|
Plagegeister aller Art und deren Bekämpfung: LogfileWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.10.2004, 17:00 | #1 |
| Logfile Logfile of HijackThis v1.98.2 Scan saved at 12:08:51, on 05.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\PROGRA~1\HotKeys\Ikeymain.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\MSWorks\Kalender\WKCALREM.EXE C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\DOKUME~1\PETRID~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.at/search/at_iesearch.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [codfxrun] "C:\Programme\ATI Multimedia\codfx.exe" O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: Microsoft Works Kalender Erinnerungen.lnk = C:\Programme\MSWorks\Kalender\WKCALREM.EXE O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/ O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab |
05.10.2004, 18:27 | #2 |
| Logfile Hallo Ruth,
__________________lade Dir zunächst bitte hier Spybot-Search & Destroy 1.3 runter, update das Programm online, deaktiviere dann die Systemwiederherstellung , scanne Deinen Rechner, lass die Probleme beheben. Boote in den abgesicherten Modus und fixe bei deaktivierter Systemwiederherstellung, mit Hijack This folgende Einträge und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst oder ncht brauchst: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.chello.at/search/at_iesearch.htm (*) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ (*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.chello.at/ (*) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch (*) O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - Global Startup: Firewall.lnk = ? (*) O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html (*) O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_c ollector_sel.htm (*) O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html (*) O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_d omain_links.htm (*) O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html (*) O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html (*) O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\TV\EXPLBAR.DLL (*) O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\lspak.dll O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab aktiviere die Systemwiederherstellung, boote in den normalen Modus. Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan 4.5.1. Poste ein neues HijackThis Logfile. SD |
07.10.2004, 01:37 | #3 |
| Logfile Hallo,
__________________habe fast alles nach Anweisung erledigt,die "010-Unknown file in Winsock LSP:c:\windows\system32\lspak.dll" dort wo sich mein Tr/Dldr.Agent.br befindet, konnten bis jetzt allerdings noch nicht entfernt werden. Habe den eScan noch nicht gemacht. Dazu eine Frage, wo kann ich den Ordner c:\bases eröffnen. Normalerweise wird bei mir alles in den Eigenen Dateien gespeichert. Ist wahrscheinlich eine blöde Frage, aber ich mach das alles erst zum ersten mal. Liebe Grüsse |
07.10.2004, 06:06 | #4 |
| Logfile Hallo Ruth, siehst Du links unten auf Deinem Bildschirm die Start-Taste? Linke Maustaste: klick --> Programme --> Windows Explorer --> damit müsstest Du im Adress-Fensterchen C:\ sehen. In der Menu-Leiste oberhalb des Adress-Fensterchens hast Du ganz links eine Taste, klick drauf mit der linken Maustaste, dann erscheint ein neues Fensterchen. Geh mit der Maus auf "neu" und klicke in dem nun erscheinenden neuen Fensterchen auf "Ordner". Nun solltest Du einen neuen Ordner unter "C" erstellt haben. Der Text unter dem Ordner ist gleich nach der Erstellung des neuen Ordners blau gefärbt und kann überschrieben werden. Wenn er nicht mehr überschrieben werden kann, kannst Du mit der rechten Maustaste auf den Ordner klicken und in dem nun erscheinenden Fensterchen "Namen ändern" anklicken. Damit ist die Schrift wieder blau gefärbt und nun kannst Du "bases" reinschreiben. Und wenn's nicht gleich klappt macht das nichts, einfach üben .. ;-) Zuviel erstellte leere Ordner auf denen sowas wie "neuer Ordner" steht, kannst Du auch wieder löschen: rechte Maustaste ---> löschen Viel Spaß beim üben ;-) Wir haben alle mal klein angefangen ... es macht Spass mit Computern zu arbeiten. Nimm Dir Zeit und probiere es aus. Mein Computer spricht leider nicht deutsch mit mir, die Namen, die auf meinen Tasten stehen, sagen Dir garnichts .. und ich weiss nicht alle deutschen Bezeichnungen. Lieben Gruss SD |
07.10.2004, 16:53 | #5 |
| Logfile Hallo, bin wieder am Verzweifeln, war so froh, daß ich alles hinbekommen habe. Der eScan hat 2 Viren gefunden - File C:\WINDOWS\system 32\lspak.dll infected by "Trojan Downloader.Win 32.Agent.br.Virus - Action Taken: File to be delected on reboot - File C:\Dokumente u. Einstellungen\....\Temp\~vis 0000\rebotnt.exe tagged as not-a-virusTool Win 32 Reboot. No Action Taken. Beim Neustart ist dann ein kurzer Scan gelaufen - Virus Founds 0 - also dürfte anscheinen der Trojaner gelöscht worden sein . Aber das Problem kommt erst. Hatte danach wieder keine Internetverbindung, habe sie wieder herstellen lassen, aber es erscheinen wieder dieselben Probleme, i-Seite nicht gefunden, kein Outlook-Express, TCP/IP-Fehler - wie bei allen Antivirprogrammen, die ich ausprobiert habe,(es könnte mit der DNS etwas nicht in Ordnung sein, vermutet der Techniker in der Hotline meines Internetproviders, mußte den PC wieder zurücksetzen (vor dem eScan heute mittag) und da funktioniert wieder alles. Ich denke ich muß weiterhin mit dem Trojaner und ohne AntiVirKit leben. Vielleicht habt Ihr noch ein paar Tipps für mich. Liebe Grüsse und Danke |
07.10.2004, 17:19 | #6 | |
Administrator, a.D. | LogfileZitat:
Lade dir WinSockFix , lösche den Trojaner nochmal, wende danach WinSockFix an und repariere damit deine verbogenen WinSocks. Danach funktioniert dein Internet Zugang wieder und der Trojaner ist beseitigt.
__________________ --> Logfile |
08.10.2004, 17:34 | #7 |
| Logfile Hallo, habe wieder Mut gefaßt, gebe nicht gerne auf. Wollte mir WinsockFix herunterladen, nur verstehe ich nicht ganz wie ich das machen kann. Verstehe zwar ganz gut Englisch, doch das mit dem Proxyserver herunterladen, Netscape usw.verstehe ich nicht. Könnt Ihr mir das erklären oder gibt es noch eine andere Seite wo ich das runterladen kann. Noch eine Frage, wenn ich das Herunterladen irgendwie schaffen sollte, kann ich das WinsockFix auch vorher machen, und danach den Trojaner entfernen. Sonst habe ich dann vielleicht wieder keine Internetverbindung und muß das System wieder zurücksetzen um Euch kontaktieren zu können. LG Ruth |
08.10.2004, 19:32 | #8 | |
Administrator, a.D. | LogfileZitat:
Lade hier das LSP-Fix , lösche den Trojaner nochmal, wende danach LSP-Fix an und repariere damit deine verbogenen WinSocks. |
09.10.2004, 00:22 | #9 |
| Logfile Hallo, bin schon wieder hier, wahrscheinlich gehe ich Euch schon auf die Nerven, habe wieder mal AVK installiert, wieder keine Internetseiten angezeigt, nur die Trojanerwarnungen, hat dann die Suche wegen eines Fehlers abgebrochen um keine Schäden zu verursachen.Ich konnte das leider nicht genau lesen, da es so schnell wieder weg war. Habe dann den LSP-Fix gemacht - der hat gemeldet - Winsock 2 Registrykey HKEY LOCAL MACHINES Current Control Set\Services\Winsock 2\ Parameter does not exist - Please re-install Winsock 2 Habe AVK wieder deinstalliert und alles funktioniert wieder (Trojaner aber noch vorhanden) Habe noch eine Frage - mit welchem Programm kann ich dll - Dateien öffnen und mir ansehen was drinnen steht? Muß anscheinend doch mit Trojaner und ohne AVK leben. Ich bin Euch aber für alle Tipps sehr dankbar, habe viel Interessantes gelernt. Falls Ihr mir noch irgendwelche Tipps geben könnt wäre ich sehr dankbar. LG Ruth |
Themen zu Logfile |
.inf, avgnt.exe, bho, browser, dateien, dll, explorer, file missing, firewall, g data, google, helper, hijack, hijackthis, hotkeys, html, internet, internet explorer, logfile, messenger, microsoft, programme, remote control, rundll, security, software, system, temp, unknown file in winsock lsp, windows, windows messenger, windows xp, winsock |