Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   heuristische Malware (https://www.trojaner-board.de/40522-heuristische-malware.html)

windes 02.07.2007 08:32
heuristische Malware
 
Hallo,
wer kann mir helfen?

Habe beim Start von Windows NT 2000 eine Antivir-Virusmeldung
Heuristische Malware in winstystem32.
Betroffen darin ist eine dll-Datei.
Obwohl ich den Zugriff verweigert habe, funktionieren einige Programme nicht.
Wie kann ich das Problem beheben?
Für Hilfe wäre ich sehr dankbar.

Gruß
Andreas

Löru 02.07.2007 12:10
Geheimtipp: Abgsicherter modus, hijackthis Log ;)


gruss Löru

Sunny 02.07.2007 12:27
Zitat:
Zitat von Löru (Beitrag 276776)
Geheimtipp: Abgsicherter modus, hijackthis Log ;)


gruss Löru
Und was soll das bringen das Logfile im abgesicherten Modus zu erstellen?

Löru 02.07.2007 12:47
Zitat:
Zitat von [Gc]Sunny (Beitrag 276782)
Und was soll das bringen das Logfile im abgesicherten Modus zu erstellen?
Da bei ihm einige Programme im normalen Modus nicht funktionieren würde ich den PC im abgesicherten modus scannen und dann ein Hijackthis erstellen.

gruss Löru

windes 02.07.2007 14:30
Kann ich das logfile hier posten?

nochdigger 02.07.2007 15:48
Moin

Zitat:
Kann ich das logfile hier posten?
versuch es doch mal:rolleyes:
halte dich aber bitte daran wie Hijackthis logs zu posten sind,
also alle aktiven links entschärfen und deinen Realname unkenntlich machen.

MFG

windes 03.07.2007 09:30
Hallo,
na toll,da habt Ihr mir Fachidiot aber ne Aufgabe gestellt.
Da ich nicht weiß was ihr unter aktive Links und Realnamen versteht (denn ich kann beides auch hier nicht erkennen) hoffe ich mal, ich habe mit diesem Logfile nicht die Regeln verletzt.
Sollte es so sein so bitte ich meine Unwissenheit zu entschuldigen und werde es unverzüglich korrigieren.

mit Dank
windes


Logfile of HijackThis v1.97.7
Scan saved at 17:52:40, on 02.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINZIP\winzip32.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38376.9790162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD17BB2A-47FD-489B-B625-EFA31E342615}:

undoreal 03.07.2007 09:42
HUHU :dummguck: Ich tu's mal für Sunny:

Wir brauchen ei HJT log aus dem normalen Modus!!

Zitat:
Obwohl ich den Zugriff verweigert habe, funktionieren einige Programme nicht.
das ist ja genau das Problem. Versuche bitte das logFile im normalen Modus zu erstellen. Wenn das nicht klappt erlaube den Zugriff auf die Datei. Dann sollte alles ganz normal funktionieren!
Bei heuristischen Funden würde ich eh vorsichtig sein..

Gruß

Undoreal

windes 03.07.2007 10:20
Wo aktivier ich den Zugriff auf alle Dateien?

undoreal 03.07.2007 10:29
Zitat:
Wo aktivier ich den Zugriff auf alle Dateien?
wie meinen?

Als Admin solltest du vollen Zugriff haben..

Gruß

Undoreal

windes 03.07.2007 10:53
sollte ich :lach:

na gut, hoffe jetzt den richtigen logfile erstellt zu haben.


Logfile of HijackThis v1.97.7
Scan saved at 12:00:59, on 03.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\WINNT\system32\RUNDLL32.exe
C:\WINNT\system32\RUNDLL32.exe
C:\Programme\Microsoft Office\Office\excel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

C:\windows\system32\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec

Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [USSShReg]

C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared

Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe

/autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search &

Destroy\TeaTimer.exe
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead

PhotoImpact\ABMTSR.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk =

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk =

C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) -

http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX

Control) -

http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus

scanner) -

http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94

901338C922/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI

Utility Class) -

http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} -

http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38376.9

790162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash

Object) -

http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 -

HKLM\System\CCS\Services\Tcpip\..\{4454A7FF-A548-4CBA-BB02-375D99C842BB

}:
O17 -

HKLM\System\CCS\Services\Tcpip\..\{CD17BB2A-47FD-489B-B625-EFA31E342615

}:


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131