Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein log...inklusive virus...? (https://www.trojaner-board.de/13743-log-inklusive-virus.html)

Nice 4 You 13.02.2005 09:59
Mein log...inklusive virus...?
 
Morgen!

Hab leider keine ahnung was ihr da so rauslest,aber ihr schafft das schon :D
zur info: ich hab anscheinend nen virus,der es immer wieder schafft,auf mein system sich zu aktualisieren!spybot findet nix,AdAware findet und löscht ihn,aber sobald ich ihn nochmal laufen lasse is er wieder da.auch stinger findet und löscht,aber dasselbe prob!

bitte um hilfe

thnx


Logfile of HijackThis v1.97.7
Scan saved at 09:54:24, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx

Lutz 13.02.2005 10:28
Zitat:
Logfile of HijackThis v1.97.7
Bitte lade Dir die aktuelle Version (direkter Download-Link) von HijackThis herunter und poste eine neue Log-Datei

Nice 4 You 13.02.2005 10:49
oh,die alte version :headbang:

hier das neue:

Logfile of HijackThis v1.99.0
Scan saved at 10:49:01, on 13.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\dermeine\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

danke

Lutz 13.02.2005 10:56
Die Log-Datei zeigt mir nichts über einen Virus an. Was aber nicht bedeuten muss, das keiner vorhanden ist!
Zitat:
AdAware findet und löscht ihn,aber sobald ich ihn nochmal laufen lasse is er wieder da.auch stinger findet und löscht,aber dasselbe prob!
Wo genau werden denn AdAware und Stinger fündig?

Mach mal zur Kontrolle einen Scan mit eScan (siehe Signatur) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Nice 4 You 13.02.2005 17:30
Hallo!

frage:
diesen ordner auf meiner partition gibt es nicht:(oder ich finde ihn nicht!)

Sun Feb 13 17:18:41 2005 => ***** Checking for specific ITW Viruses *****
Sun Feb 13 17:18:41 2005 => Checking for Welchia Virus...
Sun Feb 13 17:18:41 2005 => Checking for LovGate Virus...
Sun Feb 13 17:18:41 2005 => Checking for CodeRed Virus...
Sun Feb 13 17:18:41 2005 => Checking for OpaServ Virus...
Sun Feb 13 17:18:41 2005 => Checking for Sobig.e Virus...
Sun Feb 13 17:18:41 2005 => Checking for Winupie Virus...
Sun Feb 13 17:18:41 2005 => Checking for Swen Virus...
Sun Feb 13 17:18:41 2005 => Checking for JS.Fortnight Virus...
Sun Feb 13 17:18:41 2005 => Checking for Novarg Virus...
Sun Feb 13 17:18:41 2005 => Checking for Pagabot Virus...
Sun Feb 13 17:18:41 2005 => Checking for Parite.b Virus...
Sun Feb 13 17:18:41 2005 => Checking for Parite.a Virus...

Sun Feb 13 17:18:41 2005 => ***** Scanning complete. *****
Sun Feb 13 17:18:41 2005 => Total Files Scanned: 55472
Sun Feb 13 17:18:41 2005 => Total Virus(es) Found: 5
Sun Feb 13 17:18:41 2005 => Total Disinfected Files: 0
Sun Feb 13 17:18:41 2005 => Total Files Renamed: 0
Sun Feb 13 17:18:41 2005 => Total Deleted Files: 0
Sun Feb 13 17:18:41 2005 => Total Errors: 192
Sun Feb 13 17:18:41 2005 => Time Elapsed: 01:08:48
Sun Feb 13 17:18:41 2005 => Virus Database Date: 2005/02/09
Sun Feb 13 17:18:41 2005 => Virus Database Count: 117589

Sun Feb 13 17:18:41 2005 => Scan Completed.

File C:\Programme\AVPersonal\INFECTED\COUNT[1].HTM.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\INSTALLATIONSASSISTENT[2].OCX.VIR infected by "Trojan-Downloader.Win32.Stardler.a" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SACRED.EXE.001 infected by "not-a-virus:PornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\SACRED.EXE.VIR infected by "not-a-virus:PornWare.Dialer.Star" Virus. Action Taken: No Action Taken.
File D:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\Dd2.zip infected by "not-a-virus:PornWare.Dialer.Star" Virus. Action Taken: No Action Taken.


aber diese viren sind von antivir erkennt und gelöscht worden(INFECTED ordner)

ich denke mir,der virus Dd2 auf D,der ist,der den anderen über den systemwiederherstelungspunkt irgendwie wieder aktiviert???

hmm....

lg dermeine

chaosman 13.02.2005 18:16
@Nice 4 You
File D:\RECYCLER\S-1-5-21-1085031214-842925246-839522115-500\Dd2.zip infected by "not-a-virus:PornWare.Dialer.Star" Virus. Action Taken: No Action Taken.

mache folgendes

die dialer auf diskette speichern zwecks beweissicherung.
danach systemwiederherstellung deaktivieren, in den abgesicherten modus den rest manuell löschen, neu booten, systemwiederherstellung aktivieren.
neues HJT logfile posten
chaosman

Haui45 13.02.2005 18:20
Leere den Papierkorb.

-> Problem gelöst?

Nice 4 You 13.02.2005 21:21
Wenn das so leicht wäre...

der papierkorb wird immer geleert,wenn ich das tuneup utility laufen lasse,und den RECYCLED ordner gibts nicht bei mir,auch nicht versteckt....kann das sein???

ich mach euch probs..... :balla:

lg

ps: den vrus findet er im abgesicherten modus NICHT...das find ich komisch!

Haui45 13.02.2005 21:51
Sind die Ordneroptionen wirklich so gesetzt?
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Nice 4 You 14.02.2005 16:23
so alles gemacht,ich werd nochmal alles scannen und dann posten!

bis eben!

lg

Nice 4 You 14.02.2005 17:31
hallo!nochmal mein log:

Mon Feb 14 17:18:20 2005 => ***** Scanning complete. *****
Mon Feb 14 17:18:20 2005 => Total Files Scanned: 45796
Mon Feb 14 17:18:20 2005 => Total Virus(es) Found: 0
Mon Feb 14 17:18:20 2005 => Total Disinfected Files: 0
Mon Feb 14 17:18:20 2005 => Total Files Renamed: 0
Mon Feb 14 17:18:20 2005 => Total Deleted Files: 0
Mon Feb 14 17:18:20 2005 => Total Errors: 191
Mon Feb 14 17:18:20 2005 => Time Elapsed: 00:51:45
Mon Feb 14 17:18:20 2005 => Virus Database Date: 2005/02/09
Mon Feb 14 17:18:20 2005 => Virus Database Count: 117589

Mon Feb 14 17:18:20 2005 => Scan Completed.


Logfile of HijackThis v1.99.0
Scan saved at 17:25:36, on 14.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


der dialer ist anscheinen weg,mal schaun....höffentlich weg....

viiiiiiiiiiiiielen dank :daumenhoc

Haui45 14.02.2005 17:37
Log schaut soweit sauber aus.

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
Kannst du fixen.

O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JA...loadManager.ocx
Kenne ich nicht, du? (scheint aber harmlos zu sein)


btw: Wie hast du den Dialer denn gelöscht?

Nice 4 You 14.02.2005 20:37
Nabend! :teufel3:

hab den inhalt der ordner "RECYCLED" auf allen partitionen gelöscht,mit nem shredder,anders gings nicht!

irgendwie hat sich der virus aktualisiert,ka wie....nachdem ich das gelöscht hab,lief der AdAware drüber und er findet NICHTS...(den moment mal auskosten hrhr) endlich virenfrei!

thnx thnx thnx dermeine


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19