|
Log-Analyse und Auswertung: Bin völlig überfordert...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.10.2004, 13:01 | #1 |
| Bin völlig überfordert... Hallo Zusammen! Habe vor kurzem von Ebay Post bekommen, daß sie mein Passwort ändern mußten weil sich jemand an meinem Benutzekonto zu schaffen gemacht hat. Daraufhin hat adaware nen hijacker gefunden und ich dachte, klasse das wars. Was wohl ziemlich naiv war. Ständig passiert was neues. Jetzt sind meine ganzen Autostartprogramme deaktiviert, einschließlich Nortons Anti Vir! Und ich kann ihn auch nicht mehr aktivieren, geht nicht. Wie ihr schon hört, bin ich in PC Dingen nicht allzu bewandert, also slowly please. OK, wart mal auf Eure Anweisungen. Grüßle Fleur |
22.10.2004, 14:03 | #2 |
| Bin völlig überfordert... Bitte ein Log mit diesem Programm erstellen:
__________________http://www.trojaner-board.de/51130-a...ijackthis.html Inhalt hier ins Forum posten. |
22.10.2004, 23:33 | #3 |
| Bin völlig überfordert... Sorry, daß ich mich jetzt erst wieder melde!
__________________Hier das Log: Logfile of HijackThis v1.98.2 Scan saved at 00:29:43, on 23.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe F:\PROGRA~1\Norton\NORTON~4\GHOSTS~2.EXE F:\Programme\Norton\Norton Antivirus\navapsvc.exe F:\PROGRA~1\Norton\NORTON~2\NPROTECT.EXE F:\Programme\Adaware\Ad-aware 6\Ad-watch.exe C:\Programme\FileBX\FileBX.exe C:\WINDOWS\System32\nvsvc32.exe F:\Programme\Norton\Norton Antivirus\SAVScan.exe F:\PROGRA~1\Norton\NORTON~2\SPEEDD~1\NOPDB.EXE D:\Programme\AOL 9.0\waol.exe D:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\ServicePackFiles\i386\iexplore.exe E:\Programme\WinAce 2.5\WinAce.exe C:\DOKUME~1\DREA42~1.DOO\LOKALE~1\Temp\~AceTemp\hijackthis1982\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [Ad-watch] F:\Programme\Adaware\Ad-aware 6\Ad-watch.exe O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [FileBox Extender] C:\Programme\FileBX\FileBX.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{5D2F1EA5-ECF4-4B5A-AC99-9416CC2ED0EE}: NameServer = 205.188.146.146 So, jetzt bin ich mal gespannt... Grüßle Fleur |
23.10.2004, 03:52 | #4 |
| Bin völlig überfordert... Hallo Fleurxxx, überprüfe mit dem online-scan von Kaspersky: C:\Programme\FileBX\FileBX.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). =====@===== Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This (Häk'chen setzen und auf fix checked klicken): O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Boote in den normalen Modus. Aktiviere die Systemwiederherstellung. =====@===== Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf. =====@===== Downloade das Programm SpywareBlaster 3.2 und führe es auf Deinem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für Deine(n) Browser. Wenn Du Fragen dazu hast, stell sie bitte. =====@===== Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es. SD |
23.10.2004, 11:25 | #5 |
| Bin völlig überfordert... Vielen Dank für die Auskunft! Sobald ich soweit bin meld ich mich wieder. Ach halt , hab ich doch noch ne Frage bevor ich anfange. Und zwar hab ich das Hijack Log automatisch auswerten lassen und bekam unter anderem diese Meldung: O17 - HKLM\System\CCS\Services\Tcpip\..\{5D2F1EA5-ECF4-4B5A-AC99-9416CC2ED0EE}: NameServer = 205.188.146.146 Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '205.188.146.146 ' nicht, fixen. Heißt das etwa, daß jemand mit meinem PC verbunden ist??? Grüßle Fleur Geändert von Fleurxxx (23.10.2004 um 11:50 Uhr) |
23.10.2004, 13:55 | #6 |
| Bin völlig überfordert... Schau mal in den Link, da steht alles drin http://www.trojaner-board.de/42731-escan-anleitung.html |
23.10.2004, 13:57 | #7 |
| Bin völlig überfordert... Danke! Habs grad geschafft. |
23.10.2004, 14:01 | #8 |
| Bin völlig überfordert... @ Fleurxxx, was hast Du geschafft? Kannst Du bitte das Ergebnis des eScan reingeben, analog der Erklärung in meinem letzten Posting? =>Total Number of Files Scanned: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: und dann die Namen der Viren. SD |
23.10.2004, 16:31 | #9 |
| Bin völlig überfordert... Hallole! Ich hatte Probleme eScan upzudaten, habs aber dann doch geschafft und hab den Beitrag wieder gelöscht. Gleichzeitig bekam ich aber von MountainKing die Antwort, so daß ich ihm kurz noch Bescheid gab. Hier sind meine Ergebnisse: Sat Oct 23 15:51:19 2004 => Total Number of Files Scanned: 40959 Sat Oct 23 15:51:19 2004 => Total Number of Virus(es) Found: 5 Sat Oct 23 15:51:19 2004 => Total Number of Disinfected Files: 0 Sat Oct 23 15:51:19 2004 => Total Number of Files Renamed: 0 Sat Oct 23 15:51:19 2004 => Total Number of Deleted Files: 2 File C:\Dokumente und Einstellungen\Dr.Doolittle\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.zip-734920af-3873b125.zip infected by "Trojan.Java.Femad" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Dr.Doolittle\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.zip-62dd9a93-4958d068.zip infected by "Trojan.Java.Femad" Virus. Action Taken: File Deleted. D:\Download\Babylon\Babylon Pro 5.0 Translator Corporate + Crack (By RegMinisteR)\Babylon Pro 5.0 Corporate\babylon.pro.5.0.0.r78.crack-tsrh\crack.exe infected by not-a-virus:Tool.Win32.TPE.a D:\Download\Babylon\Babylon Pro 5.0 Translator Corporate + Crack (By RegMinisteR)\Babylon Pro 5.0 Corporate\babylon.pro.5.0.0.r78.crack-tsrh.zip infected by not-a-virus:Tool.Win32.TPE.a D:\Programme\AOL 9.0\Jiti\Jiti_mm.exe infected by not-a-virus:Tool.Win32.Reboot Und hier noch das HijackThis Log: Logfile of HijackThis v1.98.2 Scan saved at 16:47:55, on 23.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe F:\PROGRA~1\Norton\NORTON~4\GHOSTS~2.EXE F:\Programme\Norton\Norton Antivirus\navapsvc.exe C:\Programme\FileBX\FileBX.exe F:\PROGRA~1\Norton\NORTON~2\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe F:\Programme\Norton\Norton Antivirus\SAVScan.exe F:\PROGRA~1\Norton\NORTON~2\SPEEDD~1\NOPDB.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\wuauclt.exe D:\Download\hijackthis_198\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [FileBox Extender] C:\Programme\FileBX\FileBX.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll Und was ist denn nun mit der Meldung, daß mein PC mit ner anderen IP verbunden ist?? s.o. Grüßle Fleur Geändert von Fleurxxx (23.10.2004 um 21:20 Uhr) |
24.10.2004, 08:04 | #10 |
| Bin völlig überfordert... @ shadowdance: achso, die FileBX.exe ist sauber. |
24.10.2004, 08:18 | #11 | |
| Bin völlig überfordert... @ Fleurxxx, "achso, die FileBX.exe ist sauber." .. ==> Dein Logfile ist sauber. Zitat:
Gratuliere, Du hast prima mitgearbeitet @ Fleurxxx. Ich geb Dir noch ein bisschen was zum lesen mit auf den Weg: - Vorbeugende Maßnahmen: www.trojaner-info.de - www.mathematik.uni-marburg.de - IE sicher konfigurieren: www.datenschutzzentrum.de. - Einschränktes Benutzerkonto: www.ntsvcfg.de. - faq.underflow.de Alles Gute weiterhin. SD |
24.10.2004, 11:16 | #12 |
| Bin völlig überfordert... Supi und vielen, vielen Dank!!! Das hätt ich ohne die außerordentlich genaue und vor allem, leicht verständliche Anleitung von Shadowdance, niemals alleine hinbekommen. Nochmal speziellen Dank an Dich, auch für die Links. Grüßle Fleur |
25.10.2004, 17:35 | #13 |
| Bin völlig überfordert... Hallole nochmal! @shadowdance: Ich habe mir die Links zu Gemüte geführt und hab dann gleich noch die verdeckten systemordner sichtbar gemacht. Heut morgen hab ich dann aufm Desktop ne dsktop.ini entdeckt, die folgenden Text enthält: [LocalizedFileNames] Windows Media Player.lnk=@C:\WINDOWS\inf\unregmp2.exe,-4 Hab keine Ahnung was das soll!? Vielleicht kannst Du mir noch mal helfen? lieb guck Grüßle Fleur |
26.10.2004, 08:58 | #15 |
| Bin völlig überfordert... Danke, daß Du Dich meiner schon wieder annimmst. Hier das Ergebnis des Onlinescans: unregmp2.exe Ok Statistiken: Bekannte Viren: 102319 Updated: 26-10-2004 Größe der Datei (Kb): 192 Viren-Korpus: 0 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 Scheint ja in Ordnung... Ich hab mal nach der exe gegoogelt und bin auf folgendes gestoßen: http://www.pestpatrol.com/pestinfo%5...regmp2_exe.asp Aber die exe ist nicht bei den Prozessen zu finden und unter dem, in dem Link angegebenen, Registry - Pfad ist auch nichts. Wenn ich nach den Eigenschaften der exe schau steht dort, daß es ein Microsoft Windows Media Player-Installationsdienst ist. Vielleicht doch harmlos?! Aber warum dann die versteckte ini auf'm Desktop?? Und was soll das -4 hinten dran? Grüßle Fleur |
Themen zu Bin völlig überfordert... |
adaware, aktiviere, aktivieren, anti, anti vir, autostartprogramme, deaktiviert, dinge, ebay, gefunde, gen, hallo zusammen, hijacker, klasse, kurzem, meinem, nicht mehr, passwort, programme, ziemlich, zusammen, ändern |