Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Gefixtes kommt immer wieder!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 07.03.2005, 20:05   #1
floe8
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Hi,

wer kann mir helfen. Mein AntiVir hat den Trojaner TR/DLdr.IstBar.A entdeckt. Seitdem ändert mein IE automatisch die Sartseite auf http://www.jimbutt.com/warning/danger.html

Dieser Eintrag kommt auch immer wieder in HijackThis nachdem ich in gefixt habe.

Hier meine Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:45:43, on 07.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\lkcitdl.exe
C:\WINNT\system32\lkads.exe
C:\WINNT\system32\lktsrv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\Trojancheck 6\tcguard.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
Y:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\Programme\1&1 Internet\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RUNDLL32.EXE
D:\PROGRA~1\1&1INT~1\PROFI-~1\ProfiDialer.exe
D:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVPersonal\AVWIN.EXE
Y:\Setups\Virenscanner\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Zone Labs Client] Y:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [cFosDNT] D:\Programme\1&1 Internet\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "D:\Programme\Purgatio Pro\checker.exe /check"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E622AD1E-736E-4FAE-BDB1-C6D3E66AEB33}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - Y:\Dassault Systemes\B09D20\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINNT\system32\lkcitdl.exe
O23 - Service: Lookout Classified Ads (LkClassAds) - National Instruments, Inc. - C:\WINNT\system32\lkads.exe
O23 - Service: Lookout Time Synchronization (LkTimeSync) - National Instruments, Inc. - C:\WINNT\system32\lktsrv.exe
O23 - Service: ELSA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

HijackThis.de findet allerdings nichts bösartiges. Kann mir jemand helfen?

Außerdem bekomme ich ständig die Nachricht mit folgendem Text, bevor der IE die oben genannte Seite öffnet:

Error #317 Microsoft Windows Security Warning

Your Windows is currupted with spyware virus.
You must patch your PC urgently to protect your system.
Private info is accessed by ports:

-8080
-3128

You can patch your PC for free now and delete all spyware viruses.
....


Ich hoffe, jemand weiß eine Lösung den Mist wieder weg zu bekommen!!!

Danke im voraus!

Alt 07.03.2005, 20:15   #2
Cidre
Administrator, a.D.
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Hallo,

Zitat:
Mein AntiVir hat den Trojaner TR/DLdr.IstBar.A entdeckt.
Wo wurde dieser entdeckt?
Zitat:
HijackThis.de findet allerdings nichts bösartiges. Kann mir jemand helfen?
Bis auf die Startseite, wäre dies als sauber anzusehen.

Führe deshalb dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 07.03.2005, 20:24   #3
floe8
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Wo der Trojaner gelandet ist, weiß ich nicht mehr genau! Das war bereits am Freitag. Ich habe versucht den Mist selbst zu bereinigen, komme aber mittlerweile nicht mehr klar.
escan habe ich auch schon einmal laufen lassen. Hat aber sehr lange gedauert, und ich finfe die Logfile nicht mehr.

Ich habe escan nochmal gestartet und mir wurden direkt 3 Einträge gezeigt.

File C:\WINNT\ibs.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\WINNT\39.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken.
File C:\WINNT\U infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

Die 39.exe und ibs.exe habe ich mittlerweile schon mehrmals gelöscht, die kommt immer wieder.

Was kann ich tun?
__________________

Alt 07.03.2005, 20:30   #4
chaosman
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



@floe8
speichere vorher C:\WINNT\ibs.exe und C:\WINNT\39.exe auf diskette zwecks beweismittel gegen hohe telefonrechningen.
wechsle danach in den abgesicherten modus und lösche sie manuell

diese datei C:\WINNT\U hier überprüfen lassen
www.malwareupload.com
das ergebnis hier posten

chaosman
__________________
Bonus vir semper tiro

Alt 07.03.2005, 20:33   #5
Cidre
Administrator, a.D.
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Zitat:
Wo der Trojaner gelandet ist, weiß ich nicht mehr genau
Dann sieh mal im AntiVir Report nach, dort solltest du fündig werden.

Zitat:
escan habe ich auch schon einmal laufen lassen.
Hast du eScan AntiVirus gemäss dieser Anleitung [1] ausgeführt?

[1] http://www.trojaner-board.de/42731-escan-anleitung.html

__________________
Gruß, Cidre


Alt 07.03.2005, 21:06   #6
floe8
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Blöd, ich bin leider kein besonders guter PC- user. Ich habe soeben festgestellt, daß meine Report - Einstellung von AntiVir auf "Report überschreiben" steht.
Ich habe mittlerweile schon mehrere Scans durchgeführt.

Allerdings läßt sich AntiVir nicht mehr updaten. Die Update- Installation spricht ab, danach hilft nur ein Neustart.

Ja, ich habe diese Anleitung verwendet. Ich werde es aber nochmals ausführen.
Esan läuft zur Zeit:

Es wurden unter anderem auch diese einträge gefunden:

File C:\WINNT\Downloaded Program Files\CONFLICT.10\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.15\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.2\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.3\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.5\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.6\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.7\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.8\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.9\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken.

Ich kann aber weder diese Ordner noch die exe.- Dateien in meinem System finden. Auch wenn ich mir unter Ordneroptionen "Alles" anzeigen lasse.

Alt 07.03.2005, 21:10   #7
Cidre
Administrator, a.D.
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Zitat:
Allerdings läßt sich AntiVir nicht mehr updaten. Die Update- Installation spricht ab, danach hilft nur ein Neustart.
Siehe http://www.heise.de/newsticker/meldung/57162
Zitat:
Esan läuft zur Zeit:
eScan AntiVirus sollte im abgesicherten Modus ausgeführt werden oder postest du vielleicht mit einem anderen Rechner?!
Zitat:
Ich kann aber weder diese Ordner noch die exe.- Dateien in meinem System finden.
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.
__________________
Gruß, Cidre


Alt 07.03.2005, 21:20   #8
floe8
 
Gefixtes kommt immer wieder! - Standard

Gefixtes kommt immer wieder!



Ok, dann muss ich wieder in den abgesicherten Modus gehen und das Ganze nochmal ausführen. Ich habe escan tatsächlich jetzt nebenbei laufen lassen.

Danke für die Tips! Falls ich weiterhin Probleme habe, werde ich hier nochmal mit dem Ergebnis von escan posten!

grüße, floe8

Antwort

Themen zu Gefixtes kommt immer wieder!
.inf, .pdf, adobe, antivir, antivir update, antivirus, antivirus scan, bho, citadel, cyberlink, dll, error, excel, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, kommt immer wieder, logfile, microsoft, monitor, nvcpl.dll, nvidia, programme, rundll, software, spyware, sun java, symantec, system, trojaner, wieder weg, windows, windows security, öffnet



Ähnliche Themen: Gefixtes kommt immer wieder!


  1. DownloadProdekt kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 03.11.2014 (21)
  2. GVU, Polizei, BKA Trojaner kommt immer und immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2012 (3)
  3. TR/Dropper.gen kommt immer wieder
    Log-Analyse und Auswertung - 27.04.2011 (32)
  4. Es erstellt sich immer ein Ordner und er kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 14.04.2011 (1)
  5. JS.Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 07.11.2009 (1)
  6. JS/Redirector.455 kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 26.10.2009 (3)
  7. Trojaner kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 02.06.2009 (1)
  8. Altnet kommt immer wieder
    Log-Analyse und Auswertung - 28.01.2009 (0)
  9. Trojaner kommt immer wieder...
    Log-Analyse und Auswertung - 24.08.2008 (11)
  10. Datei kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 20.02.2008 (4)
  11. Swizzor DH kommt immer wieder
    Log-Analyse und Auswertung - 11.09.2006 (8)
  12. Swizzor kommt immer wieder
    Log-Analyse und Auswertung - 30.04.2006 (1)
  13. coolwwwsearch kommt immer wieder
    Plagegeister aller Art und deren Bekämpfung - 03.01.2006 (4)
  14. TR.ZAPCHAST kommt immer wieder !?!?!
    Plagegeister aller Art und deren Bekämpfung - 08.12.2004 (22)
  15. searchcentral.cc kommt immer wieder!
    Plagegeister aller Art und deren Bekämpfung - 23.09.2004 (1)
  16. Startseite kommt immer wieder
    Log-Analyse und Auswertung - 12.08.2004 (2)

Zum Thema Gefixtes kommt immer wieder! - Hi, wer kann mir helfen. Mein AntiVir hat den Trojaner TR/DLdr.IstBar.A entdeckt. Seitdem ändert mein IE automatisch die Sartseite auf http://www.jimbutt.com/warning/danger.html Dieser Eintrag kommt auch immer wieder in HijackThis nachdem - Gefixtes kommt immer wieder!...
Archiv
Du betrachtest: Gefixtes kommt immer wieder! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.