| |
| |||||||
Log-Analyse und Auswertung: Brauche Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.10.2004, 16:46
| #1 |
| |  Brauche Hilfe! Hallo! Ich glaub ich hab nen Virus. Wäre nett wenn jemand mal schauen könnte. Logfile of HijackThis v1.98.2 Scan saved at 17:38:24, on 18.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\WINDOWS\System32\cnnr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\AOL 8.0\aoltray.exe E:\HijackThis.exe O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [Update Machine] winm.exe O4 - HKLM\..\Run: [Sygate Personals] cnnr.exe O4 - HKLM\..\RunServices: [Update Machine] winm.exe O4 - HKLM\..\RunServices: [Sygate Personals] cnnr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb029 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{44A17417-8638-41EB-8089-67D30411B08E}: NameServer = 141.70.124.1,129.143.2.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{E89BDCDB-1BF8-4634-A7AF-F26E13FEC01E}: NameServer = 141.70.124.1,129.143.2.4 |
|
18.10.2004, 18:02
| #2 |
  | Brauche Hilfe! Hallo, uses!
__________________Ich denke mal, Dein größtes Problem ist die [microsoft update machine]. Dahinter verbirgt sich ein Wurm (RBot-Familie), der Dein System kompromittiert hat. Das heißt, es ist nicht mehr vertrauenswürdig, da durchaus viele oder alle Anwendungen verändert sein können, und du damit auch eine Gefahr für andere User bist. Obwohl ich kein Freund davon bin, würde ich Dir raten, Dein System nur von sicherster Quelle aus neu aufzusetzen. Bedenke, daß auch eventuelle Sicherheitskopien von Datenbanken oder Anwendungen durchaus schon befallen sind. Wenn Du Dir nicht ganz sicher bist, daß dies nicht der Fall ist, wirst Du wahrscheinlich ganz von vorne anfangen müssen. HJT hat außerdem noch weitere 14 Böse gefunden, die aber nach dem Neuaufsetzen des Systems eh weg sind. Vorher würde mich aber noch interessieren, was unsere anderen Mitglieder denken. Gruß cacatoa
__________________ Geändert von cacatoa (18.10.2004 um 18:06 Uhr) Grund: Zusatz Wurm |
|
18.10.2004, 18:09
| #3 |
 | Brauche Hilfe!__________________
__________________ |
|
18.10.2004, 22:05
| #4 |
| | Brauche Hilfe! Hallo uses, @ cacatoa & @ chaosman auch wenn es möglicherweise der längere Weg ist, möchte ich doch gerne ganz sicher gehen, dass wir auch wirklich alle Möglichkeiten ausgeschöpft haben, bevor wir einem User empfehlen, sein System zu formatieren. Der User kann mit bloßem Augen nicht erkennen, dass er einen Wurm mit Backdoor-Eigenschaften auf dem System hat. Ich empfehle daher zuerst den eScan, laut der Anweisung im Link, durchzuführen. Das Programm muss online geupdatet und offline im abgesicherten Modus durchgeführt werden. Alle Erläuterungen dazu sind im Link nachzulesen. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle dann bitte ein neues Hijack This Logfile und poste es. SD |
|
18.10.2004, 22:31
| #5 |
| | Brauche Hilfe! Hi! Danke für eure Hilfe. Ich kann e-scan leider nicht updaten da ich kein Internet mehr habe.(wohne im Studentenwohnheim und mein Anschluss ist gesperrt, wenn ich bei wem anders versuche wird der auch geperrt) Kann ich die Updates von wem anders kopieren? Und Antivir hat bei mir aber nichts gefunden. MFG uses |
|
18.10.2004, 23:01
| #6 |
| | Brauche Hilfe! O4 - HKLM\..\RunServices: [Update Machine] winm.exe Ist IMO in der Tat eindeutig ein Schädling, wie wohl auch: O4 - HKLM\..\RunServices: [Sygate Personals] cnnr.exe schon, weil du gar keine Sygate Firewall installiert hast. Da zusätzlich: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) das System nicht gepatched ist, solltest du cacatoas Empfehlung folgen und anhand dieser Anleitung neu installieren: http://board.protecus.de/showtopic.p...me=1097944155& Von wo aus postest du, wenn du kein Netz hast? Wenn der Rechner nicht online gehen kann, wird das Updaten schon mal schwierig hmmm...oder du besorgst dir Service Pack 2 auf CD. |
|
18.10.2004, 23:41
| #7 |
| | Brauche Hilfe! Hi! Den Log hab ich über nen Freund reingestellt. Aber bei dem kann ich halt nicht online gehen weil sonst dem sein Anschluss gesperrt wird. Ist halt ziemlich scheiße. Ich weiß. Aber ich versuche halt alles um nicht formatieren zu müssen. MFG uses |
|
18.10.2004, 23:52
| #8 |
| | Brauche Hilfe! Naja, wenn du mit deinem Rechner nicht online gehen kannst, ist auch erst mal kein Fernzugriff darauf durch diese Backdoors möglich. Soweit so gut, wichtig wäre trotzdem das Updaten. Ich habe den Eindruck, dass dieses Logfile nicht ganz komplett ist, es fehlen die Startseiteneinträge, kann das sein? |
|
| Themen zu Brauche Hilfe! |
| bho, brauche, brauche hilfe, button, email, excel, explorer, hijack, hijackthis, hilfe, hilfe!, internet, internet explorer, links, messenger, microsoft, msn, msn messenger, mywebsearch, programme, system, system32, tcpip, tools, update, windows, windows messenger, windows xp |
Linear-Darstellung
