|
logfile auswertung bitte also ich hab da n paar trojaner und so gesocks auf meinem pc.. bekomm die spastis aber weder mit nortonantivir ( auf letztem stand) noch mit spybot search + destroy weg.. hier mal das log Logfile of HijackThis v1.99.0 Scan saved at 22:35:29, on 03.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\ntnut.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\Freak\Eigene Dateien\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpe.dll/blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{964BC600-935E-46FB-8A25-368760AD980A}: NameServer = 195.58.160.194,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{AF775071-A240-4D9C-9386-7A10DDD93620}: NameServer = 195.58.160.194 195.58.161.122 O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe falls euch was auffällt bitte sagen! |
trojaner TROJ_STARTPAG.C ist eigentlich als einziges drauf und n paar kleine adware-toolbars. lad dir mal escan runter und führe es im abgesicherten modus aus. vielleicht funktioniert im abgesicherten modus auch norton antivirus besser. trotzdem sollte noch das gefixt werden: O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home Bitte poste das log vom escan und hijack this bitte danach nochmal |
hmm das hier is ja auch nicht ganz rein oder ? : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpe.dll/blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm aja was meinst du mit "lad dir mal escan runter und führe es im abgesicherten modus aus" bin, was so softwarezeugs angeht, bissel ein noob :balla: kannst mir das vll. n bisschen genauer erklären bitte ?! |
|
dazu muss ich aber sagen, der kann nur scannen. ein richtiger antivirenscanner wie . Antivir</a> ist eigentlich sehr wichtig. bei der startseite bin ich mir net sicher ob das von ihm net so gewollt war, ich will ja net einfach was nicht gefährliches weglöschen. bitte poste nachdem du antivir und escan ausgeführt hast, dein hijack log nochmal. achja und @cidre falls du das liest, ich hab vom virenscanner mehr erwartet als dass er nur erkennt. und dass einträge löschen net alles ist, entspricht ja wohl der logik. aber ich gehe nach step by step. viren erkennen, viren löschen. system absichern. eben net alles aufeinmal sondern schön nach der reihe. Is vielleicht ein fehler, aber ich bin es eben von win9x damals so gewöhnt, alles schritt für schritt zu machen weils dort nicht so gefährlich mit den viren ist, bei winxp ist die gefahr ständig erhöht. So und zurück zum prob: Dass eine "reinfektion" nicht mehr vorkommt, ntsvcfg.de besuchen und das nette kleine script runterladen,ausführen und je nach inetverbindung auswählen (bei netzwerk 1,2 bei alleinstehender computer 3) achja um den virus manuell zu löschen, abgesicherten modus, und im ordner c:\windows\system32 ntnut.exe und shdocpe.dll löschen. dann nochma hijack this fixen, was ich vorhin gesagt hab, und der virus müsste sein ende gefunden haben. bitte poste das hijack this log dann aber nochma |
E-Scan ist ein "richtiger" Virenscanner und zwar mit einer höheren Erkennungsrate als Antivir (ältere Versionen haben auch noch gelöscht). Der zweite Grund, warum er hier immer empfohlen wird, ist, dass diese Version nicht installiert werden muss und es keinen Hintergrundwächter gibt weswegen er eventuell bereits vorhandenen Virenscannern nicht in die Quere kommt. Es geht zunächst ja nur um eine möglichst umfangreiche Erkennung der aktuell vorhandenen Schädlinge, niemand sagt ja, dass vorhandene Scanner durch E-Scan ersetzt werden sollen. |
@ Chris14 Ja, ich habe dein Post gelesen.;) Wenn ich eine Auswertung vornehme, dann gebe ich den unbedarften User bzw. TO auch eine Schritt für Schritt Anleitung, bloss meine Hilfe sieht anders aus: Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung -> Symptome bekämpfen -> Ursache beseitigen Ansonsten hat MK bezüglich eScan alles hervorragend niedergeschrieben und dem ist, meinerseits, nichts mehr hinzuzufügen. |
aso. dann habe ich escan falsch interpretiert. es ist also nur ein zusatz. hm ich denk ich sollte mir das programm mal ganz genau anschauen. es ist eben wohl doch nicht jedes programm auf die selbe art und weise geschrieben, sondern doch eben anders. nun denn, thx für die infos darüber. |
so mal danke für die infos :aplaus: sobald ich daheim bin, probier ich das mal aus.. aja hab ja schon gesagt dass ich n noob bin,.... wie starte ich im abgesicherten modus ? f5 ? oder so? |
ne wenn der computer startet (also so kurz bevor das windows logo kommt) F8 drücken. dann abgesicherter modus wählen |
Zitat:
Win Taste + F1 -> abgesicherter Modus eingeben -> lesen -> handeln |
Zitat:
so ich mach mich mal an die arbeit vll. schaffe ich es ja sogar :balla: |
so! hab zwar alles gemacht soweit es da stand.... aber irgendwas hab ich doch noch oben :( :balla: hier der hjt log Logfile of HijackThis v1.99.0 Scan saved at 22:50:14, on 05.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Freak\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web-searcher.info R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpe.dll/asst.htm O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{964BC600-935E-46FB-8A25-368760AD980A}: NameServer = 195.58.160.194,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{AF775071-A240-4D9C-9386-7A10DDD93620}: NameServer = 195.58.160.194 195.58.161.122 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe also was hab ich noch oben und wie bekomme ich es weg ? hab spybot search & destry und antivir drüberrennen lassen... mfg freak :balla: |
Was ergab die Überprüfung durch eScan? |
3 hab ich gelöscht, 77 hinweise ! soll ich es nochmals durchführen und den log posten? |
@freaklord EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." auch würden wir gerne wissen, welche 3 du gelöscht hast, und wo sie sich befanden chaosman |
meine fresse :confused: :balla: File C:\Programme\IESearchToolbar\IESearchToolbar.dll infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\ntnut.exe infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\Programme\IESearchToolbar\IESearchToolbar.dll infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\ntnut.exe infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ntnut.exe infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\tmp.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-de1f110-7644ddce.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv413.jar-18433e7e-440c0b36.zip infected by "TrojanDownloader.Java.OpenStream.c" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\loaderadv420.jar-19cdd09a-6ea87b47.zip infected by "TrojanDownloader.Java.OpenStream.c" Virus. Action Taken: No Action Taken. File C:\Programme\IESearchToolbar\IESearchToolbar.dll infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C8D19B4 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C9A41A5 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C9A41A5 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:26 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0C9D6BA2 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:26 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CA43F9B infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CAA1393 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0CAD3D90 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D702E2B infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D9D79F9 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0DA44DF1 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0DB41FE0 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0DDF41B1 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0DEC69A2 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:27 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0DFF658D infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E096382 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => Scanning File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E0C0D7E Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E0C0D7E infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0F9A7E64 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0FB1244B infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0FD57224 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0FE21A15 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0FE86E0E infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:28 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0FEC180B infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\16775152 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\16814F47 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\16847944 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\21E063F6 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\220107D2 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\220431CE infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3A640F48 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:29 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD1016D.exe infected by "TrojanDownloader.Win32.Small.vq" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3AD42B69.zip infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3F8F7B98 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3F9C238A infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3FA27783 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\66B55284 tagged as not-a-virus:Simulator.Win16.CardView. No Action Taken. Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\66B87C80 infected by "not-virus:Joke.Win32.JepRuss" Virus. Action Taken: No Action Taken. |
und hier der 2. teil davon !! Wed Jan 05 21:40:30 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6D6F40C7 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6D7F12B5 infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6D8910AA infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\761B53DF infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\771D48C3 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\77241CBC infected by "Exploit.IFrame.FileDownload" Virus. Action Taken: No Action Taken. Wed Jan 05 21:40:31 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\79B75351 infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{5E22F9B9-DC8B-4C28-9D06-96BD2894DCCC}\RP10\A0013214.com infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{5E22F9B9-DC8B-4C28-9D06-96BD2894DCCC}\RP10\A0013215.com infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{5E22F9B9-DC8B-4C28-9D06-96BD2894DCCC}\RP10\A0024235.com infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\ntnut.exe infected by "Trojan.Win32.Favadd.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\tmp.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken. |
verdammt, ich find die 3 gelöschten im log nichtmehr :( naja weitersuchen heissts ^^ |
oh und dann sind da viren in der systemwiederherstellung deaktivieren mit rechtsklick auf arbeitsplatz,eigenschaften systemwiederherstellung haken hin bei "systemwiederherstellung auf allen laufwerken deaktivieren" hin. (bitte bevor in den abgesicherten modus gegangen wird) falls du die dateien nicht sehen kannst, im explorer einstellen: extras/ordneroptionen/ansicht systemdateien ausblenden haken weg, systemdateien anzeigen haken hin, runterscrollen und einen haken bei alle dateien und ordner anzeigen hin. dann siehste wirklich alle dateien dann diese dateien im abgesicherten modus löschen im ordner C:\Programme\IESearchToolbar die datei IESearchToolbar.dll im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei loaderadv420.jar-19cdd09a-6ea87b47.zip im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei loaderadv413.jar-18433e7e-440c0b36.zip im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei ar3.jar-de1f110-7644ddce.zip im ordner C:\WINDOWS\System32\ die datei tmp.exe im ordner C:\WINDOWS\System32\ die datei ntnut.exe im ordner C:\System Volume Information\_restore{5E22F9B9-DC8B-4C28-9D06-96BD2894DCCC}\RP10\ die datei A0013214.com, A0013215.com und A0024235.com löschen ansonsten hat nav ja ganze arbeit geleistet. lass nav einfach den quarantäne ordner leeren. ohne den hättest du nochmehr ärger mit den viren |
aha und die restlichen ~60 ? einfach lassen? und NAV wie kann ich da den quarantäne ordner leeren? für dich bestimmt ne dumme frage , aber habs jetzt grad zum 1. mal erfahren dass es nen quarantäne ordner gibt.. |
der nav hat reagiert auf den netsky virus. er hat ihn in quarantäne gebracht wo er nix mehr in deinem system anstellen kann. ich hab das prog ja nicht, also weiß ich leider nicht wie das da nochma geht. es gibt aber die manuelle lösung in den ordner C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\ zu gehen, strg+a zu drücken und schließlich die taste über dem linken strg und entf drücken. dann mit ja bestätigen. dadurch wird alles im ordner gelöscht (in diesem ordner ist eh nichts was windows benötigt) |
so mal erstmals vielen dank ! hab mal den quarantäne ordner gelöscht ! nun geh ich mal in den abgesicherten modus mal sehen ob ich was erreiche .... danach geh ich erstmals 2-3 bier trinken... wennst willst kannst auch eins haben ;) :dummguck: |
so diese hier hab ich erfolgreich gelöscht :dummguck: im ordner C:\Programme\IESearchToolbar die datei IESearchToolbar.dll im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei loaderadv420.jar-19cdd09a-6ea87b47.zip im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei loaderadv413.jar-18433e7e-440c0b36.zip im ordner C:\Dokumente und Einstellungen\Freak\Anwendungsdaten\Sun\Java\Deplo yment\cache\javapi\v1.0\jar die datei ar3.jar-de1f110-7644ddce.zip im ordner C:\WINDOWS\System32\ die datei tmp.exe diese hier war nicht mehr oben :balla: im ordner C:\WINDOWS\System32\ die datei ntnut.exe und auf diesen ordner hab ich selbst als admin keinen zugriff :confused: im ordner C:\System Volume Information\_restore{5E22F9B9-DC8B-4C28-9D06-96BD2894DCCC}\RP10\ die datei A0013214.com, A0013215.com und A0024235.com löschen ich lass nochmal alles drüberlaufen und poste dann die logs ! mfg freak |
so mal das neue HJT log ! Logfile of HijackThis v1.99.0 Scan saved at 20:12:47, on 07.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVSched32.EXE C:\DOKUME~1\Freak\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Freak\LOKALE~1\Temp\Rar$EX00.000\HijackThis.exe O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing) O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Fast start] C:\WINDOWS\system32\ntnut.exe home O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{964BC600-935E-46FB-8A25-368760AD980A}: NameServer = 195.58.160.194,195.58.161.122 O17 - HKLM\System\CCS\Services\Tcpip\..\{AF775071-A240-4D9C-9386-7A10DDD93620}: NameServer = 195.58.160.194 195.58.161.122 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe noch was drauf was nicht drauf sein sollte ? :balla: |
@ freaklord Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack SP2 runter: www.windowsupdate.com -------------- C:\DOKUME~1\Freak\LOKALE~1\Temp\Rar$EX00.000\Hijac kThis.exe ist der falsche Ordner für Hijack This. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis. -------------- Überprüfe mit virusscan.jotti.dhs.org: C:\WINDOWS\system32\ntnut.exe Ergebnis? -------------- Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing) O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing) boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu. ----> Und wie hießen nun die 3 Viren, die Du gleich gelöscht hast? SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board