| |
| |||||||
Log-Analyse und Auswertung: Alles ok?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
17.11.2004, 19:14
| #1 |
| |  Alles ok? Hallo allesamt! Ich hab gestern versucht hl2 freizuschalten... Nach vielen erfolglosen Versuchen (Steam  ) bin ich zu dem (vielleicht falschen) Schluß gekommen, daß hl2 und steam nur geht wenn ich als root eingeloggt bin und bei meiner Internetverbindung die "Internetverbindungsfirewall" ausschalte.Nunja, hl2 ging dann - aber ich weiß nicht was ich mir alles eingefangen habe in den paar Minuten. crsss.exe (zusammen mit tftp - oder so) und noch etwas anders ist plötzlich in der Prozess-Liste aufgetaucht. Ich hab dann versucht das alles wieder weg zu bekommen. Hab ich auch alles erwischt, oder ist noch irgendwo ein Problem? Logfile of HijackThis v1.98.2 Scan saved at 19:00:52, on 17.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\internet\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe d:\System\AVPersonal\AVGUARD.EXE d:\System\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\Internet\D-Tools\daemon.exe D:\System\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\games\steam\steam.exe D:\internet\GetRight\getright.exe D:\internet\GetRight\getright.exe C:\WINDOWS\explorer.exe E:\Downloads\system\HijackThis19802.exe D:\INTERNET\FIREFOX\firefox.exe D:\System\Ad-aware 6\Ad-aware.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Acrobat6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\internet\GetRight\xx2gr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Internet\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Jet Detection] d:\Treiber\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [SmcService] D:\internet\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Microsoft WinUpdates] serm32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Develop\JBuilder9\jdk1.4\jre\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] d:\System\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent O4 - Global Startup: GetRight - Tray Icon.lnk = D:\internet\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - D:\internet\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - D:\internet\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {00000000-0000-0000-0000-000020030000} - O16 - DPF: {4E71E6DD-FB37-4641-A96E-4456399A6DB0} (CodeBabyObject Object) - http://jade.bioware.com/codebaby/codebaby.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/serialzip.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{6E2315FF-6460-4CCE-93F4-01528E418555}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB40D388-2D9F-4210-A9EF-85E5287A7D98}: NameServer = 145.253.2.196 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{5914E4A8-F650-4700-9F8B-1BBF5C093DD1}: NameServer = 192.168.0.1 |
|
17.11.2004, 19:18
| #2 |
  |  Alles ok? Scanne mal dein System mit eScan im abgesicherten Modus und poste was gefunden wurde. Stell dich aber schonmal auf formatieren und neu aufsetzen ein, da bei dir wahrscheilich einige Backdoors laufen.
__________________ |
|
17.11.2004, 19:18
| #3 |
| | Alles ok? Sollte vieleicht noch dazusagen:
__________________Ich verwende Firefox und keinen IE! Ich hab mit dem IE das Problem, das er (bei einem svg-Plugin) sproadisch und bei falschen links immer zu www.error-place.com (so ähnlich) wechselt... |
|
17.11.2004, 19:22
| #4 |
 | Alles ok? Na, da geb ich doch Haui45 ganz brutal recht. Alleine die beiden, die man auf den ersten Blick sieht, rechtfertigen imho ein Neuaufsetzen.
__________________ Der Mensch sollte eine Hundeseele haben |
|
17.11.2004, 19:43
| #5 |
| | Alles ok? Das Problem ist weniger die Firewall oder die Tatsache, dass du dich als Admin eingelogged hast, sondern, dass du offenbar keine Patches für IE und Windows installierst: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Daher das Beste: http://board.protecus.de/showtopic.p...me=1097944155& |
|
17.11.2004, 21:20
| #6 |
| | eScan Hallo ich bin wieder da. Hab eScan laufen lassen - das hat ne weile gedauert. Das Ergebnis für C File C:\WINDOWS\wipqhooz.dll infected by "TrojanDownloader.Win32.Lemmy.u" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\cfrgat32.exe infected by "Backdoor.Wisdoor.k" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\TFTP1972 infected by "Backdoor.Rbot.15" Virus. Action Taken: No Action Taken. Auf meinen anderen Partitionen hab ich noch weitere ("vergessene") gefunden. Ich hab alle infizierten Dateien manuell gelöscht. |
|
17.11.2004, 21:22
| #7 |
| | Alles ok? Die sicherste Lösung wäre trotzdem Format C: |
|
17.11.2004, 21:31
| #8 |
| | Alles ok? Und falls di dich entschliesst dein System neu aufzusetzen, gehe nach folgender Anleitung vor: http://trojaner-board.de/showthread.php?t=9546 oder nutze den Link, den Haui oder Mountainking schon gaben |
|
17.11.2004, 21:45
| #9 |
| |  Danke :) Ok, ich werde mal darauf hinsteuern das System komplett neu zu installieren. Vor allem besorg ich mir vorher die entsprechenden Updates. Vielen Dank für eure Hilfe! |
|
| Themen zu Alles ok? |
| acrobat, ad-aware, bho, browser, button, check, explorer, falsche, firefox, ftp, hijack, hijackthis, internet explorer, microsoft, office, problem, programme, sun java, system, system32, tcpip, treiber, updates, verbindung, wieder weg, windows, windows xp |
Linear-Darstellung
