| |
| |||||||
Log-Analyse und Auswertung: klare Befall - mir fehlt das Wissen zur LösungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
02.01.2005, 13:19
| #1 |
| |  klare Befall - mir fehlt das Wissen zur Lösung Hallo zusammen, mein Rechner ist eindeutig mit einem oder mehreren Trojanern befallen. Hier ein Log von HiJackThis: Logfile of HijackThis v1.99.0 Scan saved at 13:12:36, on 02.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\com452.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\nvp2pmon.exe C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir_6\AVGNT.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir_6\AVGUARD.EXE C:\Programme\AntiVir_6\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Rainer\HiJack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\_sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll O1 - Hosts: 3466709097 auto.search.msn.com O1 - Hosts: 3466709097 sitefinder.verisign.com O1 - Hosts: 3466709097 sitefinder-idn.verisign.com O1 - Hosts: 3466709097 www.your.com O1 - Hosts: 3466709097 your.com O1 - Hosts: 3466709097 com.org O1 - Hosts: 3466690378 ad.doubleclick.net O1 - Hosts: 3466690378 view.atdmt.com O1 - Hosts: 3466690378 click.atdmt.com O1 - Hosts: 3466690378 leader.linkexchange.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat_6\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10020} - C:\WINDOWS\system32\StopzillaBH0.dll O2 - BHO: (no name) - {F20FAC6D-5D72-C609-8A59-49214459FEE1} - C:\WINDOWS\system32\eugapua.dll O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\system32\deyexa.dll O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS\System32\toolbar.dll O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sim452] C:\WINDOWS\com452.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [PCMCIA Resource Monitor] nvp2pmon.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir_6\AVGNT.EXE /min O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - http://toolbar.isearch.com/general/initial.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir_6\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir_6\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Weiss jemand Rat ? Viele Grüsse Rainer |
|
02.01.2005, 13:31
| #2 |
  | klare Befall - mir fehlt das Wissen zur Lösung @Rai
__________________du hast einiges im system, lade dir escan download mache es genauso wie hier beschrieben wird überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht. Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) chaosman
__________________ |
|
02.01.2005, 13:32
| #3 |
 | klare Befall - mir fehlt das Wissen zur Lösung Hallo,
__________________Kopier den Logfile mal unter http://www.hijackthis.de in das vorhandene Textfeld und klick auf auswerten, da siehst du was alles böse ist, anschliessend fixt du alles als böses erkanntes. Wenn du das getan hast, lad dir mal antivir runter http://www.free-av.de installier das hol dir das neuste update und las das prog einmal durchlaufen. hol dir adaware Adaware Zum Schluss lässt du nochmal Spybot durchlaufen Spybot Wenn du all dies befolgt hast, poste ein neues log bitte noch mal |
|
03.01.2005, 21:46
| #4 |
| | klare Befall - mir fehlt das Wissen zur Lösung Hallo nochmal, vielen Dank für Eure Hilfe. Der Rechner erscheint jetzt sauber. Leider habe ich die gefundenen Viren und Trojaner nicht dokumentiert, aber ich konnte alle aufgelisteten Dateien finden und löschen. Außerdem habe ich noch eine desktop.exe und eine ffisearch.exe manuell aus der Registry entfernt. AntiVir war bereits vorher installiert, ohne allerdings ausreichend Schutz geboten zu haben ;-( Würdet Ihr sagen, daß Kaspersky besser sucht bzw. sicherer ist ? In jedem Falle nochmals vielen Dank und hier das aktuellste logfile von HiJackThis: Logfile of HijackThis v1.99.0 Scan saved at 21:36:50, on 03.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir_6\AVGUARD.EXE C:\Programme\AntiVir_6\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\com452.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\nvp2pmon.exe C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\AntiVir_6\AVGNT.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Internet\Mozilla-Firefox\firefox.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Rainer\HiJack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_hp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = C:\WINDOWS\_sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O1 - Hosts: 3466709097 auto.search.msn.com O1 - Hosts: 3466709097 sitefinder.verisign.com O1 - Hosts: 3466709097 sitefinder-idn.verisign.com O1 - Hosts: 3466709097 www.your.com O1 - Hosts: 3466709097 your.com O1 - Hosts: 3466709097 com.org O1 - Hosts: 3466690378 ad.doubleclick.net O1 - Hosts: 3466690378 view.atdmt.com O1 - Hosts: 3466690378 click.atdmt.com O1 - Hosts: 3466690378 leader.linkexchange.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat_6\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {CE7C3CF0-4B15-11D1-ABED-709549C10020} - (no file) O2 - BHO: (no name) - {F20FAC6D-5D72-C609-8A59-49214459FEE1} - C:\WINDOWS\system32\eugapua.dll O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - (no file) O3 - Toolbar: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [sim452] C:\WINDOWS\com452.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [PCMCIA Resource Monitor] nvp2pmon.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir_6\AVGNT.EXE /min O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir_6\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir_6\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Gerade hat die Datei "com452.exe" versucht, eine Verbindung zum Netz herzustellen... auch entfernen ? Viele Grüsse Rai |
|
03.01.2005, 21:52
| #5 |
| | klare Befall - mir fehlt das Wissen zur Lösung @Rai warum machst du nicht das warum wir dich gefragt haben? warum postest du nicht die ergebnisse von escan vielen Dank für Eure Hilfe. Der Rechner erscheint jetzt sauber. Leider habe ich die gefundenen Viren und Trojaner nicht dokumentiert, aber ich konnte alle aufgelisteten Dateien finden und löschen. das nützt nicht viel, vielleicht hattest du ein paar backdoortrojaner im system. für mich EOD chaosman
__________________ Bonus vir semper tiro |
|
03.01.2005, 21:58
| #6 | ||
| Administrator, a.D. | klare Befall - mir fehlt das Wissen zur Lösung @ Rai Ich kann chaosman nur Recht geben, denn dein Log-File ist in keinster Weise als sauber anzusehen und somit umsoweniger dein System. Zitat:
Zitat:
__________________ --> klare Befall - mir fehlt das Wissen zur Lösung |
|
03.01.2005, 22:03
| #7 |
| | klare Befall - mir fehlt das Wissen zur Lösung Hallo zusammen, Ihr seid wirklich schnell ... nochmals Danke. @chaosman: Die von escan gefundenen Dateien hatte ich schlicht versäumt zu speichern, ein 2. Suchlauf nach der manuellen Entfernung war ohne Befund. Was nu ? Sollte ich andere Suchprogramme verwenden und wo seht Ihr noch Gefahrenpotential ? Viele Grüsse Rainer |
|
| Themen zu klare Befall - mir fehlt das Wissen zur Lösung |
| adobe, antivir, antivir update, antivirus, antivirus scan, avg, bho, cyberlink, desktop, explorer, hijack, hijackthis, ics, internet, internet explorer, launch, log, mehrere, microsoft, monitor, nvcpl.dll, nvidia, obfuscated, programme, rundll, shell32.dll, software, sun java, symantec, system, system32, t-online, trojaner, urlsearchhook, windows, windows xp |
Hybrid-Darstellung
