|
Log-Analyse und Auswertung: Gefixtes kommt immer wieder!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.03.2005, 20:05 | #1 |
| Gefixtes kommt immer wieder! Hi, wer kann mir helfen. Mein AntiVir hat den Trojaner TR/DLdr.IstBar.A entdeckt. Seitdem ändert mein IE automatisch die Sartseite auf http://www.jimbutt.com/warning/danger.html Dieser Eintrag kommt auch immer wieder in HijackThis nachdem ich in gefixt habe. Hier meine Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:45:43, on 07.03.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\lkcitdl.exe C:\WINNT\system32\lkads.exe C:\WINNT\system32\lktsrv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE D:\Programme\Trojancheck 6\tcguard.exe D:\Programme\CyberLink\PowerDVD\PDVDServ.exe Y:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\Programme\1&1 Internet\cFos\cFosDNT.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\RUNDLL32.EXE D:\PROGRA~1\1&1INT~1\PROFI-~1\ProfiDialer.exe D:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\AVPersonal\AVWIN.EXE Y:\Setups\Virenscanner\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.jimbutt.com/stuffs/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Zone Labs Client] Y:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [cFosDNT] D:\Programme\1&1 Internet\cFos\cFosDNT.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "D:\Programme\Purgatio Pro\checker.exe /check" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E622AD1E-736E-4FAE-BDB1-C6D3E66AEB33}: NameServer = 217.237.150.97 217.237.149.161 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - Y:\Dassault Systemes\B09D20\intel_a\code\bin\CATSysDemon.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINNT\system32\lkcitdl.exe O23 - Service: Lookout Classified Ads (LkClassAds) - National Instruments, Inc. - C:\WINNT\system32\lkads.exe O23 - Service: Lookout Time Synchronization (LkTimeSync) - National Instruments, Inc. - C:\WINNT\system32\lktsrv.exe O23 - Service: ELSA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe HijackThis.de findet allerdings nichts bösartiges. Kann mir jemand helfen? Außerdem bekomme ich ständig die Nachricht mit folgendem Text, bevor der IE die oben genannte Seite öffnet: Error #317 Microsoft Windows Security Warning Your Windows is currupted with spyware virus. You must patch your PC urgently to protect your system. Private info is accessed by ports: -8080 -3128 You can patch your PC for free now and delete all spyware viruses. .... Ich hoffe, jemand weiß eine Lösung den Mist wieder weg zu bekommen!!! Danke im voraus! |
07.03.2005, 20:15 | #2 | ||
Administrator, a.D. | Gefixtes kommt immer wieder! Hallo,
__________________Zitat:
Zitat:
Führe deshalb dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________ |
07.03.2005, 20:24 | #3 |
| Gefixtes kommt immer wieder! Wo der Trojaner gelandet ist, weiß ich nicht mehr genau! Das war bereits am Freitag. Ich habe versucht den Mist selbst zu bereinigen, komme aber mittlerweile nicht mehr klar.
__________________escan habe ich auch schon einmal laufen lassen. Hat aber sehr lange gedauert, und ich finfe die Logfile nicht mehr. Ich habe escan nochmal gestartet und mir wurden direkt 3 Einträge gezeigt. File C:\WINNT\ibs.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. File C:\WINNT\39.exe infected by "not-a-virus:Porn-Downloader.Win32.TibSystems" Virus. Action Taken: No Action Taken. File C:\WINNT\U infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. Die 39.exe und ibs.exe habe ich mittlerweile schon mehrmals gelöscht, die kommt immer wieder. Was kann ich tun? |
07.03.2005, 20:30 | #4 |
| Gefixtes kommt immer wieder! @floe8 speichere vorher C:\WINNT\ibs.exe und C:\WINNT\39.exe auf diskette zwecks beweismittel gegen hohe telefonrechningen. wechsle danach in den abgesicherten modus und lösche sie manuell diese datei C:\WINNT\U hier überprüfen lassen www.malwareupload.com das ergebnis hier posten chaosman
__________________ Bonus vir semper tiro |
07.03.2005, 20:33 | #5 | ||
Administrator, a.D. | Gefixtes kommt immer wieder!Zitat:
Zitat:
[1] http://www.trojaner-board.de/42731-escan-anleitung.html |
07.03.2005, 21:06 | #6 |
| Gefixtes kommt immer wieder! Blöd, ich bin leider kein besonders guter PC- user. Ich habe soeben festgestellt, daß meine Report - Einstellung von AntiVir auf "Report überschreiben" steht. Ich habe mittlerweile schon mehrere Scans durchgeführt. Allerdings läßt sich AntiVir nicht mehr updaten. Die Update- Installation spricht ab, danach hilft nur ein Neustart. Ja, ich habe diese Anleitung verwendet. Ich werde es aber nochmals ausführen. Esan läuft zur Zeit: Es wurden unter anderem auch diese einträge gefunden: File C:\WINNT\Downloaded Program Files\CONFLICT.10\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.15\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.2\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.3\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.5\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.6\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.7\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.8\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\CONFLICT.9\TeenSex.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: No Action Taken. Ich kann aber weder diese Ordner noch die exe.- Dateien in meinem System finden. Auch wenn ich mir unter Ordneroptionen "Alles" anzeigen lasse. |
07.03.2005, 21:10 | #7 | |||
Administrator, a.D. | Gefixtes kommt immer wieder!Zitat:
Zitat:
Zitat:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum Ordner C:\WINDOWS\Downloaded Program Files und lösche (markieren -> F8 -> JA) die beanstandeten Dateien. |
07.03.2005, 21:20 | #8 |
| Gefixtes kommt immer wieder! Ok, dann muss ich wieder in den abgesicherten Modus gehen und das Ganze nochmal ausführen. Ich habe escan tatsächlich jetzt nebenbei laufen lassen. Danke für die Tips! Falls ich weiterhin Probleme habe, werde ich hier nochmal mit dem Ergebnis von escan posten! grüße, floe8 |
Themen zu Gefixtes kommt immer wieder! |
.inf, .pdf, adobe, antivir, antivir update, antivirus, antivirus scan, bho, citadel, cyberlink, dll, error, excel, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, kommt immer wieder, logfile, microsoft, monitor, nvcpl.dll, nvidia, programme, rundll, software, spyware, sun java, symantec, system, trojaner, wieder weg, windows, windows security, öffnet |