|
Windows Safety Alert - Trojaner geatarnt als Virusprogramm? hallo, habe mir gestern ein nerviges programm eingefangen mit dem namen "Windows Safety Alert", dass mir permanent suggerieren will, dass mein PC infiziert ist und ich doch irgendeine software von denen runterladen soll :mad: was ich bemerkt habe ist, dass dateien von mir verschwunden sind, die ich über icq und msn empfangen habe, kann das mit diesem Virus/spy oder was auch immer zu tun haben? hab über google zu diesem thema einige foren durchsucht, bin aber dieser ganzen computerfachsprache nicht so mächtig... was ich schon einmal gemacht habe: ein HijackLog ausgefürht. Dabei kam folgendes ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 13:27:34, on 17.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Video ActiveX Access\imsmain.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Video ActiveX Access\imsmn.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\hijack\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ich hoffe ihr könnt mir mit möglichst leicht verständlichen anweisungen weiterhelfen. danke Franz |
Zitat:
|
also soll ich jetze diesen smitfraudfix scan machen? im normalen oder abgesicherten modus? wie gelange ich in den abgesicherten modus? danke für deine hilfe |
@sfranzl mach genau das, was im Thread steht. BTW: Wenn du dich den Nub gehalten hättest, würdest du keinen neuen Thread öffnen. Zitat:
|
ich habe über google danach gesucht, nur leider sind die anweisungen für mich immer ein wenig unübersichtilich... ich werde jetzt im abgesicherten modus ein hijack und das andere logfile ausführen und dann hier die ergebnisse posten !? |
ich hab im abgesicherten modus mit smitfraud diese clean aktiion durchgeführt und dann folgendes logfile erhalten: SmitFraudFix v2.204 Scan done at 14:57:58,32, 17.07.2007 Run from C:\Programme\hijack\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{33b8d257-07f6-4c06-8605-94bc21728635}"="discommodiousness" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost 127.0.0.1 localhost 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted C:\Programme\Video ActiveX Access\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End hijack logfile habe ich auch im abgesicherten modus erstellt: Logfile of HijackThis v1.99.1 Scan saved at 15:01:29, on 17.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\hijack\hijackthis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ich hoffe ich habe bis jetzt alles richtig gemacht, wie soll ich nun fortfahren? danke schon mal für deine hilfe / geduld mit mir... PS: das gelbe system alert dreick is nach dem neustart aus dem abgesicherten modus aus der taskleiste verschwunden ~>hoffnung :rolleyes: |
Starte HijackThis mit "Do a System Scan only". Markiere sodann diese beiden Zeilen mittels Setzens eines Häkchens: Code: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)Starte das System neu. Erstell anschließend mit Datfind sechs LogFiles wie dort beschrieben, und poste sie hier (bitte nur jeweils die Einträge der letzten dreißig Tage). |
hier die 6 logs der reihe nach: system32.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\WINDOWS\system32 17.07.2007 15:31 13.646 wpa.dbl 17.07.2007 15:30 25.065 wmpscheme.xml 17.07.2007 14:58 0 tmp.txt 17.07.2007 14:58 2.686 tmp.reg 11.07.2007 16:38 8.704 onljweo.dll 28.06.2007 09:57 16.256.984 MRT.exe 28.05.2007 12:08 191.384 FNTCACHE.DAT systemtemp.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\DOKUME~1\Paule\LOKALE~1\Temp windows.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\WINDOWS 17.07.2007 15:31 0 0.log 17.07.2007 15:31 1.591.495 WindowsUpdate.log 17.07.2007 15:31 159 wiadebug.log 17.07.2007 15:31 50 wiaservc.log 17.07.2007 15:30 2.048 bootstat.dat 17.07.2007 15:29 32.622 SchedLgU.Txt 17.07.2007 14:58 176.891 setupact.log 17.07.2007 14:55 100.136 ntbtlog.txt 17.07.2007 13:01 1.409 QTFont.for 17.07.2007 13:01 54.156 QTFont.qfn 12.07.2007 18:21 86.762 wmsetup.log 12.07.2007 18:21 951.860 setupapi.log 11.07.2007 16:42 124.962 iis6.log 11.07.2007 16:42 274.880 comsetup.log 11.07.2007 16:42 166.660 ntdtcsetup.log 11.07.2007 16:42 1.374 imsins.log 11.07.2007 16:42 311.840 tsoc.log 11.07.2007 16:42 44.739 ocmsn.log 11.07.2007 16:42 12.391 KB936357.log 11.07.2007 16:42 399.640 ocgen.log 11.07.2007 16:42 40.426 msgsocm.log 11.07.2007 16:42 791.052 FaxSetup.log 12.06.2007 21:33 1.374 imsins.BAK 12.06.2007 21:33 18.274 KB933566.log 12.06.2007 21:33 51.291 updspapi.log 12.06.2007 21:32 11.792 KB929123.log 12.06.2007 21:32 11.152 KB935840.log 12.06.2007 21:29 11.102 KB935839.log temp.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\WINDOWS\Temp 17.07.2007 15:31 409 WGANotify.settings 17.07.2007 15:30 255 WGAErrLog.txt 16.07.2007 22:09 0 Upd50.tmp 15.07.2007 19:24 0 Upd4F.tmp 14.07.2007 16:23 0 Upd4E.tmp 13.07.2007 16:21 0 Upd4D.tmp 12.07.2007 16:21 0 Upd4C.tmp 11.07.2007 16:42 6.907 NetFxUpdate_v1.1.4322.log 11.07.2007 16:39 25.852 netfxsl.log 11.07.2007 16:20 0 Upd4B.tmp 10.07.2007 16:20 0 Upd4A.tmp 09.07.2007 16:20 0 Upd48.tmp 08.07.2007 12:56 0 Upd47.tmp 06.07.2007 17:50 0 Upd46.tmp 05.07.2007 17:50 0 Upd45.tmp 04.07.2007 16:19 0 Upd44.tmp 03.07.2007 16:19 0 Upd43.tmp 02.07.2007 15:24 0 Upd42.tmp 01.07.2007 15:16 0 Upd41.tmp 30.06.2007 15:16 0 Upd40.tmp 29.06.2007 14:34 0 Upd3E.tmp 24.06.2007 23:58 0 Upd3D.tmp 23.06.2007 23:19 0 Upd3C.tmp 22.06.2007 18:56 0 Upd3F.tmp 21.06.2007 18:56 0 Upd3A.tmp 20.06.2007 18:56 0 Upd39.tmp 19.06.2007 18:56 0 Upd38.tmp 18.06.2007 18:56 0 Upd37.tmp 17.06.2007 16:05 0 Upd36.tmp 16.06.2007 12:02 0 Upd35.tmp 15.06.2007 12:02 0 Upd34.tmp 14.06.2007 00:00 0 Upd32.tmp 13.06.2007 00:00 0 Upd2F.tmp 12.06.2007 00:00 0 Upd3B.tmp down.txt 02.08.2005 als letztes datum also nicht relevant !? c.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\ 17.07.2007 15:38 0 sys.txt 17.07.2007 15:38 938 down.txt 17.07.2007 15:37 12.589 temp.txt 17.07.2007 15:37 12.164 windows.txt 17.07.2007 15:36 133 systemtemp.txt 17.07.2007 15:35 96.514 system32.txt 17.07.2007 15:30 267.964.416 hiberfil.sys 17.07.2007 15:30 2.097.152.000 pagefile.sys 17.07.2007 15:27 145 Verknpfung mit CD-Laufwerk.lnk 17.07.2007 15:00 2.781 rapport1.txt 17.07.2007 14:59 1.958 rapport.txt danke für deine bemühungen |
Code: C:\WINDOWS\system32\onljweo.dll |
onljweo.dll Antivirus Version Last Update Result AhnLab-V3 2007.7.14.0 2007.07.17 no virus found AntiVir 7.4.0.42 2007.07.17 no virus found Authentium 4.93.8 2007.07.17 no virus found Avast 4.7.997.0 2007.07.16 no virus found AVG 7.5.0.476 2007.07.16 no virus found BitDefender 7.2 2007.07.17 no virus found CAT-QuickHeal 9.00 2007.07.16 no virus found ClamAV devel-20070416 2007.07.17 Trojan.Small-3149 DrWeb 4.33 2007.07.17 no virus found eSafe 7.0.15.0 2007.07.16 no virus found eTrust-Vet 30.8.3789 2007.07.17 no virus found Ewido 4.0 2007.07.17 no virus found FileAdvisor 1 2007.07.17 no virus found Fortinet 2.91.0.0 2007.07.17 no virus found F-Prot 4.3.2.48 2007.07.17 no virus found Ikarus T3.1.1.8 2007.07.17 no virus found Kaspersky 4.0.2.24 2007.07.17 no virus found McAfee 5075 2007.07.16 no virus found Microsoft 1.2704 2007.07.17 no virus found NOD32v2 2402 2007.07.17 Win32/Hoax.Renos.NBY Norman 5.80.02 2007.07.17 no virus found Panda 9.0.0.4 2007.07.17 no virus found Sophos 4.19.0 2007.07.16 no virus found Sunbelt 2.2.907.0 2007.07.16 Trojan.FakeAlert Symantec 10 2007.07.17 Downloader TheHacker 6.1.7.148 2007.07.16 no virus found VBA32 3.12.2 2007.07.16 no virus found VirusBuster 4.3.23:9 2007.07.16 no virus found Webwasher-Gateway 6.0.1 2007.07.17 Win32.UPXpacked.gen!94 (suspicious) Aditional information File size: 8704 bytes MD5: d3eb500a60b0d7823a7202f902bbe638 SHA1: ab97ced5bd0190010373eb1c9cfd8a8f640beff2 packers: UPX packers: UPX packers: UPX Sunbelt info: Trojan.FakeAlert consists of files that cause false warnings of spyware on the computer. Usually the alerts are displayed in a balloon type pop-up from an icon in the system tray. das ist das vollständige ergebnis :rolleyes: sieht ja nicht so prickelnd aus !? |
Zitat:
A.) Beende etwaige andere Arbeiten am PC. B.) Lade Dir Killbox: KillBox.Net C.) Klick dort auf "Download KillBox" und speichere die dann geladene Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung. D.) Führe "KillBox.exe" aus. E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf "Delete on Reboot". F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf. G.) Kopiere nun aus diesem Posting diesen einen Pfad (nicht mehr und nicht weniger, nur diese eine Zeile, die hinter diesem Doppelpunkt folgt): Code: C:\WINDOWS\system32\onljweo.dll"File", dann "Paste from Clipboard". I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem weißen Kreuz. J.) Es kommt nun die Frage, ob das System neu gestartet werden soll. Bestätige mit "Ja". Melde Dich nach dem Neustart mit einem sodann erstellten neuen HijackThis-Logfile und einem neuen ersten Datfind-LogFile (die fünf folgenden LogFiles brauchen wir nicht neu) wieder. |
Logfile of HijackThis v1.99.1 Scan saved at 16:42:21, on 17.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\Programme\BenQ\QMusic2\QMAgent.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\hijack\hijackthis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234 O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe system32.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 70E5-FFA6 Verzeichnis von C:\WINDOWS\system32 17.07.2007 16:41 13.646 wpa.dbl 17.07.2007 16:40 25.065 wmpscheme.xml 17.07.2007 14:58 0 tmp.txt 17.07.2007 14:58 2.686 tmp.reg 28.06.2007 09:57 16.256.984 MRT.exe 28.05.2007 12:08 191.384 FNTCACHE.DAT 16.05.2007 17:11 683.520 inetcomm.dll |
Für den Moment sieht das gar nicht mal so schlecht aus. Ich sage Dir aber gleich, dass ich ein Neuaufsetzen des Systems in der Konsequenz für die sicherste und daher empfehlenswerteste Lösung halte! Nun kannst Du Dich etwas informieren und auf Schwachstellensuche gehen: Findet Kaspersky vielleicht noch irgendwelche Exploits im Chache, die auf Lücken hinweisen könnten? Das geht so: 1.) Beende - vorerst auch für künftige Neustarts - den lokal laufenden Virenscanner. Er muss zunächst inaktiv bleiben, damit es beim Scan unter Punkt 2 keine Konflikte gibt. 2.) Nutze nun Kaspersky (mit dem IE, oberen Button, Kaspersky Online Scanner), um Dein System komplett durchzuscannen. Dazu musst Du im IE erst einige Active-X-Steuerelemente bestätigen, dann folgt das Laden des Scannermoduls und der Signaturen. Wenn das durch ist, klick auf "Weiter". Dann erscheint eine mit einem dünnen grauen Rahmen umrandete Auswahlliste mit der Überschrift "Bitte wählen Sie ein Untersuchungsobjekt aus". Unten rechts davon ist ein Button "Scan-Einstellungen". Ändere dort im Bereich AntiViren-Datenbanken die Auswahl von "Standard" zu "Erweiterte", darunter nimm den Haken bei Mail-Datenbanken raus, den anderen belasse. Bestätige mit OK. Jetzt klick im grau umrandeten Auswahlfehld auf "Arbeitsplatz", und es beginnt die systemweite Schädlingssuche. Das kann etwas dauern, also Geduld. Speichere letztlich das Scanergebnis in einer txt-Datei ab ("Protokoll speichern als"), und poste deren Inhalt hier. Im nächsten Schritt führst Du diesen Scan aus: Prüfung installierter Software auf Aktualität: Secunia Software Inspector Auch diese Ergebnisse teilst Du hier mit. |
ok, hast du eine ungefähre ahnung wie lange das dauern wird? und warum sollte kaspersky etwas finden, obwohl es beim virustotal test nicht einmal die durchsuchte datei als infiziert erkannt hat? |
Zitat:
Zitat:
Zitat:
|
nagut^^ dann lass ich ihn mal suchen... darf ich in der zeit icq/msn benutzen oder sollte ich das lieber sein lassen? das surfen werde ich aufgrund meines deaktivierten virenschutzes natürlich sein lassen. wie lange wirst du heute hier in diesem forum als ansprechpartner zur verfügung stehen, falls das wirklich stunden dauern sollte? |
Solange Du nirgends draufklickst und keine Dateien annimmst ... Zusatz: Normalerweise gehört jedes infizierte System sofort vom Netzwerk (hier: Internet) getrennt. Das macht dann jedoch in der Regel Ferndiagnose und Hilfestellungen über ein Forum wie dieses schwierig oder unmöglich, weil und wenn der betroffene Benutzer keinen Zweit-PC oder keine Notfallstart-CD zur Hand hat. Wenn Kaspersky die Signaturen geladen hat und der Scan läuft, braucht er keine Internetverbindung mehr. Ich würde daher das System in dieser Zeit besser vom Internet trennen. |
ok, dann mach ich mein modem jetzt aus und hoffe einfach, dass du nachher noch online bist... PS: Untersuchungszeit: 24 Minuten Untersucht: [2%] :rolleyes: |
nach 4h 50 minuten hat sich dieser suchlauf komplett aufgehangen...98% aller daten waren zu diesem zeitpunkt durchsucht 2 viren gefunden 7 infizierte dateien gefunden danach bewegte sich 30minuten überhaupt nichts mehr am pc (sogar die uhr hing :rolleyes: ) sodass ich jetze völlig frustriert die reset taste gedrückt habe... wie soll ich nun fortfahren? |
Das ist natürlich ärgerlich, zumal die wichtigste Information, welche Schädlinge wo gefunden wurden, nicht mehr auszulesen ist. Versuche es alternativ mit eScan: http://www.trojaner-board.de/24192-e...en-ab-7-x.html Poste danach gemäß Anleitung die "Virus Log Information". Siehe dazu auf der verlinkten Seiten den roten Punkt [5]. |
ok, dann mach ich das jetzt, wie lange bist du noch wach? wenn das nichts bringt, dann lass ich den kaspersky test da die nacht über nocheinmal durchlaufen in der hoffnung, dass wir dann herausfinden, welche dateien infiziert sind. |
............... |
....................... |
Nein, nicht die ganze Log-Datei! Ich schrieb, Du solltest Punkt [5] beachten! |
..................... |
..................... |
Bitte editiere Deine vorigen Postings mit den eScan-Ergebnissen und lösche die LogFile-Abschnitte jeweils komplett heraus. Das hist ist wichtig und soll gepostet werden: http://www.trojaner-board.de/38066-e...ightymarc.html |
tschuldigung ich weiß jetzt leider nicht, was ich genau posten soll... und aus dem link den du gepostet hast werde ich leider auch nicht schlauer... tut mir leid, hoffe du kannst mir genau sagen was ich posten soll... |
ich glaub ich habe es selbst herausgefunden ist es das hier, was du benötigst? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: English Virus Database Date: 7/18/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken. System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\Dokumente und Einstellungen\Paule\Favoriten\ebay.url ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 4 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 2 Time Elapsed: 00:04:36 Total Objects Scanned: 7517 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Disabled System Area Check: Disabled Services Check: Enabled Drive Check: Disabled All Drive Check :Enabled All Drive Check :Enabled Batchstart: 1:09:42,03 Batchende: 1:09:51,67 |
Siehe hier: Zitat:
Ich hoffe, das ist verständlich genug erklärt. Allerdings lässt meine Konzentration jetzt doch erheblich nach. Daher verabschiede ich mich für diese Nacht aus diesem Thread. Bis "morgen". |
Zitat:
ich habe das gefühl, das wir kurz vor der lösung des problems stehen :crazy: |
nagut dann geh ich auch mal ins bett, ich lass kaspersky die nacht über nocheinmal durchlaufen, ich hoffe du kannst mir morgen weiterhelfen. danke mmk! lg franz |
guten morgen an alle, könnte mir vielleicht jemand anders weiterhelfen... was muss ich jetze machen, da ihr nun das escan logfile seht... vielen dank für eure hilfe... franz |
Hi, also dein eScanlog scheint sauber zu sein. Die 3 bemängelten Dateien (process, sreg und swsc) gehören zu Smitfraudfix und ebay.url ist eben nur ein Eintrag in den Favoriten. Daher ist es umso wichtiger, dass wir rausfinden, was dein Antivirenprogramm wo gefunden hatte. Den Scan also bitte bei Gelegenheit nachholen. Mich interessiert außerdem ob du diese Datei bei dir noch finden kannst: Zitat:
lg myrtille |
ich hab die nach über kaspersky nochmal durchlaufen lassen... ich bin schlafen gegangen. als der suchlauf fertig war is der pc in den stand-by modus übergegangen. als ich aufgewacht bin und an der maus gewackelt hab, ist er aus dem standby für 15 minuten (ich geb ihm ja immer ein wenig zeit^^) nicht wieder hochgefahren, es war nur eine graue fläche auf dem bildschirm zu sehen -.- somit hab ich die ergebnisse des zweiten suchlaufs leider ebenfalls nicht, wäre ein dritter ratsam? ich suche nun nach der datei. |
habe die datei gefunden und überprüfe sie jetzt. danke für deine unterstüzung. |
Ok, ich bin wohl blind. Es wäre sicherlich ratsam den Kaperskyscan zuende zu führen, allerdings würde ich dich erstmal bitten den eScan nochmal zu wiederholen, da die Statistiken: Zitat:
Üblicher wären 100.000 Dateien, sowie etwa eine Stunde Scanzeit oder hast du deinen Rechner vor kurzer Zeit neuaufgesetzt? Gab es denn bei dem Scan irgendwelche Auffälligkeiten? lg myrtille |
Zitat:
beim escan war etwas auffällig, dass nach der ersten meldung eines virus die meldung kam, man müsse escan nun kaufen, danach lief der scan nicht weiter und ich dachte er wäre nun zu ende...was hätte ich in dieser situation klicken sollen? nun zuerst den escan oder den kaspersky scan nachholen? das ergebnis der datei kann ich gleich posten |
AhnLab-V3 2007.7.18.0 2007.07.18 no virus found AntiVir 7.4.0.42 2007.07.18 no virus found Authentium 4.93.8 2007.07.18 no virus found Avast 4.7.997.0 2007.07.17 no virus found AVG 7.5.0.476 2007.07.17 no virus found BitDefender 7.2 2007.07.17 no virus found CAT-QuickHeal 9.00 2007.07.17 no virus found ClamAV devel-20070416 2007.07.18 no virus found DrWeb 4.33 2007.07.18 no virus found eSafe 7.0.15.0 2007.07.17 no virus found eTrust-Vet 30.8.3791 2007.07.18 no virus found Ewido 4.0 2007.07.18 no virus found FileAdvisor 1 2007.07.18 no virus found Fortinet 2.91.0.0 2007.07.18 no virus found F-Prot 4.3.2.48 2007.07.17 no virus found F-Secure 6.70.13030.0 2007.07.18 no virus found Ikarus T3.1.1.8 2007.07.18 no virus found Kaspersky 4.0.2.24 2007.07.18 no virus found McAfee 5076 2007.07.17 no virus found Microsoft 1.2704 2007.07.18 no virus found NOD32v2 2404 2007.07.17 no virus found Norman 5.80.02 2007.07.17 no virus found Panda 9.0.0.4 2007.07.18 no virus found Sophos 4.19.0 2007.07.17 no virus found Sunbelt 2.2.907.0 2007.07.18 no virus found Symantec 10 2007.07.18 no virus found TheHacker 6.1.7.148 2007.07.16 no virus found VBA32 3.12.2 2007.07.17 no virus found VirusBuster 4.3.23:9 2007.07.17 no virus found Webwasher-Gateway 6.0.1 2007.07.18 no virus found Aditional information File size: 273920 bytes MD5: 6a49f3894f295f7daae4355945c40850 SHA1: 4454230da03f7549e3566dc5a576d830839a08ed immer no virus found |
Zitat:
Erscheint bei dir ein Popup, dass du eScan erwerben sollst, oder was passiert? lg myrtille |
http://www.trojaner-board.de/24192-e...en-ab-7-x.html schau dir das mal an! bei punkt 4 siehst du dieses fenster was sich geöffnet hat, dort hab ich wie dort auch steht auf ok geklickt, und danach öffnete sich wieder das scan fenster, nur der scan lief nicht weiter... unten rechts sind 4 schaltflächen (wie auch auf dem bild dort zu sehen): Buy eScan Stop Scrolling View Log Cancel :confused: da hatte ich dann gestern view log geklickt weil ich dachte er sei fertig... |
Doch der Scan läuft weiter, es werden dann nur nicht zwangsläufig alle Dateien gezeigt, die er überprüft. eScan schließt sich (zumindest bei mir ;)) wenn er fertig ist von selbst, lass ihm also einfach die Zeit die er braucht und warte darauf, dass er sich beendet. :) Klicken braucht man gar nichts. :) lg myrtille |
okay, dann werd ich das mal in angriff nehmen, allerdings kamen nach dieser ersten virus detected meldung auch keine neuen zeilen in diesem "Protokoll" hinzu, es sah also ziemlich doll nach stillstand aus... aber ich werde es jetze nocheinmal machen |
Ja, wie gesagt, der Scan scheint zu stoppen, allerdings läuft die Zeit unten weiter. Einfach abwarten bis sich der eScan von selber schließt. ;) Dann sollte das alles funktioneren. :) Ist der eScan fertig erscheint ein "Scan vollständig" lg myrtille |
so ich war ja im abgesicherten modus, also konnte ich auch keine inetverbindung aufbauen, musste aber auf buy eScan klicken, dann öffnete sich der ie mit "seite kann nicht angezeigt werden". als ich ihn wieder schloss stoppte der scan wieder, sodass ich dann während des gesamten scans den browser mit "seite kann nicht angezeigt werden" offen hatte ~ komisch aber okay, hier ist das ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.3.1 Sprache: English Virus Database Date: 7/17/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken. System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Programme\hijack\hijackthis\backups\backup-20070717-152814-707.dll//UPX tagged as "not-a-virus:AdWare.Win32.Stud.d". Action Taken: No Action Taken. File C:\Programme\hijack\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. File C:\Programme\hijack\SmitfraudFix\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken. File C:\Programme\ICQ\icq5_1_prosieben.exe//UPX tagged as "not-a-virus:AdWare.Win32.Stud.d". Action Taken: No Action Taken. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WVP76ABH\swflash[1].cab not Scanned. Possibly password protected... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WVP76ABH\swflash[2].cab not Scanned. Possibly password protected... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X7ZN11SE\swflash[1].cab not Scanned. Possibly password protected... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X7ZN11SE\swflash[2].cab not Scanned. Possibly password protected... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X7ZN11SE\swflash[3].cab not Scanned. Possibly password protected... C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X7ZN11SE\swflash[4].cab not Scanned. Possibly password protected... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Total Critical Objects: 8 Total Disinfected Objects: 0 Total Objects Renamed: 0 Total Deleted Objects: 0 Total Errors: 36 Time Elapsed: 01:58:58 Total Objects Scanned: 91861 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Memory Check: Enabled Registry Check: Enabled System Folder Check: Disabled System Area Check: Disabled Services Check: Enabled Drive Check: Disabled All Drive Check :Enabled All Drive Check :Enabled Batchstart: 15:09:26,85 Batchende: 15:09:43,95 |
Lass bitte noch folgende Datei bei virustotal auswerten: Zitat:
Zitat:
lg myrtille |
heidewitzka: backup-20070717-152814-707.dll AhnLab-V3 2007.7.18.0 2007.07.18 Win-AppCare/Stud.9728 AntiVir 7.4.0.42 2007.07.18 ADSPY/Stud.D Authentium 4.93.8 2007.07.18 no virus found Avast 4.7.997.0 2007.07.17 Win32:Trojano-3384 AVG 7.5.0.476 2007.07.17 Adware Generic.WNV BitDefender 7.2 2007.07.17 Adware.Stud.I CAT-QuickHeal 9.00 2007.07.18 AdWare.Stud.d (Not a Virus) ClamAV devel-20070416 2007.07.18 Adware.BHO-15 DrWeb 4.33 2007.07.18 no virus found eSafe 7.0.15.0 2007.07.17 no virus found eTrust-Vet 30.8.3791 2007.07.18 no virus found Ewido 4.0 2007.07.18 Adware.Stud FileAdvisor 1 2007.07.18 no virus found Fortinet 2.91.0.0 2007.07.18 no virus found F-Prot 4.3.2.48 2007.07.17 W32/Adware.IJT F-Secure 6.70.13030.0 2007.07.18 no virus found Ikarus T3.1.1.8 2007.07.18 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 2007.07.18 not-a-virus:AdWare.Win32.Stud.d McAfee 5076 2007.07.17 no virus found Microsoft 1.2704 2007.07.18 Trojan:Win32/Webprefix NOD32v2 2404 2007.07.17 Win32/Adware.BHO.AA Norman 5.80.02 2007.07.18 W32/Stud.Y Panda 9.0.0.4 2007.07.18 no virus found Sophos 4.19.0 2007.07.17 MapKon Sunbelt 2.2.907.0 2007.07.18 no virus found Symantec 10 2007.07.18 Adware.Webprefix TheHacker 6.1.7.148 2007.07.16 Adware/Stud.d VBA32 3.12.2 2007.07.17 AdWare.Win32.Stud.d VirusBuster 4.3.23:9 2007.07.17 Adware.BHO.EC Webwasher-Gateway 6.0.1 2007.07.18 Ad-Spyware.Stud.D Aditional information File size: 19056 bytes MD5: 7b5f646164e7f916ced8b458ce1c0a5f SHA1: 19bb58f5f0c5ea5f81cd1bd527c39fb0c55d9521 packers: UPX packers: UPX packers: UPX packers: UPX icq5_1_prosieben.exe AhnLab-V3 2007.7.18.0 2007.07.18 Win-AppCare/Stud.33430 AntiVir 7.4.0.42 2007.07.18 ADSPY/Stud.D.1 Authentium 4.93.8 2007.07.18 W32/Trojan.ABOK Avast 4.7.997.0 2007.07.17 Win32:Trojano-3384 AVG 7.5.0.476 2007.07.17 Adware Generic.XRE BitDefender 7.2 2007.07.17 Adware.Stud.P CAT-QuickHeal 9.00 2007.07.18 AdWare.Stud.d (Not a Virus) ClamAV devel-20070416 2007.07.18 Adware.Dropper-3 DrWeb 4.33 2007.07.18 no virus found eSafe 7.0.15.0 2007.07.17 suspicious Trojan/Worm eTrust-Vet 30.8.3791 2007.07.18 no virus found Ewido 4.0 2007.07.18 Adware.Stud FileAdvisor 1 2007.07.18 no virus found Fortinet 2.91.0.0 2007.07.18 Adware/Stud F-Prot 4.3.2.48 2007.07.17 W32/Trojan.ABOK F-Secure 6.70.13030.0 2007.07.18 no virus found Ikarus T3.1.1.8 2007.07.18 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 2007.07.18 not-a-virus:AdWare.Win32.Stud.d McAfee 5076 2007.07.17 no virus found Microsoft 1.2704 2007.07.18 no virus found NOD32v2 2404 2007.07.17 Win32/Adware.BHO.AA Norman 5.80.02 2007.07.18 W32/Stud.AA Panda 9.0.0.4 2007.07.18 Adware/CWS.Yexe Sophos 4.19.0 2007.07.17 Mapkon Installer Sunbelt 2.2.907.0 2007.07.18 no virus found Symantec 10 2007.07.18 no virus found TheHacker 6.1.7.148 2007.07.16 Adware/Stud.d VBA32 3.12.2 2007.07.17 AdWare.Win32.Stud.d VirusBuster 4.3.23:9 2007.07.17 Adware.BHO.EC Webwasher-Gateway 6.0.1 2007.07.18 Ad-Spyware.Stud.D.1 Aditional information File size: 33459 bytes MD5: 543d319f323b6a847aa8908fdf56596a SHA1: 5a1b2937c983715cee43d8e494c591a0a2d5b88c packers: UPX, UPX packers: UPX |
soll ich die beiden mit killbox löschen? systemwiederherstellung habe ich wieder AKTIVIERT und danach neues hijack logfile? |
Ich bin mir zwar nicht sicher, aber ich vermute, dass die Meldungen wegen der icqsearchbar kommen, die nunja schon sehr viele Malwarecharaktere besitzt. Ich würd dir empfehlen nen alternativen client wie miranda, trillian, gaim zu benutzen anstatt icq5.3 und diesen zu deinstallieren. Mein erster Verdacht, dass icq jetzt genau wie messengerplus swizzor verbreitet hat sich jedenfalls erstmal nicht erhärtet. lg myrtille EDIT: Ja erstelle mal ein neues HJT-Logfile. Die Dateien solltest du löschen(per Hand sollte allerdings vollkommen ausreichen), dir aber im klaren sein, dass iCQ dann nicht mehr funktionieren wird. Wenn du das willst, dann deinstallier ICQ vorher und lösche gleich den ganze icq ordner. |
also die toolbar von icq stört mich eigentlich eher weniger... ich kann sie doch auch einfach über systemeinstellungen-> software deinstallieren oder? was ist mit der anderen datei...wieso sollte diese datei im hijack ordner (den ich ja erst gestern angelegt habe) ein schädling sein? die gesamten safety alert meldungen sind übrigens schon lange weg, ich möchte nur wissen, ob ich jetze wieder relativ beruhigt surfen kann, (und auch passwörter eingeben darf)? |
Das ist ein Backup einer Datei ist, die du vorher mit HJT entfernt hast, weil sie von einem Schädling erstellt worden ist, deswegen befindet sie sich im hijackthisordner. :) lg myrtille |
okay, also ist sie ungefährlich... !? und die icq exe...ich meine, dass ich damit halt einfach nur icq installiert hab^^ PS: direkt nach dem befall ist mir aufgefallen, dass alle dateien verschwunden sind, die ich in letzter zeit über msn/icq empfangen hab... ist das damit in zusammenhang zu setzen? darf ich jetzt wieder lossurfen, oder sollte ich mir noch von anderen meinungen einholen? |
kleiner zusatz: dateien, die ich aus den ordnern, in denen alle bei den messengern empfange dateien landen herausverschoben habe, sind noch da. -> nur die empfangenen daten, die sich noch in den "Empfangs"ordnern befanden wurden gelöscht |
Da kenne ich mich gar nicht aus. Vielleicht sind die durch ein Update gelöscht worden? Oder sie werden eh regelmäßig gelöscht? Keine Ahnung, vllt ausversehen selbst gelöscht? Ansonsten denk ich mal dürftest du soweit sauber sein. lg myritlle |
okay vielen dank schonmal. eine frage noch: Bei dem gescheiterten Kaspersky-Suchlauf gestern abend, hatte er bei 98% zwei gefundenen Viren und sieben infizierte Dateien ausfindig gemacht. leider hing sich mein pc dann auf, sodass ich dann den report des berichts, und damit die infizierten dateien nicht sehen konnte. was sagst du dazu? |
Im auge behalten. Evtl noch andere Scanner wie a-squared versuchen und gucken was gefunden wird. Solange man nicht weiß, was er findet lässt sich schwer sagen, wie schwer der Befall ist. 2 der befallenen Dateien dürften auf jedenfall schonmal die sein, die wir eben gescannt haben. Die werden ja auch von kapersky erkannt. lg myrtille |
Zitat:
|
Hier: a2 Der installiert sich allerdings als Dienst und lässt sich dann beim starten immer ausführen. Daher würde ich ihn nach dem Scan wieder löschen und den Eintrag mti HJT fixen. (Fixen von o23-Einträgen wird in der Anleitung von Hijackthis genauer erklärt) lg myrtille |
also das programm installieren, ihn einmal durchlaufen lassen, alles was er mir anzeigt löschen lassen und dann das ganze wieder deinstallieren und mit hjt fixen? wenn ich an speziellen punkten noch probleme hab, melde ich mich nochmal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board