Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   escan log checken (https://www.trojaner-board.de/25950-escan-log-checken.html)

Börsenfeger 17.01.2006 15:36
escan log checken
 
Hallo,
hab immer noch mein Problem mit AdAware, das nicht läuft und mit der Windows-UpDateverweigerung

Benutze Win 98 SE und surfe mit dem Fuchs. IE6 nutze ich nur zum updaten, was ja nicht geht!
:heulen:

Hier meine Log Datei von ESCAN:

Tue Jan 17 14:27:44 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jan 17 14:27:44 2006 => Loading Spyware Signatures from new External Database (Size: 146571).
Tue Jan 17 14:27:44 2006 => Indexed Spyware Databases Successfully Created...

Tue Jan 17 14:27:48 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jan 17 14:27:49 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jan 17 14:27:50 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Tue Jan 17 14:27:50 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 14:27:50 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Tue Jan 17 14:27:50 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 14:27:50 2006 => Offending Key found: HKLM\Software\limewire !!!
Tue Jan 17 14:27:50 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 14:27:50 2006 => Offending Key found: HKCU\Software\gnu !!!
Tue Jan 17 14:27:50 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jan 17 14:27:51 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Tue Jan 17 14:27:51 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.

Tue Jan 17 14:27:51 2006 => Offending file found: C:\WINDOWS\iun6002.exe
Tue Jan 17 14:27:51 2006 => System found infected with zipitpro Spyware/Adware (iun6002.exe)! Action taken: No Action Taken.

Tue Jan 17 14:27:54 2006 => Offending file found: C:\WINDOWS\Anwendungsdaten\spampal\config.dat
Tue Jan 17 14:27:54 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken.

Tue Jan 17 14:27:56 2006 => Offending file found: C:\WINDOWS\iun6002.exe
Tue Jan 17 14:27:56 2006 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.


Tue Jan 17 14:27:57 2006 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jan 17 14:27:58 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\BDEdit.exe" refers to invalid object "". Action Taken: No Action Taken.

Tue Jan 17 14:27:58 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Pharao" refers to invalid object "". Action Taken: No Action Taken.

Tue Jan 17 14:28:00 2006 => Entry "HKCR\CLSID\{BB7DF450-F119-11CD-8465-00AA00425D90}" refers to invalid object "E:\Office\Office\". Action Taken: No Action Taken.

Zu Erklärung: Ja, ich nutze Limewire, der Schlüssel c95fe080-8f5d-11d2-a20b-00aa003c157a ist in der Registry nicht vorhanden.

Die Find.bat funktioniert bei mir nicht, obwohl ich mich streng an die ANweisung gehalten habe. Sie startet und arbeitet auch, ist aber nach 15 Minuten immer noch nicht fertig, es sieht im DOS-Fenster so aus, als ob sie hängen würde.
Die Einträge BDEdit + Pharao sind korrekt und gewollt. Das eine ist ein Steuerprogramm und das andere ein Spiel!
und hier mein HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:32:31, on 17.01.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
J:\TOOLS\SYSTEM\CLIPMEM\CLIPMEM.EXE
J:\TOOLS\SICHERHEIT\ANTIVIR\AVGCTRL.EXE
J:\TOOLS\SICHERHEIT\WIN PATROL\WINPATROL.EXE
H:\AB-CLOCK\AB-CLOCK.EXE
H:\SPAMPAL\SPAMPAL.EXE
J:\TOOLS\SICHERHEIT\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\MOZILLA THUNDERBIRD\THUNDERBIRD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
H:\BOINC\BOINCMGR.EXE
H:\BOINC\BOINC.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
H:\BOINC\PROJECTS\EINSTEIN.PHYS.UWM.EDU\ALBERT_4.37_WINDOWS_INTELX86.EXE
C:\WINDOWS\EXPLORER.EXE
H:\HOOK99\HOOK99.EXE
J:\TOOLS\TUNING\RAMBOOSTER\RAMBOOSTER.EXE
H:\BOINC\PROJECTS\SETIATHOME.BERKELEY.EDU\SETIATHOME_4.18_WINDOWS_INTELX86.EXE
J:\TOOLS\SICHERHEIT\HIJACKTHIS1.99.1\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Martins Surfmaschine
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\Tools\Sicherheit\Spybot\SDHelper.dll
O2 - BHO: Acronis Popup Blocker - {E24AD748-155E-4254-B674-4EDF86E7E1DF} - H:\PRIVAC~1\BLOCKER.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [ClipMemAutoStart] J:\TOOLS\SYSTEM\CLIPMEM\CLIPMEM.EXE
O4 - HKLM\..\Run: [AVGCtrl] J:\TOOLS\SICHERHEIT\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WinPatrol] "j:\TOOLS\SICHER~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [AB-Clock] H:\AB-CLOCK\AB-CLOCK.EXE
O4 - HKCU\..\Run: [RamBooster] J:\TOOLS\TUNING\RAMBOOSTER\RAMBOOSTER.EXE
O4 - Startup: Hook99startup.lnk = H:\Hook99\hk2re.exe
O4 - Startup: TransparentW.exe
O4 - Startup: spampal.exe.lnk = H:\SpamPal\spampal.exe
O8 - Extra context menu item: Save Flash - res://H:\FLASH SAVING PLUGIN\FLASHSBUTTON.DLL/210
O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab


Eure Hilfe ist wir willkommen.
PS: Regseeker lief bis es nix mehr fand und Clearprog ist auch gelaufen.

PCNerD 17.01.2006 19:51
@Börsenfeger

Die gefundenen Spy-/Adware Komponenten müssen im nächsten Schritt beseitigt werden.

Arbeite nun bitte Teil 2 der eScan-Reinigung ab und führe einen eScanCheck1.10 durch, danke.

Zitat:
1.
Lege zunächst diesen Ordner an C:\escheck
2.
Lade dir dann eScanCheck1.10 herunter und installiere es ausschließlich in obigen Ordner
3.
Trenne deine Internetverbindung
4.
Starte das Prorgamm per Doppelklick auf das grüne Icon
5.
Wähle das Menü Datei > eScan-log öffnen..
6.
mwav.log markieren und "Öffnen" drücken
Es läd sich automatisch der Teil mit den gefundenen Einträgen des mwav-logs in das eScanCheck-Fenster
7.
Optionen wählen:
>"Alle Dateien beim Neustart löschen"
>"Sorfort neustarten wenn nötig"
8.
Drücke jetzt auf "Dateien Löschen"
9.
Verbinde deinen Rechner nach dem Neustart wieder mit dem Internet
10.
Lösche die Datei mwav.log aus dem Ordner c:\bases_x
11.
Doppelklicke auf die Datei kavupd.exe, um den eScan erneut zu updaten
12.
Führe einen weiteren eScan durch und poste das Ergebnis
PCNerD

Börsenfeger 19.01.2006 19:43
So, hat länger gedauert, aber hier ist das Log.

Thu Jan 19 18:23:31 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu Jan 19 18:23:31 2006 => Loading Spyware Signatures from new External Database (Size: 152145).
Thu Jan 19 18:23:31 2006 => Indexed Spyware Databases Successfully Created...

Thu Jan 19 18:23:40 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Jan 19 18:23:45 2006 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Thu Jan 19 18:23:46 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\limewire !!!
Thu Jan 19 18:23:46 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 19 18:23:46 2006 => Offending Key found: HKLM\Software\magnet\handlers\limewire !!!
Thu Jan 19 18:23:46 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 19 18:23:46 2006 => Offending Key found: HKLM\Software\limewire !!!
Thu Jan 19 18:23:46 2006 => Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu Jan 19 18:23:49 2006 => Offending file found: C:\WINDOWS\gpinstall.exe
Thu Jan 19 18:23:49 2006 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.


Thu Jan 19 18:23:59 2006 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Thu Jan 19 18:23:59 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\cssweb.dll". Action Taken: No Action Taken.

Thu Jan 19 18:24:00 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\cssweb.dll". Action Taken: No Action Taken.

Thu Jan 19 18:24:00 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\BDEdit.exe" refers to invalid object "". Action Taken: No Action Taken.

Thu Jan 19 18:24:00 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\Pharao" refers to invalid object "". Action Taken: No Action Taken.

Thu Jan 19 18:24:01 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AB-CLOCK.EXE" refers to invalid object "". Action Taken: No Action Taken.

Thu Jan 19 18:24:02 2006 => Entry "HKCR\CLSID\{BB7DF450-F119-11CD-8465-00AA00425D90}" refers to invalid object "E:\Office\Office\". Action Taken: No Action Taken.

Thu Jan 19 18:24:05 2006 => Entry "HKCR\CLSID\{2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2}" refers to invalid object "H:\PRIVAC~1\BLOCKER.DLL". Action Taken: No Action Taken.

Thu Jan 19 18:24:05 2006 => Entry "HKCR\CLSID\{D84F9712-30EE-405E-8460-291EF8C7AD57}" refers to invalid object "H:\PRIVAC~1\BLOCKER.DLL". Action Taken: No Action Taken.

Thu Jan 19 18:24:05 2006 => Entry "HKCR\CLSID\{1B6BE35D-93C7-42b2-A1B8-8F54426F2076}" refers to invalid object "H:\PRIVAC~1\BLOCKER.DLL". Action Taken: No Action Taken.

Thu Jan 19 18:24:05 2006 => Entry "HKCR\CLSID\{D55CF5BC-EAF9-46A6-AD7F-EE59537392AD}" refers to invalid object "H:\PRIVAC~1\BLOCKER.DLL". Action Taken: No Action Taken.

Thu Jan 19 18:24:09 2006 => Entry "HKCR\Acronis.AdBlocker.1" refers to invalid object "{E24AD748-155E-4254-B674-4EDF86E7E1DF}". Action Taken: No Action Taken.

Thu Jan 19 18:24:09 2006 => Entry "HKCR\Acronis.AdBlocker" refers to invalid object "{E24AD748-155E-4254-B674-4EDF86E7E1DF}". Action Taken: No Action Taken.


Danke und Gruß
Börsenfeger

Börsenfeger 22.01.2006 18:54
Hallo, könnte freundlicherweise nochmal jemand einen Blick auf mein Log werfen?
Vielen Dank!
Gruß
Börsenfeger


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19