Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich wünschte, ich wäre ein FACHMANN

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.12.2004, 23:15   #1
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Hallo Leute!

Ich bin mir ziemlich sicher, ich habe mir so einiges eingefangen! Hab schon so einiges versucht mit Ad-aware, Spybot - die haben auch immer etwas gefunden und entfernt, nur habe ich immer noch die selben Prozesse am Laufen und werde einfach nicht schlau daraus!
Vor allem läuft mein System um einiges langsamer und auch nicht mehr ganz so stabil, wie ich es gerne hätte!
Na ja, wie so oft ist guter Rat teuer - ich hoffe nur, ich muss nicht gleich das ganze System neu aufsetzen (die einzige Lsg die ich habe, deshalb poste ich hier)?! WENN SICH BITTE JEMAND MEIN LOG-FILE ANSEHEN KÖNNTE, WÄRE MIR ECHT EINE GROSSE HILFE - BESTEN DANK IM VORAUS!

Logfile of HijackThis v1.98.2
Scan saved at 23:06:28, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\MSDE\Binn\sqlmangr.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSDE\binn\sqlservr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [JMAP5289] C:\Programme\ULI5289\JMAP5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [smss32win] C:\WINDOWS\system32\rundiscspool.exe
O4 - HKLM\..\Run: [rundatax] C:\WINDOWS\system32\service.exe %srun%
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\MSDE\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll

Alt 01.12.2004, 23:28   #2
Cidre
Administrator, a.D.
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Zitat:
WENN SICH BITTE JEMAND MEIN LOG-FILE ANSEHEN KÖNNTE, WÄRE MIR ECHT EINE GROSSE HILFE - BESTEN DANK IM VORAUS!
Warum schreist du so?

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\system32\rundiscspool.exe
C:\WINDOWS\system32\service.exe %srun%

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben und poste die Virus Log Information von eScan AntiVirus.
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 02.12.2004, 00:53   #3
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



muss sagen - dein Sprichwort trifft voll zu (was Zeit betrifft!)

so...
die online scans kamen zu keinem Ergebnis, sprich - keine Viren gefunden!

dann habe ich, wie beschrieben den e-scan durchgeführt:
Wed Dec 01 23:57:23 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Wed Dec 01 23:57:51 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Wed Dec 01 23:58:12 2004 => File C:\WINDOWS\system32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:08:45 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Dec 02 00:08:45 2004 => File C:\Programme\AVPersonal\INFECTED\rundiscspool.VIR infected
Thu Dec 02 00:08:45 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\service.VIR
Thu Dec 02 00:08:45 2004 => File C:\Programme\AVPersonal\INFECTED\service.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:11:27 2004 => File C:\Programme\Gemeinsame Dateien\WinTools\WToolsS.exe infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:28:47 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:29:18 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:29:43 2004 => File C:\WINDOWS\system32\zippedsr.piz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:42:26 2004 => File C:\WINDOWS\system32\clonzips.ssc infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
Thu Dec 02 00:42:45 2004 => File C:\WINDOWS\system32\nonzipsr.noz infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.

42:14 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:42:13 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~974519.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~974056.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~952681.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~930413.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~926335.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 00:30:04 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~910558.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
....
OJE OJE!!!!
hoffe, ihr könnt mir helfen - weiss ja nicht einmal, was das bedeuted - mich beschleicht nur so ein Gefühl...
habe die komplette Datei noch angehängt (falls es funktioniert hat)
__________________

Alt 02.12.2004, 01:14   #4
cronos
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Du hast auf jeden Fal den Sober.I drauf.

Hier gibt es ein Removal Tool:
http://www.antivirus-online.de/germa...ol.php3?a=1214

Poste anschliessend noch mal einen HijackThis Log und nochmal einen Log von escan.
Setze das removal Tool bei deaktivierter System Wiederherstellung ein:

Rechtsklick auf Arbeitsplatz, dann Reiter Systemwiederherstellung wählen:

Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

danach Neustart-Systemwiederherstellung wieder aktivieren- und den neuen HJT LOG und den neuen scan Log posten

Alt 02.12.2004, 09:27   #5
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



danke - habe ich gemacht - hat ein paar entfernt - hier das neue HijackThis log - der escan log folgt später!

Logfile of HijackThis v1.98.2
Scan saved at 09:23:39, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\MSDE\Binn\sqlmangr.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSDE\binn\sqlservr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [JMAP5289] C:\Programme\ULI5289\JMAP5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\MSDE\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll


Alt 02.12.2004, 13:34   #6
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



so das neue escan log

Thu Dec 02 13:17:14 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\TEMPOR~1\Content.IE5\5OLDF5DV\WinTS[1].cab infected by "TrojanDownloader.Win32.Wintool" Virus. Action Taken: No Action Taken.

Thu Dec 02 13:15:00 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll tagged as not-a-virus:AdWare.Wintol.p. No Action Taken.
Thu Dec 02 13:15:02 2004 => File C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~321911.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~357039.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~367798.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~374144.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~374910.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~387556.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~390419.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
Thu Dec 02 13:16:57 2004 => File C:\DOKUME~1\MKI~1\LOKALE~1\Temp\~393084.tmp tagged as not-a-virus:AdWare.Wintol.q. No Action Taken.
...

so - zeitaufwändig ist das aber schon - oder mache ich etwas falsch?? aber gut, sicher immer noch besser, als gleich neu aufsetzen müssen!! Danke nochmal!!

Alt 02.12.2004, 20:51   #7
*Christian*
Gast
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Leere deinen Temp-Ordner + Temp. Internet Files-Ordner.

Lösche diese Ordner:
C:\PROGRA~1\GEMEIN~1\WinTools
C:\Programme\Toolbar

Poste anschl. neues HijackThis-Log.

Alt 02.12.2004, 21:56   #8
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



habe ich gemacht!

neue log:
Logfile of HijackThis v1.98.2
Scan saved at 21:55:00, on 02.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\MSDE\Binn\sqlmangr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MSDE\binn\sqlservr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [JMAP5289] C:\Programme\ULI5289\JMAP5289.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Service Manager.lnk = C:\MSDE\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

aber etwas ist komisch - obwohl jetzt alles wieder besser funktionieren sollte, läuft der Browser im schlechter - brauch mittlerweile einige Minuten für einen Seitenaufbau (wenn er sie überhaupt anzeigt und ich nicht min. 5x aktualisieren muss)!!!

Alt 03.12.2004, 11:03   #9
*Christian*
Gast
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



An dem Log wurde jetzt doch schon was verändert.
Was hast du alles gefixt?


Fixe noch dies:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


Was ist das eigentlich für ein Zeug?:
C:\Programme\ULI5289

Alt 03.12.2004, 14:24   #10
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



gefixt habe ich alles, was ihr mir gesagt habt, bzw. was von anderer Software ad-aware, sypbot, e-scan,... als spyware,.... identifiziert wurde - habe auch alles entfernen können. Hat super geklappt - danke!

LOL - das habe ich mich auch gefragt, musste mich zuerst schlau machen!

Die von dir genannten ersten beiden Einträge werde - oder sollte - ich nicht fixen - das sind Einträge von Opera (mit Java-Modul)

der dritte Eintrag - ULI - ist eine aliraid application??? keine Ahnung was das ist!!

Alt 03.12.2004, 16:35   #11
*Christian*
Gast
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Die von mir genannten Einträge sind unwirksam - du kannst sie also auch fixen.

Verwende zum surfen einen sicheren Browser: www.firefox-browser.de ist sicher und kostenlos.
Dann bekommst du auch keine Hijacker mehr.

Alt 03.12.2004, 18:56   #12
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



OK!

Könntest du mir vorher noch sagen was es mit der aliraid application auf sich hat (dieses ULI...)??

Alt 03.12.2004, 19:04   #13
Cidre
Administrator, a.D.
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Wenn du nicht weisst um was es sich handelt, wer soll es sonst wissen. Schliesslich hast du das Programm doch installiert, oder?

Über Google sind keine Infos diesbezüglich vorhanden.
__________________
Gruß, Cidre


Alt 03.12.2004, 20:22   #14
*Christian*
Gast
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



Naja, überprüfe dies einfach mal: http://virusscan.jotti.org/de

C:\Programme\ULI5289\ALi5289.exe
C:\Programme\ULI5289\JMAP5289.exe

Alt 03.12.2004, 20:47   #15
Igelmania
 
Ich wünschte, ich wäre ein FACHMANN - Standard

Ich wünschte, ich wäre ein FACHMANN



hat nichts ergeben!

Ich lass sie einfach - da mein System jetzt wieder frei von Sorgen ist und gut läuft!

VIELEN VIELEN DANK FÜR EUERE HILFE - SEID NUR WEITER ZU EMPFEHLEN!!!!

Antwort

Themen zu Ich wünschte, ich wäre ein FACHMANN
ad-aware, adobe, aufsetzen, avg, bho, dateien, excel, explorer, hijack, hijackthis, hilfe, icq, internet, internet explorer, log-file, microsoft, neu, neu aufsetzen, programme, prozesse, service.exe, software, system, system neu, system neu aufsetzen, system32, urlsearchhook, windows, windows xp



Ähnliche Themen: Ich wünschte, ich wäre ein FACHMANN


  1. Kontrolle von einem Fachmann nach Entfernung von PUP optional softonic usw.
    Log-Analyse und Auswertung - 24.08.2014 (9)
  2. Ein Unterforum mit dem Namen SPIELEFORUM wäre nett.
    Lob, Kritik und Wünsche - 15.06.2012 (13)
  3. Mbam Auswertung wäre super!
    Log-Analyse und Auswertung - 18.02.2012 (3)
  4. Hijack Log Analyse wäre nett
    Alles rund um Windows - 22.10.2011 (1)
  5. Festplatte wäre beschädigt + Pop Up Meldungen
    Log-Analyse und Auswertung - 26.06.2011 (6)
  6. Logfile Auswertung wäre nett
    Log-Analyse und Auswertung - 06.11.2010 (1)
  7. Meldung firewall wäre deaktiviert,und Antivirus auch...
    Mülltonne - 23.12.2008 (0)
  8. Wäre für Logfile-Durchsicht und Hilfe dankbar
    Log-Analyse und Auswertung - 22.07.2008 (50)
  9. 1x gucken wäre lieb
    Mülltonne - 16.08.2007 (0)
  10. wäre nett wenn mal jemand reinsieht THX!
    Log-Analyse und Auswertung - 21.03.2007 (2)
  11. ist das logfile ok ? wäre dankbar für schnelle hilfe
    Mülltonne - 02.12.2006 (0)
  12. kleine hilfe wäre nett :)
    Log-Analyse und Auswertung - 06.07.2006 (1)
  13. Hilfe wäre nett
    Log-Analyse und Auswertung - 15.12.2005 (3)
  14. Wäre jemand so nett und schaut mal drüber
    Log-Analyse und Auswertung - 23.09.2005 (1)
  15. Eine Auswertung wäre toll
    Log-Analyse und Auswertung - 13.04.2005 (8)
  16. logfile ansehen, wäre nett
    Log-Analyse und Auswertung - 12.01.2005 (7)
  17. wäre jemand so nett? log..
    Log-Analyse und Auswertung - 14.12.2004 (7)

Zum Thema Ich wünschte, ich wäre ein FACHMANN - Hallo Leute! Ich bin mir ziemlich sicher, ich habe mir so einiges eingefangen! Hab schon so einiges versucht mit Ad-aware, Spybot - die haben auch immer etwas gefunden und entfernt, - Ich wünschte, ich wäre ein FACHMANN...
Archiv
Du betrachtest: Ich wünschte, ich wäre ein FACHMANN auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.