|
Log-Analyse und Auswertung: Bitte HJT log auslesenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
17.12.2004, 22:14 | #1 |
| Bitte HJT log auslesen Hallo an alle, mittlerweile zeigt mir AntiVir wechselnde Virenmeldungen.Immer nachdem ich auf den IE klicke (nachdem ich gelöscht habe) kommt ne neue Warnung. Zuerst war es C:\Windows\System32\MSBC.DLL dann...MSYZ.DLL , MSXY.DLL , MSHI.DLL , MSKL.DLL , MSIJ.DLL usw. Und auch noch dies: C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1\A0000002.DLL Ist der Trojaner TR/Dldr.VBS.Ps.Ac.4 Immer wenn ich Windows starte hat er die Endungen geändert. Und wie deinstalliere ich die Freshbar? Hier der Log. Logfile of HijackThis v1.99.0 Scan saved at 22:12:52, on 17.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF\FreePDFA.exe C:\WINDOWS\SPMSMON.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84" O4 - HKLM\..\Run: [\\1-server\EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "\\1-server\EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.nuker.com/products/swn200...rInstaller.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096704302375 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe DANKE FÜR EUERE HIFE . |
17.12.2004, 22:52 | #2 |
| Bitte HJT log auslesen @Panjo
__________________lade dir escan download anleitung mache es genauso wie beschrieben ist, scan dauert 1 stunde EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." chaosman
__________________ |
18.12.2004, 14:23 | #3 |
| Bitte HJT log auslesen Hi,
__________________Habe mit escn gescant. Hier das Ergebnis. Sat Dec 18 10:21:10 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sat Dec 18 10:21:10 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\A0018821.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\A0018821.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSBC.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSBC.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSHI.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSHI.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSIJ.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSIJ.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSOP.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSOP.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Sat Dec 18 10:21:47 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\MSYZ.DLL.VIR Sat Dec 18 10:21:47 2004 => File C:\Programme\AVPersonal\INFECTED\MSYZ.DLL.VIR infected by "Trojan-Downloader.Win32.Agent.fy" Virus. Action Taken: No Action Taken. Was sollte ich jetzt tun ?? Wie Ihr merkt bin ich in Sachen PC Erfahrenheit nicht gerade sehr Fit. |
18.12.2004, 15:32 | #4 |
Gast | Bitte HJT log auslesen Leere den AntiVir-Infected-Ordner und gut ist. Fixe mit HijackThis dies: O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {15589FA1-C456-11CE-BF01-000000000000} - http://www.nuker.com/products/swn20...erInstaller.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Deaktiviere die Systemwiederherstellung -> Neustart -> Systemwiederherstellung wieder aktivieren. |
18.12.2004, 19:48 | #5 |
| Bitte HJT log auslesen HI an alle, vor allem an Christian,Chaosmann und Mountainking . Vielen Dank für euere Hilfe. Hat leider noch nicht geklappt.Dabei hab ich s so gemacht wie Ihr empfohlen habt. Bekomme immer noch die Meldung von AntiVir dass der Trojan downloader TR/Dldr.VBS.Ps.Ac.4 da ist und diesmal mit der Endung C:/Windows/System32/MSLM.DLL und diese Meldung über den Trojaner C:\SYSTEM VOLUME INFORMATION\_RESTORE{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1\A0000007.DLL Hier nun der neue Log von HJT Logfile of HijackThis v1.99.0 Scan saved at 19:36:17, on 18.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\E_S00RP2.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\FreePDF\FreePDFA.exe C:\WINDOWS\SPMSMON.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\user\Desktop\Downloads\mwav.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.sony-europe.com/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [ChangeICON] C:\WINDOWS\SPMSMON.EXE O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [Automatisch EPSON Stylus C84 Series auf 1-server] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P48 "Automatisch EPSON Stylus C84 Series auf 1-server" /O16 "\\1-SERVER\Epson" /M "Stylus C84" O4 - HKLM\..\Run: [\\1-server\EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P34 "\\1-server\EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096704302375 O17 - HKLM\System\CCS\Services\Tcpip\..\{49F5421C-C67A-42FB-825F-8098225760EE}: NameServer = 192.168.178.1 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON V3 Service2(02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe |
18.12.2004, 19:56 | #6 | ||
Administrator, a.D. | Bitte HJT log auslesenZitat:
Zitat:
__________________ --> Bitte HJT log auslesen |
18.12.2004, 20:14 | #7 |
| Bitte HJT log auslesen Hallo Cidre, wie kann ich die Datei:C:/Windows/System32/MSLM.DLL Löschen ?? unter suche nach Datei usw. kriege ich die Meldung-C:/Windows/System32/MSLM.DLL ist keine gültige Datei |
18.12.2004, 20:26 | #8 | ||
Administrator, a.D. | Bitte HJT log auslesenZitat:
Zitat:
btw: Eventuell musst dies noch einstellen: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" |
18.12.2004, 21:05 | #9 |
| Bitte HJT log auslesen Bin langsam am Drehen, kann tun was ich will syssteuerung ausschalten usw. kriege immer wieder diese Meldung und das nach 5fachem löschen der datei mit antivir. Bitte gebt mir Anleitung für einen Blöden. am besten aufgemalt auf ein Blatt Papier-seufz es soll laut escan der Trojaner win32.Agent.fy sein (TR/Dldr.VBS.Ps.Ac.4) .Nur ich finde nirgens eine Beschreibung od.ein tool gegen das Miststück. |
18.12.2004, 22:03 | #10 |
Administrator, a.D. | Bitte HJT log auslesen Lade nochmals eScan (ältere Version) runter und update diesen. Diese Version entfernt die Malware noch automatisch und berichte dann über den Erfolg. ftp://mwti.matrix.lv/download/tools/ btw: Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten: -Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org |
19.12.2004, 10:46 | #11 |
| Bitte HJT log auslesen @Cidre Hi, Habe probiert das ältere escan downzuloaden - geht nicht.zeigt mir an:Virus database is older than 30 days.we recommendet that you download the latest toolkit from mwti.net. und habe immer wieder veränderte dll. Endungen wie mom. MSRS.DLL od. MSOP.DLL Ja ist denn schon wieder Virus Das Ding muss doch zu Killen sein. a2 sagt mir dass keine Malware gefunden wird aber AntiVir bringt dauernd Warnungen wie zb aktuell C:\WINDOWS\SYSTEM32\MSDE.DLL Ist das Trojanische Pferd TR/Dldr.VBS.Ps.AC.4 Grüße - Panjo Geändert von Panjo (19.12.2004 um 13:22 Uhr) |
19.12.2004, 16:27 | #12 | |
Administrator, a.D. | Bitte HJT log auslesenZitat:
|
Themen zu Bitte HJT log auslesen |
.inf, antivir, antivir update, antivirus, antivirus scan, drivers, explorer, firewall, helper, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, nvcpl.dll, nvidia, programme, rundll, software, spyware, symantec, system, system volume information, tcpip, temp, trojaner, windows, windows messenger, windows xp |