|
Erbitte Auswertung meines Logfiles Hi, ich hatte einige Zeit Probleme mit dem Trojaner TR/Vidro.U. Nachdem ich ihn gelöscht hatte, war er bei jedem Neustart wieder da. Das ging mehrere Monate. Dann war er plötzlich verschwunden, obwohl ich, soweit ich weiß, nichts Spezielles dagegen unternommen habe. Zwischendurch hatte ich immer wieder kleinere Probleme, wie z.B. mit Hängern beim Anmelden, einem nur 10 sec dauernden Scan von Spybot oder mit 2 Dateien im Temp-ordner, die ich nicht löschen/öffnen kann. KA, ob sie schädlich sind. (~DF1E66.tmp und ~DF1E59.tmp). Im Systemstart sind auch Dateien von denen ich nicht weiß, ob sie schädlich sind. Beim Googlen tauchten bei einem jedenfalls Hinweise auf einen Virus auf.(StartCpl.exe) Daher erbitte ich eine Auswertung meines HJT Logfiles, damit ich weiß, woran ich bin. Logfile of HijackThis v1.99.1 Scan saved at 19:00:12, on 26.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\EzButton\CPLBTS88.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *** O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [nmdllw] xwiz.exe O4 - HKLM\..\Run: [media64] StartCpl.exe O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\Run: [dmfwv.exe] C:\WINDOWS\system32\dmfwv.exe O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - Startup: OpenOffice.org 2.1.lnk.disabled O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe O4 - Global Startup: Launchy.lnk.disabled O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} - h**p://de.moneycentral.msn.com/cabs/pmupdate2.exe O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_EN_XP.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{185E3CBF-5013-4AD9-80CD-79CC321D0D9E}: NameServer = **5.95.218.1,**.255.112.* O17 - HKLM\System\CCS\Services\Tcpip\..\{29F249DD-E81F-417A-B1A6-64FCC06EDDDE}: NameServer = **5.95.218.1,**.255.112.* O17 - HKLM\System\CCS\Services\Tcpip\..\{5BD68CD3-40E0-40DF-8C25-CF9852428064}: NameServer = **5.95.218.1,**.255.112.* O17 - HKLM\System\CS1\Services\Tcpip\..\{185E3CBF-5013-4AD9-80CD-79CC321D0D9E}: NameServer = **5.95.218.1,**.255.112.* O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Habe die IP's weiter unten im Logfile ebenfalls durch Sternchen unkenntlich gemacht, war das richtig? |
Hallo und http://www.world-of-smilies.com/wos_...hilder1020.gif im Trojaner Board! 1. Diese Zeilen hier: Zitat:
Außerdem: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) Gruß Sunny |
Vielen Dank für die schnelle Hilfe, das ging ja echt fix :) So, eScan hat lange gescannt, aber jetzt hab ich das Log-File. Der erste Updateversuch ist fehlgeschlagen, der 2. hat funktioniert. Die richtige IP:195.95.218.1,85.255.112.7 Meldung von Virustotal:0 bytes size received / Se ha recibido un archivo vacio Bei Schritt 13 der eScan Anleitung habe ich nicht über Start>Ausführen>cmd neu gebootet, sondern den PC ausgeschaltet und dann neu hochgefahren, ist das schlimm? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.04.20.01 Installationssprache Deutsch find.bat im normalen Modus ausgefuehrt Microsoft Windows XP [Version 5.1.2600] Version REG_SZ 9.1.9 Thu Apr 26 19:51:00 2007 => Virus-Datenbank Datum: 4/25/2007 Thu Apr 26 20:10:34 2007 => Virus-Datenbank Datum: 4/25/2007 Thu Apr 26 22:19:17 2007 => Virus-Datenbank Datum: 4/25/2007 Thu Apr 26 22:20:44 2007 => Virus-Datenbank Datum: 4/25/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 26 20:30:35 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Apr 26 20:30:36 2007 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Apr 26 20:30:37 2007 => Object "UnSpyPC adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Apr 26 20:30:38 2007 => Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Apr 26 20:30:48 2007 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Thu Apr 26 20:30:55 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen. Thu Apr 26 20:30:55 2007 => System found infected with wareout Adware (C:\WINDOWS\rdt.ini)! Action taken: Keine Aktion vorgenommen. Thu Apr 26 20:30:56 2007 => System found infected with wareout Adware (C:\WINDOWS\system32\loadctr32.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu Apr 26 20:30:55 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll Thu Apr 26 20:30:55 2007 => Offending file found: C:\WINDOWS\rdt.ini Thu Apr 26 20:30:56 2007 => Offending file found: C:\WINDOWS\system32\loadctr32.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Thu Apr 26 20:30:48 2007 => Offending Folder found: C:\Dokumente und Einstellungen\***\Desktop\alles\blitztbasic\mediendateien\graphics\cliparts\jpeg s&gifs\photos\classic photos jpeg\apparel ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Thu Apr 26 20:30:35 2007 => Offending Key found: HKLM\Software\magnet !!! Thu Apr 26 20:30:36 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\urls !!! Thu Apr 26 20:30:38 2007 => Offending Key found: HKCU\\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 26 19:58:24 2007 => Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 26 20:31:15 2007 => C:\WINDOWS\system32\msexnpbi.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Thu Apr 26 20:34:48 2007 => C:\WINDOWS\system32\msexnpbi.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Thu Apr 26 21:22:26 2007 => C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDEZ8PIZ\gamesplayer[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 26 20:10:34 2007 => Gescannte Dateien: 1446 Thu Apr 26 22:19:17 2007 => Gescannte Dateien: 125101 Thu Apr 26 20:10:34 2007 => Gefundene Viren: 0 Thu Apr 26 22:19:17 2007 => Gefundene Viren: 8 Thu Apr 26 20:10:34 2007 => Anzahl der desinfizierten Dateien: 0 Thu Apr 26 22:19:17 2007 => Anzahl der desinfizierten Dateien: 0 Thu Apr 26 20:10:34 2007 => Umbenannte Dateien: 0 Thu Apr 26 22:19:17 2007 => Umbenannte Dateien: 0 Thu Apr 26 20:10:34 2007 => Anzahl der gelöschten Dateien: 0 Thu Apr 26 22:19:17 2007 => Anzahl der gelöschten Dateien: 0 Thu Apr 26 20:10:34 2007 => Anzahl Fehler: 4 Thu Apr 26 22:19:17 2007 => Anzahl Fehler: 254 Thu Apr 26 20:10:34 2007 => Dauer des Scans bisher: 00:12:03 Thu Apr 26 22:19:17 2007 => Dauer des Scans bisher: 02:07:38 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Apr 26 19:58:07 2007 => Specherüberprüfung: Aktiviert Thu Apr 26 20:11:20 2007 => Specherüberprüfung: Aktiviert Thu Apr 26 19:58:07 2007 => Registry Überprüfung: Aktiviert Thu Apr 26 20:11:20 2007 => Registry Überprüfung: Aktiviert Thu Apr 26 19:58:07 2007 => System-Ordner Überprüfung: Aktiviert Thu Apr 26 20:11:20 2007 => System-Ordner Überprüfung: Aktiviert Thu Apr 26 19:58:07 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Apr 26 20:11:20 2007 => Überprüfung der Systembereiche: Deaktiviert Thu Apr 26 19:58:07 2007 => Überprüfung der Dienste: Aktiviert Thu Apr 26 20:11:20 2007 => Überprüfung der Dienste: Aktiviert Thu Apr 26 19:58:07 2007 => Überprüfung der Festplatten: Deaktiviert Thu Apr 26 20:11:20 2007 => Überprüfung der Festplatten: Deaktiviert Thu Apr 26 19:58:07 2007 => Überprüfung aller Festplatten :Aktiviert Thu Apr 26 20:11:20 2007 => Überprüfung aller Festplatten :Aktiviert |
Was muss ich als nächstes tun? |
Sunnys Dateien online überprüfen lassen ;) |
Wenn du diesen Teil meinst: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board