|
Log-Analyse und Auswertung: kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.10.2004, 09:11 | #1 |
| kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! Logfile of HijackThis v1.98.2 Scan saved at 10:11:11, on 19.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\CACHEM~1\CachemanXP.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\Integrator.exe C:\Programme\MYIE2\MyIE.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe D:\Downloads\mwav\mwavscan.com D:\Downloads\mwav\kavss.exe C:\Programme\Messenger\msmsgs.exe D:\Downloads\hijackthis1982\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-at\msntb.dll O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Pilot Group LLC\Save Flash 2.4.20\SaveFlash.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AGBMonitor] C:\Program Files\Antiy Labs\AGB4\Monitor.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\GASSER~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [warez] "C:\Programme\Warez P2P Client\warez.exe" -h O4 - Startup: AntiCrash.lnk = C:\Programme\Dachshund Software\AntiCrash\AntiCrash.exe O4 - Startup: doublekiller.lnk = D:\Downloads\doublekiller\doublekiller.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Descarregas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-kazemule-de\local.html (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: match.gofeminin.de O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...cdc9defbb7eddc O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialer...ecomendada.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093787179778 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/ffvg.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{010106BD-9803-4473-B11F-BBB74F5970BF}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{010106BD-9803-4473-B11F-BBB74F5970BF}: NameServer = 195.34.133.10,195.34.133.11 Das hab ich rausbekommen als ich HijackThis 1982 gestartet habe!!! |
19.10.2004, 09:18 | #2 |
| kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! Und das heir als ich escan drüberlaufen habe lassen!!
__________________Tue Oct 19 10:11:47 2004 => File C:\WINDOWS\System32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken. ue Oct 19 10:11:45 2004 => File C:\WINDOWS\System32\exdl.exe infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken. ue Oct 19 10:09:03 2004 => File C:\PROGRA~1\COMMON~1\updmgr\updmgr.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken. ue Oct 19 10:09:56 2004 => File C:\WINDOWS\UnstSA2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken. ue Oct 19 10:11:45 2004 => File C:\WINDOWS\System32\exdl.exe infected by "not-a-virus:AdvWare.BargainBuddy.j" Virus. Action Taken: No Action Taken. ue Oct 19 10:11:47 2004 => File C:\WINDOWS\System32\exul.exe tagged as not-a-virus:RiskWare.PSWTool.EDialer. No Action Taken. Tue Oct 19 10:15:04 2004 => File C:\WINDOWS\System32\polall1m.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken. ue Oct 19 10:15:26 2004 => File C:\WINDOWS\System32\sahagent1020.exe infected by "not-a-virus:AdvWare.Sahat.a" Virus. Action Taken: No Action Taken. ue Oct 19 10:15:26 2004 => File C:\WINDOWS\System32\SahHtml.exe infected by "not-a-virus:AdvWare.Sahat.c" Virus. Action Taken: No Action Taken. Und er hat noch nicht mal fertig gescannt???? Hiiiillllffffeeee bitte Hab Norton antivirus drauf aber hilft nix!!! |
19.10.2004, 11:04 | #3 |
| kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! @Feifel
__________________ich würde mein surfverhalten mal überdenken du hast einiges oben sichere diese auf diskette zwecks beweissicherung c:\dial-kazemule-de\local.html wechsle in den abgesicherten modus und fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://minisearch.startnow.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/ O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKCU\..\Run: [warez] "C:\Programme\Warez P2P Client\warez.exe" -h O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Descarregas - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-kazemule-de\local.html (file missing) O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...dc9d efbb7eddc O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/diale...Recomendada.cab wenn du diese einträge nicht kennst, dann fixen(unter 2 könnten dein provider sein) O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.media-motor.net/cabs/ffvg.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{010106BD-9803-4473-B11F-BBB74F5970BF}: NameServer = 195.34.133.10,195.34.133.11 O17 - HKLM\System\CS1\Services\Tcpip\..\{010106BD-9803-4473-B11F-BBB74F5970BF}: NameServer = 195.34.133.10,195.34.133.11 ich würde dieses programm manuell löschen C:\Programme\MYIE2\MyIE.exe es geht aus den AGB nicht eindeutig hervor ob sie adware verbreiten oder nicht. den O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRA~1\DAP\dapiebar.dll DAB gehört zum Download Accelerator hat spyware oder ladet diese nach: löschen jetzt mit adaware und spybot scannen. eventuell danach escan einsetzen. chaosman
__________________ |
20.10.2004, 04:43 | #4 |
| kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! @ Feifel, falls Du die von chaosman angeratenen Einträge noch nicht gefixed hast, folgende Bitte: Downloade zunächst Spybot-Search & Destroy 1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass bestehende Probleme beheben. Erstelle dann einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "Minisearch-TBOARD" - zu Forschungszwecken. -> Danke! Gib dann bitte das weitere Ergebnis des eScan ins Forum. Anhand dieses Ergebnisses entscheiden wir, was wir Dir raten können/müssen. SD |
20.10.2004, 21:15 | #5 |
| kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! Thx zuerst mal werd mir spybot runterladen und euch es dann senden!!! |
Themen zu kann mir jemand helfen bin absoluter Newbei auf diesen Gebiet!!! |
.html, adobe, antivirus, antivirus scan, bho, dateien, dll, excel, explorer, file missing, helfen, hijack, hijackthis, internet, internet explorer, internet security, logfile, messenger, microsoft, msn, norton internet security, nvcpl.dll, programme, rundll, security, software, sun java, symantec, system, tcpip, temp, windows, windows messenger, windows xp |