|
Hilfe bei Logfile - traue mich nicht weiter... Hallo! Nun komme ich nicht mehr weiter. Bin ja eigentlich nur dumme Userin und habe schon mal ziemlich Schiss, an die Registry zu gehen. War so stolz, dass ich Purity.exe mit einem Tool wegbekommen habe. Aber trotz AntiVir und Ad-aware habe ich irgendwie noch mehr Probleme. AntiVir erkennt jetzt (aber leider nicht als er angeflogen kam!) RbotLD1. Und noch so einige cab-Dateien, die infiziert sind. Anbei ist mein Hijackthis-file und nun bin ich ratlos. Bevor ich Unsinn verzapfe, wollt ich mal lieber fragen! Also: Tausend Dank für Eure Tipps! Logfile of HijackThis v1.98.2 Scan saved at 20:22:04, on 29.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\msdtc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\mqsvc.exe C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\QuickTime\qttask.exe C:\windows\system32\taskmgn.exe C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\System32\mqtgsvc.exe C:\WINDOWS\System32\alg.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Lexmark X6100 Series\lxbfbmon.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\QuickTime\qttask.exe C:\windows\system32\taskmgn.exe C:\Programme\TrojanHunter 3.9\THGuard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\smro.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Programme\WinAce\WinAce.exe C:\Dokumente und Einstellungen\Kerstin\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Programme\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DSLMON.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de Bitte jetzt keine vernichtenden Urteile... DANKE :confused: |
So leid es mir tut, aber wahrscheinlich wirst du dein System formatieren und neu aufsetzen müssen (aktive Backdoors) Scanne deinen PC trotzdem vorher mit eScan im abgesicherten Modus und poste was gefunden wurde. |
Ohhhh neiiiin!!!! Das KANN ich nicht! Ich mach erstmal das andere... E-scan und so. Die svchost.exe habe ich schon online bei Kaspersky oder wie der Knabe heißt, gescannt. Die ist sauber. Die automatische Logfile-Auswertung habe ich auch. Habe aber Schiss, einfach so was zu "fixen", wie man so schön sagt. Und das mit dem abgesicherten Modus *schluck* - das mache ich jetzt zum allerersten Mal. Wenn nachher alles Matsche ist, kenn ich jemanden, der mich neu formatiert :confused: Lange Rede kurzer Sinn, nach dem E-Scan melde ich mich wieder, wenn's mich dann noch gibt... |
Der eScan macht dir sicher nichts kaputt. Zitat:
Und formatieren kann jeder, wer es nicht kann lernt es! Der abgesicherte Modus ist im Link erklärt, falls es nicht funktioniert die F8 Taste kurz nach dem Einschalten länger/mehrmals drücken. mfg Haui |
So Haui! Bin wieder da, Adrenalinspiegel hoch. Ich habs geschafft. Das ganze Log soll ich ja wohl nicht posten. Also hier das Kurz-Ergebnis: File C:\windows\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\kihdk.dll infected by "Trojan.Win32.StartPage.qv" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken. is nich gut, oder? Aber wo ist der Rbot, den AntiVir meldet?! :confused: Kann ich das nicht alles wieder sauber machen??? |
Poste mal bitte aus der mwav.log (im Verzeichnis C:\bases) folgendes: Total Files Scanned: Total Virus(es) Found: Total Disinfected Files: Total Files Renamed: Total Deleted Files: Total Errors: Time Elapsed: Virus Database Date: Virus Database Count: dürfte ganz am Ende stehen. |
Hier isset: Mon Nov 29 21:12:23 2004 => Total Files Scanned: 2928 Mon Nov 29 21:12:23 2004 => Total Virus(es) Found: 3 Mon Nov 29 21:12:23 2004 => Total Disinfected Files: 0 Mon Nov 29 21:12:23 2004 => Total Files Renamed: 0 Mon Nov 29 21:12:23 2004 => Total Deleted Files: 0 Mon Nov 29 21:12:23 2004 => Total Errors: 2 Mon Nov 29 21:12:23 2004 => Time Elapsed: 00:02:14 Mon Nov 29 21:12:23 2004 => Virus Database Date: 2004/11/29 Mon Nov 29 21:12:23 2004 => Virus Database Count: 110858 Mon Nov 29 21:12:23 2004 => Scan Completed. Spannung..... *trommelwirbel* |
Hab ich mir gedacht. Scanne deinen PC erneut mit eScan im abgesicherten Modus und wähle die Option "all local drives", damit dein ganzes System gescannt wird! |
ich sach ja: dumme userin bis gleich :aplaus: |
Aber wie schon gesagt, bei einem aktiven Backdoor ist formatieren die Lösung. |
Das „bis gleich“ war natürlich ein Witz! Jedenfalls hab ich jetzt alles durch und das Fluchen hinter mir. Ich raffe das nicht... Wofür hab ich eigentlich ein Antiviren-Programm laufen, das ich alle 1 bis 2 Tage upgedatet habe? Und wofür hab ich ad-aware? Das begreif ich nicht. Muss ich wirklich alles posten? Oder reicht das hier: Mon Nov 29 23:24:40 2004 => Total Files Scanned: 103979 Mon Nov 29 23:24:40 2004 => Total Virus(es) Found: 44 Mon Nov 29 23:24:40 2004 => Total Disinfected Files: 0 Mon Nov 29 23:24:40 2004 => Total Files Renamed: 0 Mon Nov 29 23:24:40 2004 => Total Deleted Files: 0 Mon Nov 29 23:24:40 2004 => Total Errors: 3 Mon Nov 29 23:24:40 2004 => Time Elapsed: 01:26:51 Wenn Du die Details brauchst, kürze ich die Log und poste sie doch noch. Aber ich denke, ich les mich mal ein, wie das mit dem neu formatieren geht?! Was muss ich vorher beachten, damit ich den Mist nicht wieder kriege? Ein paar Daten muss ich nämlich auf jeden Fall „rüber-retten“. Wird mich ein Router (den ich nächste Woche kriege) in Zukunft schützen (surfe mit DSL)? Bin ziemlich fertig :juul: |
Was wurde von eScan gefunden? Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen (Zitat Cidre) Lesen: http://www.mathematik.uni-marburg.de...ompromise.html http://www.trojaner-board.de/showpos...8&postcount=12 <- da steht eigentlich alles drin auch übers Formatieren. Zitat:
mfg Haui |
Du hast es so gewollt... File C:\windows\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\kihdk.dll infected by "Trojan.Win32.StartPage.qv" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken. …….\Anwendungsdaten\smro.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken. …..\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken. …. infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. ….\Temporary Internet Files\Content.IE5\CLOX6JG1\ads[1].hta infected by "TrojanDropper.VBS.Inor.as" Virus. Action Taken: No Action Taken. ….\Content.IE5\CLOX6JG1\EGAUTH_1022_EN_XP[1].cab infected by "Trojan.Win32.P2E.ai" Virus. Action Taken: No Action Taken. .....\Content.IE5\CLOX6JG1\enter[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. ….. infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. …… infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. …… infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. …..\Content.IE5\GVZ7209H\10043[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. ...….\Content.IE5\GVZ7209H\11225[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. …….\Content.IE5\GVZ7209H\bestthumb[1].htm infected by "Trojan-Downloader.JS.Linker.c" Virus. Action Taken: No Action Taken. …….\Content.IE5\GVZ7209H\cax[1].cab tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken. .....\Content.IE5\GVZ7209H\enter[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. ….\Content.IE5\GVZ7209H\object2[1].hta infected by "TrojanDropper.JS.Small.g" Virus. Action Taken: No Action Taken. ….\Content.IE5\I2D4AU5A\ieloader[1].cab infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken. …\Content.IE5\I2D4AU5A\ieloader[3].cab infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken. …..\Content.IE5\I2D4AU5A\ieloader[4].cab infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken. …..\Content.IE5\IJO0ARRA\ieloader[1].cab infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken. ….\Content.IE5\IJO0ARRA\ieloader[2].cab infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken. …\Content.IE5\IJO0ARRA\vbiewer[1].cab infected by "TrojanDownloader.Win32.Holica.c" Virus. Action Taken: No Action Taken. ….. infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. …… infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken. ……\Content.IE5\RVDVZ1GW\enter[2].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. …..\Content.IE5\SHAR4HI7\EGAUTH_1022_EN_XP[1].cab infected by "Trojan.Win32.P2E.ai" Virus. Action Taken: No Action Taken. ……\Content.IE5\SHAR4HI7\v3cab[1].cab infected by "TrojanDownloader.Win32.Small.xo" Virus. Action Taken: No Action Taken. …..\Content.IE5\V1C6PJT8\EGAUTH_1023_EN_XP[1].cab infected by "Trojan.Win32.P2E.ak" Virus. Action Taken: No Action Taken. …..\Content.IE5\WHUZ8LUF\object2[1].hta infected by "TrojanDropper.JS.Small.g" Virus. Action Taken: No Action Taken. …..\Content.IE5\WHUZ8LUF\object2[2].hta infected by "TrojanDropper.JS.Small.g" Virus. Action Taken: No Action Taken. ……..IE5\WHUZ8LUF\ysb_regular[1].cab infected by "Trojan-Downloader.Win32.IstBar.gb" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-484763869-1563985344-725345543-1005\Dc1.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP356\A0048604.dll tagged as not-a-virus:AdWare.PurityScan.z. No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP356\A0048605.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP365\A0054102.exe infected by "TrojanDownloader.Win32.Small.vc" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP365\A0054103.exe infected by "TrojanDownloader.Win32.Small.st" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP365\A0054104.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken. File C:\System Volume Information\_restore{1EBDEC90-D42B-4AA7-8F6F-5F46FDC20B5C}\RP365\A0054131.exe infected by "TrojanDownloader.Win32.Agent.bj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx tagged as not-a-virus:AdWare.MediaTickets.f. No Action Taken. File C:\WINDOWS\system32\kihdk.dll infected by "Trojan.Win32.StartPage.qv" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\taskmgn.exe infected by "Trojan.Win32.Agent.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Temp\sp.html infected by "Trojan.JS.StartPage.u" Virus. Action Taken: No Action Taken.[/SIZE] mein Gott.... und nun?! |
Hab mir das Markieren dann gespart... bei der Menge! |
Hallo Haui (und natürlich auch alle anderen Spezialisten)! Fange schon mal mit Aufräumarbeiten an. Sichere Partition D (Daten) auf CD-ROM. Kann ich die dann nachher wieder aufspielen, wenn ich ein paar Scanner drüberlaufen lasse? Wobei der Scan ja in D nichts gefunden hat. Dann wäre das doch wohl ziemlich sauber?! Bitte, bitte nochmal gute Ratschläge... :schmoll: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board