|
Log-Analyse und Auswertung: Bitte euch um HilfeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.10.2004, 23:59 | #1 |
| Bitte euch um Hilfe Hallo, bin neu hier und habe mich in den letzten stunden etwas hier eingelesen. habe einige probleme mit trojanern (evtl auch spyware) auf meinem rechner. dabei sind z.b. 180searchassistant, tv media, und wohl auch noch einigen anderen. ad aware bzw. spybot laufen lassen. hier das HijackThis logfile Logfile of HijackThis v1.98.2 Scan saved at 00:44:07, on 23.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\windows\system32\saie.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE c:\programme\t-online\t-online_software_5\browser\dlman.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: SDWin32 Class - {9F7045B3-B3A8-48B5-93F7-811D3B9E8F9B} - C:\WINDOWS\System32\qqwuc.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Microsoft Security Management] winamp.exe O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun O4 - HKLM\..\Run: [qqwucc] C:\WINDOWS\System32\qqwucc.exe O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Security Management] winamp.exe O4 - HKLM\..\RunServices: [Networks Controler] NetSis.exe O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098468617492 O17 - HKLM\System\CCS\Services\Tcpip\..\{18CC78E4-190F-459D-ADE8-3B3001E1F2BD}: NameServer = 217.237.149.225 217.237.151.97 O17 - HKLM\System\CS1\Services\Tcpip\..\{18CC78E4-190F-459D-ADE8-3B3001E1F2BD}: NameServer = 217.237.149.225 217.237.151.97 hoffe ihr könnt mir vielleicht helfen was davon alles auf trojaner, viren, o. ä. hindeutet vielen dank schonmal im vorraus gruß |
23.10.2004, 00:12 | #2 | |
| Bitte euch um Hilfe Bitte folgendes durchführen:
__________________Zitat:
|
23.10.2004, 00:40 | #3 |
| Bitte euch um Hilfe hi
__________________hier dein logfile automatisch ausgewertet bitte alle *exe einträge (böse oder unbekannt) mit Kaspersky (onlinscan) überprüfen. wird hier eine schadsoftware festgestellt, den eintrag mit dem taskmanager beenden und die datei mit dem windows-explorer suchen und löschen. Onlinscan mit housecall durchführen/bereinigen lassen Die Systemwiederherstellung deaktivieren, nachsehen, ob wirklich kein swh-punkt mehr vorhanden ist ( man muss eventuell den rechner neustarten), swh wieder einschalten (aktivieren) dann spybot s&d sowie adaware downloaden und ein update durchführen, in den abgesicherten modus wechseln (beim Hochfahren die Taste F8 drücken) scannen und bereinigen nun nochmals hjt starten, es sollte nun keine bösen *exe(n) geben, wenn doch, vorgang der unter kaspersky beschrieben ist wiederholen (bzgl. datei beenden usw.) und nun alle R1 bis 017 einträge nach anleitung fixen. SWH wiederholen
__________________ |
23.10.2004, 04:52 | #4 |
| Bitte euch um Hilfe Hallo cifer2003, ich gehe davon aus, dass Du etliche Malware auf Deinem System hast und unterstütze den Rat von Lidius, Dein System mit eScan entsprechend der geposteten Anweisung zu überprüfen. Bitte gib das Ergebnis der Untersuchung in diesen Thread. Löschen von Malware allein genügt nicht, wenn ein System kompromittiert ist, vergleiche hierzu: Tips. Anhand des Ergebnisses des eScan können wir erkennen, wozu wir Dir raten können oder müssen. Arbeite bitte das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe Deinen Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "180searchassistant-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!) Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." SD |
24.10.2004, 11:41 | #5 |
| Bitte euch um Hilfe also hier erstmal die mit escan gefundenen unregelmäßigkeiten Sun Oct 24 12:21:18 2004 => File C:\windows\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Sun Oct 24 12:21:18 2004 => File c:\windows\system32\saiehook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Sun Oct 24 12:21:28 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Sun Oct 24 12:21:28 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction *** Sun Oct 24 12:21:29 2004 => File c:\windows\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Sun Oct 24 12:21:41 2004 => File C:\WINDOWS\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken. Sun Oct 24 12:21:46 2004 => File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken. Sun Oct 24 12:21:47 2004 => Result: ERROR!!! File C:\WINDOWS\SchedLgU.Txt: Scanning Failure!!! Sun Oct 24 12:21:47 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\SchedLgU.Txt Sun Oct 24 12:21:50 2004 => Result: ERROR!!! File C:\WINDOWS\WindowsUpdate.log: Scanning Failure!!! Sun Oct 24 12:21:50 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\WindowsUpdate.log Sun Oct 24 12:23:11 2004 => File C:\WINDOWS\system32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sun Oct 24 12:24:09 2004 => File C:\WINDOWS\system32\NetSis.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sun Oct 24 12:24:22 2004 => *** File C:\WINDOWS\system32\oembios.bin having Size Restriction *** Sun Oct 24 12:24:34 2004 => File C:\WINDOWS\system32\qqwucc.exe infected by "not-a-virus:AdvWare.Adstart.b" Virus. Action Taken: No Action Taken. Sun Oct 24 12:24:43 2004 => File C:\WINDOWS\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Sun Oct 24 12:24:43 2004 => Result: ERROR!!! File C:\WINDOWS\system32\saie.log: Scanning Failure!!! Sun Oct 24 12:24:43 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\saie.log Sun Oct 24 12:24:44 2004 => File C:\WINDOWS\system32\saiehook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken. Sun Oct 24 12:24:49 2004 => *** File C:\WINDOWS\system32\shell32.dll having Size Restriction *** Sun Oct 24 12:25:02 2004 => File C:\WINDOWS\system32\stcloader.exe infected by "Trojan.Win32.SecondThought.av" Virus. Action Taken: No Action Taken. |
24.10.2004, 12:25 | #6 | |
| Bitte euch um Hilfe Hallo cifer2003, ich hab' das befürchtet, als ich Dein Logfile sah: Zitat:
"Backdoor.Win32.Rbot.gen' ist ein Wurm, der anderen Netzteilnehmern Fernzugriff auf Deinen Rechner erlaubt. Das System Deines Rechners ist kompromittiert. Solltest Du online-banking oder andere wichtige Dinge auf Deinem Rechner erledigen, kann es sein, dass ein anderer Dir dabei in den Rechner schaut ... und alles ausspioniert, was sich auf Deinem Rechner tut. Die Einträge, die dieser Wurm im System hinterläßt sind für Laaien nicht erkennbar und nur sehr schwer zu beseitigen. Dein Rechner ist nicht nur für Dich selbst ein Risiko sondern auch für andere Netzteilnehmer. Wir empfehlen daher das System zu formatieren und neu aufzusetzen: 10 Punkte beachten. MfG SD |
24.10.2004, 13:14 | #8 |
| Bitte euch um Hilfe ...mist......... ...keine andere möglichkeit das system zu bereinigen.......??? |
24.10.2004, 13:22 | #9 | |
Administrator, a.D. | Bitte euch um HilfeZitat:
siehe auch http://faq.underflow.de/#SECTION000120000000000000000 http://oschad.de/wiki/index.php/Kompromittierung |
Themen zu Bitte euch um Hilfe |
ad aware, askbar, browser, button, drivers, excel, explorer, helfen, hijack, hijackthis, hilfe, internet, internet explorer, meinem, messenger, microsoft, microsoft security, neu, object, programme, rundll, rundll32.exe, security, software, spyware, system, system32, t-online, tcpip, trojaner, tuneup utilities, urlsearchhook, viren, windows, windows messenger, windows xp |