Log File bitte prüfen

Palmosun · 24.05.2005, 16:13

Hi,
Antivir meldet immer wieder das ich Trojaner auf dem Rechner habe.
Ich hab jetzt Ad-Aware und Antivir laufen lasse, die Meldung kommen aber wieder.

Hier die Log- File:
Logfile of HijackThis v1.99.1
Scan saved at 17:07:19, on 24.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Zusatzprogramme_2\bin\btwdins.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Treiber\HP Share-to-Web\hpgs2wnf.exe
C:\HJK\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Corel Programm\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=060405 serial=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - E:\Zusatzprogramme_2\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Zusatzprogramme_2\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - E:\Zusatzprogramme_2\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://F:\webplayer\awswax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E134C48-2A7C-47DC-AD61-ACEBCAE15277}: NameServer = 192.168.0.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - E:\Zusatzprogramme_2\bin\btwdins.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

SChonmal danke

MfG
Palmosun

Rene-gad · 24.05.2005, 17:02

@Palmosun

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

SP2 fehlt, bitte ASAP nachholen.

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Eintrag bitte fixen.
Datei

Zitat:

C:\WINDOWS\Nail.exe

im abgesicherten Modus löschen.

Cidre · 24.05.2005, 17:05

Hallo,

Zitat:

Antivir meldet immer wieder das ich Trojaner auf dem Rechner habe.

Und wo wurde er gefunden?

Wechsle in den abgesicherten Modus und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Zitat:

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Lösche diese Dateien:

Zitat:

C:\WINDOWS\svcproc.exe
C:\WINDOWS\Nail.exe

Scanne mit eScan AntiVirus im abgesicherten Modus und entferne die restliche Malware. Poste uns danach die Virus Log Information.

Rene-gad · 24.05.2005, 17:14

@Cidre

Zitat:

Lösche diese Dateien:
C:\WINDOWS\svcproc.exe

Diese Datei ist nicht zu löschen

.

Cidre · 24.05.2005, 17:20

Hi Rene-gad,

glaub' mir, diese Datei muß gelöscht werden.

Palmosun · 25.05.2005, 10:38

Erstmal danke für die Antworten.

Hab alles gemacht was ihr geschrieben habt, außer das ich die Datei
C:\WINDOWS\svcproc.exe nicht finde.

Der Trojaner ist immer noch da und Antivir gibt mir diese Warung aus:

C:\WINDOWS\TCHTEBETFMJ.EXE

Ist das Trojanische Pferd TR/Buddy.F

hier noch die log, ich hoffe das es die richtige ist

mwxface.log:

[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:30:200 :ModuleName = C:\Bases_x\mwavscan.com
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:30:200 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:35:167 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:35:167 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:35:167 :TimeOut : ffffffff
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:35:177 :Priority : NORMAL
[msvLclnt.dll] [0x000004a8] 24/05/2005 19:23:38:622 :VirusCount = 131574 Latest Date = 2005/05/24
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:25:37:613 :[00000001] File C:\WINDOWS\ikkkug.exe infected by not-a-virus:AdWare.BetterInternet.c
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:25:42:400 :[00000001] File C:\WINDOWS\Nail.exe infected by not-a-virus:AdWare.BetterInternet.b
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:30:58:024 :[00000001] File C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\II1.tmp infected by not-a-virus:AdWare.BetterInternet
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:30:58:334 :[00000001] File C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\II22.exe infected by not-a-virus:AdWare.BetterInternet
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:30:58:665 :[00000001] File C:\Dokumente und Einstellungen\Benutzer\Lokale Einstellungen\Temp\II3.tmp infected by not-a-virus:AdWare.BetterInternet
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:49:48:910 :[00000001] File C:\RECYCLER\S-1-5-21-448539723-2111687655-1343024091-500\Dc1.exe infected by not-a-virus:AdWare.BetterInternet.b
[msvLclnt.dll] [0x0000050c] 24/05/2005 19:59:39:870 :[00000001] File C:\WINDOWS\ikkkug.exe infected by not-a-virus:AdWare.BetterInternet.c
[msvLclnt.dll] [0x0000050c] 24/05/2005 20:02:19:429 :[00000001] File C:\WINDOWS\Nail.exe infected by not-a-virus:AdWare.BetterInternet.b
[msvLclnt.dll] [0x0000050c] 24/05/2005 20:21:12:568 :[00000001] File C:\Zusatzprogramme\Diagnoseprogramm\aida32ee_393.exe infected by not-a-virus:RiskWare.Tool.AIDA.3862
[msvLclnt.dll] [0x0000050c] 24/05/2005 21:08:57:488 :VirusCount = 131574 Latest Date = 2005/05/24
[msvLclnt.dll] [0x000004a8] 25/05/2005 06:27:13:102 :VirusCount = 131574 Latest Date = 2005/05/24

edit:
Ich seh gerade das die Datei Nail.exe wieder da ist, obwohl ich sie gestern Abend gelöscht habe..

24.05.2005, 17:20	#5
Cidre Administrator, a.D.	Log File bitte prüfen Hi Rene-gad, glaub' mir, diese Datei muß gelöscht werden. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Log File bitte prüfen

Log-Analyse und Auswertung: Log File bitte prüfen