Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Nich killbar?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.12.2004, 17:17   #1
celric
 
Nich killbar? - Ausrufezeichen

Nich killbar?



Ich versuch jetzt schon ein paar Tage ein paar Hartnäckige Hijacker oder was das ist zu killen. Irgendwie will das nicht so wie ich will. Habe mir hier alles mögliche durchgelesen, im abgesicherten Modus mit HijackThis alles mögliche gefixed.. oder mit SpyBot S&D.
Immer wenn ichs gefixt habe kommt es wieder?!
------------------------------------
HiJackThis - LOG:

Logfile of HijackThis v1.98.2
Scan saved at 17:34:24, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

------------------------------------------------------------
SpyBot - LOG:

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-21-1960408961-2111687655-1343024091-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registry change, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

Common hijacker: Redirected host (Redirected host, nothing done)


Common hijacker: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Bootconf: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Loadbat: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Msconfd: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Oslogo: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Tapicfg: Redirected host (Redirected host, nothing done)


CoolWWWSearch.Xmlmimefilter: Redirected host (Redirected host, nothing done)


IGetNet: Redirected host (Redirected host, nothing done)



--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-11-17 Includes\Dialer.sbi
2004-11-17 Includes\Hijackers.sbi
2004-11-17 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-11-17 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-10-25 Includes\Security.sbi
2004-11-17 Includes\Spybots.sbi
2004-10-21 Includes\Tracks.uti
2004-11-17 Includes\Trojans.sbi
-----------------------------------------------------

Jedesmal wenn ich die CoolWWWSearch -Sachen etc. lösche, kommen sie beim nächsten scan wieder, manchmal wollen die nichtmal richtig gefixt werden..

habs schon im abgesicherten Modus versucht zu löschen..
hmm
Weiß jemand weiter?
Danke schonmal im voraus

celric

Alt 01.12.2004, 17:56   #2
Cidre
Administrator, a.D.
 
Nich killbar? - Standard

Nich killbar?



Danach das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp


Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten
__________________

__________________

Alt 01.12.2004, 20:04   #3
celric
 
Nich killbar? - Standard

Nich killbar?



daaanke.. !!!!
nu ist das endlich auch vorbei..
was ne verdammte arbeit die man davon hat wenn man nich regelmäßig updated.. und mein antivir guard (der ständig aktuell ist) hat nix gemerkt.. echt ne schweinerei
__________________

Alt 01.12.2004, 20:06   #4
Cidre
Administrator, a.D.
 
Nich killbar? - Standard

Nich killbar?



Dieser Punkt steht noch aus:
Zitat:
- neues Log-File von HijackThis und die Virus Log Information von eScan posten
__________________
Gruß, Cidre


Alt 02.12.2004, 17:06   #5
celric
 
Nich killbar? - Standard

Nich killbar?



Logfile of HijackThis v1.98.2
Scan saved at 18:01:55, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Explorer
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE
O4 - Startup: Zone Labs Security.lnk = C:\Programme\ZoneAlarm\zlclient.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

------

ich denk das R1 - Explorer ding kann ich auch noch löschen..
ansonste ist meine hosts-file auch wieder in ordnung..

Escan findet nur noch so eine odse.exe-file die ich aber nicht finden kann.
(Auch nicht im, von Escan, angegebenen Ordner)

so danke denn nochmal,
celric


Alt 02.12.2004, 22:15   #6
Shadowdance
 
Nich killbar? - Standard

Nich killbar?



Hallo celric,

wir wüssten gerne das Ergebnis des eScan. Wenn Du meinst, dass Du unsere Hilfe nicht mehr benötigst und weisst, welche Viren welche Auswirkungen haben, ist es natürlich in Ordnung, dass Du mit einem Dankeschön entschwindest. Es ist allerdings möglich, dass Du dabei den einen oder anderen Virus mit Backdoor-Funktionalität auf dem System nicht erkannt hast, nun mit einem vermeintlich sicheren oder sauberen System weitersurfst, während Dein Rechner längst in fremder Hand ist. Um dies ausschließen zu können, fragen wir die User, zB. Dich, uns das Ergebnis des eScan mitzuteilen.

Teile uns also bitte das Geamt-Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Shadowdance

Alt 04.12.2004, 12:25   #7
celric
 
Nich killbar? - Standard

Nich killbar?



File C:\Dokumente und Einstellungen\X\Anwendungsdaten\odse.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.

File C:\WINDOWS\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{EF5D2C9D-B830-496D-BE93-7DF599FA6C6C}\RP48\A0033980.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{EF5D2C9D-B830-496D-BE93-7DF599FA6C6C}\RP48\A0031901.exe infected by "TrojanDownloader.Win32.Agent.eq" Virus. Action Taken: No Action Taken.

Die letzten 3 hab ich gelöscht.
Diese "odse.exe" kann ich nicht finden?
Keine Ahnung was das soll.. der findet die jedesmal aber die gibts nicht.
Ansonsten frag ich mich was diese "System Volume Information" darstellt. Da sind ne menge RPXX-Folders, in denen ne Menge Dateien sind.
Bedeutet das "_restore......", dass man die Folder alle löschen kann oder lieber nicht antasten?

Ok, nochmals danke für die Hilfe!

Alt 04.12.2004, 13:36   #8
celric
 
Nich killbar? - Standard

Nich killbar?



Ok jetzt habe ich keine Lust mehr.
Da isses schon wieder..

Jetz werd ich mir nochn paar Sachen durchlesen zum neu Aufsetzen vom System und dann hau ich das System weg.
Kann doch nich sein, man man man..

Trotzdem danke auch wenns im Endeffekt nichts gebracht hat *g*
Jetzt bin ich schlauer und sicher mein System gleich mit SpyBot etc.

Antwort

Themen zu Nich killbar?
abgesicherten modus, button, desktop, dll, einstellungen, exploit, explorer, hijacker, hijackthis, internet, internet explorer, log, messenger, microsoft, object, programme, registry, rundll, s-1-5-18, software, sp2, spybot, start, system, system32, windows, windows messenger, windows xp



Ähnliche Themen: Nich killbar?


  1. Multiple instanzen verschiedener Prozesse laufen, nicht killbar.
    Plagegeister aller Art und deren Bekämpfung - 27.05.2014 (30)
  2. Malwarebyte Otl Avir Gmer können nicht vollständig ausgeführt werden. Prozess ist nicht killbar.
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (3)
  3. BOO/Sinowal.F will einfach nich weg !
    Plagegeister aller Art und deren Bekämpfung - 07.10.2010 (23)
  4. Conficker.AF/Z.30, werde ihn nich los
    Plagegeister aller Art und deren Bekämpfung - 20.08.2010 (1)
  5. Bin nich sicher was los is
    Mülltonne - 25.11.2008 (0)
  6. Desktop nich veränderbar
    Mülltonne - 14.08.2008 (0)
  7. virus da und will nich weg...
    Plagegeister aller Art und deren Bekämpfung - 20.01.2008 (8)
  8. dropper.agent.bmh nicht killbar
    Log-Analyse und Auswertung - 16.01.2008 (10)
  9. Irgendwas stimmt nich...
    Log-Analyse und Auswertung - 23.04.2007 (4)
  10. Trojaner moo.dll nich löschbar
    Antiviren-, Firewall- und andere Schutzprogramme - 17.03.2007 (2)
  11. Trojaner moo.dll nich löschbar
    Log-Analyse und Auswertung - 15.03.2007 (1)
  12. pc macht nich was ich will
    Log-Analyse und Auswertung - 31.01.2007 (16)
  13. Wurm etc oder nich?
    Log-Analyse und Auswertung - 02.01.2007 (1)
  14. TR/Spy.perfect.3 werd ich nich los! PS:ich bin neu
    Plagegeister aller Art und deren Bekämpfung - 26.08.2006 (2)
  15. Stimmt da was nich mit der Logfile??
    Log-Analyse und Auswertung - 10.01.2006 (6)
  16. spyware will nich weg
    Plagegeister aller Art und deren Bekämpfung - 20.12.2005 (8)
  17. Dsl funktioniert nich...???
    Alles rund um Windows - 14.01.2005 (11)

Zum Thema Nich killbar? - Ich versuch jetzt schon ein paar Tage ein paar Hartnäckige Hijacker oder was das ist zu killen. Irgendwie will das nicht so wie ich will. Habe mir hier alles mögliche - Nich killbar?...
Archiv
Du betrachtest: Nich killbar? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.