Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: DR\180Solution

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.03.2005, 11:48   #1
TamTam81
 
DR\180Solution - Standard

DR\180Solution



Hallo alle zusammen. Habe das Problem das mir mein Antivir ständig anzeigt das ich von dem dropper DR\180Solution befallen bin. Habe auch schon HijackThis runtergeladen. Aber wie gehts jetzt weiter?

Hier ist meine hijack logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:37:20, on 10.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\temp\salm.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\PC-TV\WinManager\WinManager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\TamTam\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsofts MediaScope] winmedplay.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\TamTam\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Ares Galaxy FasterDownload] "C:\Programme\DCPlus FasterDownloads\DCPlus FasterDownloads.exe" -tray
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c11.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.internetclearing.de/StarInstall.ocx
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?325
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EEE5BA-6472-4375-B4F8-BC18A1DF3990}: NameServer = 145.253.2.196 195.50.140.250
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe



Kann mir vieleicht jemand helfen?

Alt 10.03.2005, 12:30   #2
dartus
 
DR\180Solution - Standard

DR\180Solution



Hallo TamTam81,

das sieht ziemlich übel aus und zwar deswegen:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Scanne bitte online --->http://virusscan.jotti.org/
folgende Datei:

C:\WINDOWS\System32\winmedplay.exe

Teile bitte das Ergebnis mit.

Uploade bitte diese Datei hier: ---> http://www.malwareupload.com

Erläuterungen

Schon deswegen:
teekids.exe = http://securityresponse.symantec.com...er.c.worm.html
solltest Du Dein System nach dieser Anleitung neuinstallieren:

http://www.trojaner-board.de/showthread.php?t=12154

dartus
__________________


Geändert von dartus (10.03.2005 um 12:45 Uhr)

Alt 10.03.2005, 12:39   #3
FancyAndy
 
DR\180Solution - Standard

DR\180Solution



Zur Kontrolle kannsu auch nochmal eScan über Dein System rattern lassen !!!!

Wo und wie ? Siehe meine Signatur

Dann bitte die Ergebnisse, was und wo wie gefunden wurde, hier Posten, dann wissen wir mehr über den Schaden.

Aber ansonsten, hat Dartus schon recht - einmal System neu aufsetzen, nach Cidre's Anweisungen.

(siehe AUCH Signatur)
__________________
__________________

Alt 10.03.2005, 20:15   #4
dartus
 
DR\180Solution - Standard

DR\180Solution



@FancyAndy,

das ist absolut verlorene Zeit!

dartus

Alt 10.03.2005, 21:31   #5
TamTam81
 
DR\180Solution - Standard

DR\180Solution



C:\WINDOWS\System32\winmedplay.exe

kann die datei nicht finden, sie befindet sich nicht im system32 ordner!!??


Alt 10.03.2005, 21:41   #6
chaosman
 
DR\180Solution - Standard

DR\180Solution



@TamTam81
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

chaosman
__________________
--> DR\180Solution

Alt 10.03.2005, 22:14   #7
dartus
 
DR\180Solution - Standard

DR\180Solution



@TamTam81,

dann schau unter C:/windows oder benutze die Suchfunktion.

dartus

Alt 11.03.2005, 12:38   #8
TamTam81
 
DR\180Solution - Standard

DR\180Solution



unter C:\windows ist sie auch nicht zu finden und die suchfunktion bringt auch nichts. Habe auch die Ordneroptionen umgestellt---> nichts! Kann es sein das ich diese Datei nicht auf dem Rechner habe?

Antwort

Themen zu DR\180Solution
adobe, antivir, antivir update, askbar, bho, desktop, drivers, einstellungen, explorer, file missing, firefox, firewall, galaxy, hijack, hijackthis, hotkey, internet, internet explorer, logfile, microsoft, mozilla, mozilla firefox, pdf, problem, programme, software, solution, sun java, system, temp, urlsearchhook, windows, windows xp, yahoo




Zum Thema DR\180Solution - Hallo alle zusammen. Habe das Problem das mir mein Antivir ständig anzeigt das ich von dem dropper DR\180Solution befallen bin. Habe auch schon HijackThis runtergeladen. Aber wie gehts jetzt weiter? - DR\180Solution...
Archiv
Du betrachtest: DR\180Solution auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.