Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: startseite...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 29.11.2004, 22:57   #1
meinhard
 
startseite... - Standard

startseite...



Hab seit ein paar Tagen das Problem, daß meine Startseite about:blank nicht wegzubringen ist. Diese erscheint auch in dem Text wenn eine Seite nicht angezeigt werden kann.

Hab bereits adaware laufen lassen, dann cwshredder, der hat zwei Sachen gelöscht und antivir fand sechs Trojaner. Trotzdem besteht das Problem noch.

Erklärungen bitte für einen Laien verständlich formulieren!

mfG Meinhard

Alt 29.11.2004, 23:00   #2
Haui45
 
startseite... - Standard

startseite...



Poste bitte ein HijackThis Logfile in diesen Thread.
mfg Haui
__________________


Alt 29.11.2004, 23:55   #3
meinhard
 
startseite... - Standard

startseite...



Hier mein logfile, bitte um Auswertung:

Logfile of HijackThis v1.98.2
Scan saved at 23:53:29, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\iern.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\escan\mwav\mwavscan.com
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\escan\mwav\kavss.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {77DE2D83-957F-1DC7-29B3-8314649B33C1} - C:\WINDOWS\crzs32.dll
O2 - BHO: (no name) - {7F1029E8-9DB7-E8D4-F170-3D4D58BD46F6} - C:\WINDOWS\crzs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iern.exe] C:\WINDOWS\system32\iern.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF52B6F-DFC6-4C01-80AE-E35CC75944A8}: NameServer = 129.27.2.3 129.27.3.3
__________________

Geändert von meinhard (30.11.2004 um 07:35 Uhr)

Alt 30.11.2004, 09:16   #4
meinhard
 
startseite... - Standard

startseite...



Hab jetzt diese automatische Auswertung gemacht und ein paar Dinge gefixt, die kommen aber immer wieder. Wer kann mir helfen? Aktuelles logfile:

Logfile of HijackThis v1.98.2
Scan saved at 12:54:30, on 30.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\iern.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {77DE2D83-957F-1DC7-29B3-8314649B33C1} - C:\WINDOWS\crzs32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iern.exe] C:\WINDOWS\system32\iern.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx

Geändert von meinhard (30.11.2004 um 12:57 Uhr)

Alt 30.11.2004, 20:43   #5
meinhard
 
startseite... - Standard

startseite...



Jemand da, der mir helfen kann?


Alt 30.11.2004, 20:58   #6
Shadowdance
 
startseite... - Standard

startseite...



Hallo meinhard,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir das aktuelle Service Pack runter: www.windowsupdate.com

Überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\system32\iern.exe
C:\WINDOWS\crzs32.dll

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129

R3 - Default URLSearchHook is missing

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen:

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com

O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? "Öffne dazu die mwav.log -> bearbeiten -> suchen -> 'Virus' eingeben -> weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Alt 30.11.2004, 21:16   #7
meinhard
 
startseite... - Standard

startseite...



Hoff das passt so:

Service load:
0% 100%
File: GemServ.exe
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

Service load:
0% 100%
File: sdkgr32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.33 seconds taken)
Dr.Web
No viruses found (0.51 seconds taken)
F-Prot Antivirus
W32/SillyTrojan.BD@bd (0.06 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.bq (0.62 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (0.42 seconds taken)
Norman Virus Control
No viruses found (0.48 seconds taken)

Service load:
0% 100%
File: iern.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
Trojan.Downloader.Agent-23 (0.34 seconds taken)
Dr.Web
Trojan.DownLoader.1077 (0.50 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.ap (0.61 seconds taken)
mks_vir
Trojan.Downloader.Agent.Ap (0.20 seconds taken)
NOD32
No viruses found (0.46 seconds taken)
Norman Virus Control
No viruses found (2.91 seconds taken)

Service load:
0% 100%
File: crzs32.dll
Status:
INFECTED/MALWARE
Packers detected:
UPX

AntiVir
No viruses found (0.15 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.56 seconds taken)
ClamAV
Trojan.Downloader.Agent.AC (0.59 seconds taken)
Dr.Web
No viruses found (0.60 seconds taken)
F-Prot Antivirus
dropper for W32/SearchAid (0.06 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Agent.db (0.61 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (0.45 seconds taken)
Norman Virus Control
No viruses found (0.12 seconds taken)

Service Pack 2 wird gerade heruntergeladen.

mfG Meinhard

Alt 30.11.2004, 21:49   #8
Shadowdance
 
startseite... - Standard

startseite...



@ meinhard,

sei bitte so nett und sende diese Dateien:

C:\Programme\AMD\PowerNow!\GemServ.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\system32\iern.exe
C:\WINDOWS\crzs32.dll

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken, es scheint sich um neue Malware zu handeln.

SD

Alt 30.11.2004, 22:21   #9
meinhard
 
startseite... - Standard

startseite...



Mach ich natürlich.

Anmerkung zu: C:\Programme\AMD\PowerNow!\GemServ.exe

Kann das als Laie nicht so beurteilen, aber AMD\PowerNow! hat was mit den Energieoptionen meines Laptops zu tun, weiß also nicht ob GemServe.exe gefährlich ist. Werds aber auf jeden Fall mitschicken.

@ iern.exe und sdgkr32.exe, konnte ich nur in C:\ windows/prefetch als Prefetch-Datei finden, was immer das ist. Schick ich auch.

mfG Meinhard

Geändert von meinhard (30.11.2004 um 23:03 Uhr)

Alt 01.12.2004, 16:58   #10
meinhard
 
startseite... - Standard

startseite...



So, hab jetzt alles gemacht, allerdings waren im hjt nicht mehr alle Dateien da. Hab jene gefixt, die iern, sdkgr32, crzs32 enthalten haben. Hier das escan-Ergebnis an drei verschiedenen Tagen (Von zweimal 18 Treffern auf 588!!!!).

Mon Nov 29 23:36:09 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:36:27 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:36:55 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:17 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:18 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:20 2004 => File C:\WINDOWS\atlev.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:24 2004 => File C:\WINDOWS\cryv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:32 2004 => File C:\WINDOWS\igtxi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:33 2004 => File C:\WINDOWS\ipar.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:39 2004 => File C:\WINDOWS\javaof.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:40 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:37:40 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:27 2004 => File C:\WINDOWS\System32\apptn.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:27 2004 => File C:\WINDOWS\System32\appuu.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:38:36 2004 => File C:\WINDOWS\System32\bzrkc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:39:47 2004 => File C:\WINDOWS\System32\fzqbn.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:40:05 2004 => File C:\WINDOWS\System32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Mon Nov 29 23:43:35 2004 => File C:\WINDOWS\System32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:19:59 2004 => File C:\WINDOWS\system32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:21 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:29 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:41 2004 => File C:\WINDOWS\atlev.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:47 2004 => File C:\WINDOWS\cryv.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:59 2004 => File C:\WINDOWS\igtxi.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:20:59 2004 => File C:\WINDOWS\ipar.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:05 2004 => File C:\WINDOWS\javaof.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:06 2004 => File C:\WINDOWS\javaov.dll infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:43 2004 => File C:\WINDOWS\xkrqg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:21:59 2004 => File C:\WINDOWS\System32\apptn.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:22:00 2004 => File C:\WINDOWS\System32\appuu.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:22:17 2004 => File C:\WINDOWS\System32\bzrkc.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:23:24 2004 => File C:\WINDOWS\System32\fzqbn.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:23:32 2004 => File C:\WINDOWS\System32\iern.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus. Action Taken: No Action Taken.

Tue Nov 30 16:26:08 2004 => File C:\WINDOWS\System32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Aktuell: Einmal

Wed Dec 01 16:09:36 2004 => File C:\WINDOWS\system32\sdkgr32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

Dann ziemlich oft Trojan-Downloader.Win32.Agent.db

Wieder einmal:

Wed Dec 01 16:09:41 2004 => File C:\WINDOWS\anuun.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

Weiter wie vorher:

Wed Dec 01 16:09:42 2004 => File C:\WINDOWS\apieb.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus. Action Taken: No Action Taken.

noch einmal:

Wed Dec 01 16:11:01 2004 => File C:\WINDOWS\xkrqg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

und dann wieder nur der vorherige Virus

Wed Dec 01 16:15:48 2004 => Total Files Scanned: 3059
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Wed Dec 01 16:15:48 2004 => Total Disinfected Files: 0
Wed Dec 01 16:15:48 2004 => Total Files Renamed: 0
Wed Dec 01 16:15:48 2004 => Total Deleted Files: 0
Wed Dec 01 16:15:48 2004 => Total Errors: 0
Wed Dec 01 16:15:48 2004 => Time Elapsed: 00:07:08
Wed Dec 01 16:15:48 2004 => Virus Database Date: 2004/12/01
Wed Dec 01 16:15:48 2004 => Virus Database Count: 111132

Besteht da noch Chance auf Heilung? Langsam wirds mir unheimlich!

Alt 01.12.2004, 17:01   #11
meinhard
 
startseite... - Standard

startseite...



Und hier das aktuelle hjt-logfile:

Logfile of HijackThis v1.98.2
Scan saved at 17:01:34, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\AMD\PowerNow!\GemServ.exe
C:\Programme\AMD\PowerNow!\gemback.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkgr32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\xkrqg.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Dokumente und Einstellungen\Meinhard\Eigene Dateien\Programme\cwshredder\SpySub.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\MDT6\InstFred.ocx
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21b43246...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101815949755
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\MDT6\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\MDT6\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\MDT6\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DF52B6F-DFC6-4C01-80AE-E35CC75944A8}: NameServer = 129.27.2.3 129.27.3.3

Alt 01.12.2004, 19:47   #12
meinhard
 
startseite... - Standard

startseite...



Macht das überhaupt noch Sinn? Oder soll ich das tun was ich auf keinen Fall will: Neu aufsetzen?

Alt 02.12.2004, 22:30   #13
Shadowdance
 
startseite... - Standard

startseite...



Hallo meinhard,

Zitat:
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Du magst nicht neu aufsetzem wollen .. Dein System ist kompromittiert, irreparabel. Da bleibt nur noch formatieren und anhand Cidre's Rat neu aufsetzen:

Zitat:
Zitat von Cidre
Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
SD

Alt 02.12.2004, 22:33   #14
Haui45
 
startseite... - Standard

startseite...



Zitat:
Wed Dec 01 16:15:48 2004 => Total Files Scanned: 3059
Wed Dec 01 16:15:48 2004 => Total Virus(es) Found: 588
Man beachte, dass nicht mal das ganze System gescannt wurde (3059 Files sind zu wenig) und wenn es da schon 588 sind, dann möcht ich gar nicht wissen was da noch drauf ist.....

Antwort

Themen zu startseite...
about, about:blank, adaware, angezeigt, antivir, bereits, bla, blank, cwshredder, erschein, erscheint, gelöscht, laien, laufe, laufen, nicht angezeigt, problem, sache, sachen, seite, startseite, tagen, troja



Ähnliche Themen: startseite...


  1. VLC.de Virus (Startseite.de)
    Plagegeister aller Art und deren Bekämpfung - 20.06.2014 (7)
  2. Startseite ist nicht mehr Startseite
    Log-Analyse und Auswertung - 17.10.2013 (5)
  3. Startseite verschwindet
    Log-Analyse und Auswertung - 04.02.2008 (2)
  4. Startseite Firefox
    Log-Analyse und Auswertung - 08.10.2007 (0)
  5. Versa*** Startseite
    Netzwerk und Hardware - 25.09.2007 (6)
  6. Startseite gehijackt
    Log-Analyse und Auswertung - 17.01.2007 (2)
  7. Startseite
    Alles rund um Windows - 03.07.2005 (5)
  8. http://0ml.net/cat als Startseite
    Log-Analyse und Auswertung - 25.03.2005 (3)
  9. 213.159.117.134 als Startseite
    Log-Analyse und Auswertung - 13.03.2005 (5)
  10. v73.us als Startseite im IE
    Log-Analyse und Auswertung - 02.02.2005 (6)
  11. Startseite
    Plagegeister aller Art und deren Bekämpfung - 27.12.2004 (3)
  12. entführte Startseite
    Log-Analyse und Auswertung - 05.12.2004 (6)
  13. web--search in Startseite
    Log-Analyse und Auswertung - 02.12.2004 (1)
  14. Startseite IE :Search for
    Log-Analyse und Auswertung - 26.09.2004 (2)
  15. fremde startseite
    Log-Analyse und Auswertung - 23.09.2004 (1)
  16. startseite
    Plagegeister aller Art und deren Bekämpfung - 15.09.2004 (5)
  17. IE-Startseite
    Plagegeister aller Art und deren Bekämpfung - 30.03.2004 (5)

Zum Thema startseite... - Hab seit ein paar Tagen das Problem, daß meine Startseite about :blank nicht wegzubringen ist. Diese erscheint auch in dem Text wenn eine Seite nicht angezeigt werden kann. Hab bereits - startseite......
Archiv
Du betrachtest: startseite... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.