Sicherheit mehr? |
01.10.2004, 11:06 | #8 |
| Hilfe http://www.f-secure.de/v-desk/agobot.shtml Agobot gibt einem Angreifer die Möglichkeit der Manipulation deines Systems, im Extremfall können getarnte Verzeichnisse, versteckte Registryeinträge und weitere, nicht ohne weiteres zu entdeckende Backdoorprogramme auf dem Rechner sein. Das lässt sich mit Virenscannern nach einer erfolgten Infizierung dann nicht mehr wirklich ausschließen. |
01.10.2004, 11:13 | #9 |
| Hilfe Und was heißt das? Format C:\ oder wie? Na da wird sich ja einer freuen dann... Zum Glück hat er erst vor kurzem nen BackUp gemacht. |
Themen zu Hilfe |
dateien, dringend, drivers, hijack, hilfe, internet, internet explorer, killt, log, löschen, löschen?, mein log, microsoft, nicht löschen, plug-in, popups, problem, programme, security, security suite, soft, software, start, system, system32, temp, ungewollte, ungewollte popups, update, windows, öffnen |