Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: infizierter PC?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.06.2005, 18:54   #1
rosi one
 
infizierter PC? - Icon17

infizierter PC?



Hallo,
ich habe einen sehr unvorsichtigen 16jährigen Sohn, der immer wieder etwas vom PC herunterlädt. Jetzt fürchte ich hat er den Pc vollständig verseucht. Um das zu klären wollte ich Euch bitten, das nach Anleitung erstellte Logfile anzukucken, was damit los ist. Bin leider nur Nutzerin, keine Spezialistin, und brauche deshalb die "Anleitung und Auskunft für Doofe".


Logfile of HijackThis v1.99.1
Scan saved at 18:42:01, on 21.06.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\LEXMARK 2200 SERIES\LXBVBMGR.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\A2\A2GUARD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\LEXMARK 2200 SERIES\LXBVBMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onvista.de/
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_5_7_0.DLL
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\PROGRAMME\ISTBAR\ISTBARCM.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\ICON\AOLMIcon.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\PROGRAMME\T-ONLINE\WLAN-ACCESS FINDER\TOWLAACF.EXE /StartMinimized
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab


Hoffe es ist noch was zu retten
Grüße Euch
rosie
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Geändert von Cidre (22.06.2005 um 21:58 Uhr)

Alt 21.06.2005, 19:29   #2
cronos
 
infizierter PC? - Standard

infizierter PC?



Dann check zunächst mal diese Datei :

C:\WINDOWS\PTSNOOP.EXE

hier:

http://virusscan.jotti.org/de/

Teile uns das Ergebnisse mit.

Die kann bösartig sein, muß es aber nicht.
__________________

__________________

Alt 21.06.2005, 19:35   #3
Rene-gad
 
infizierter PC? - Standard

infizierter PC?



@rosi one
Zitat:
Jetzt fürchte ich hat er den Pc vollständig verseucht.
Das ist leider korrekt:
Zitat:
F1 - win.ini: load=ptsnoop.exe
ist ein Backdoor-Trojaner. Da die Backdoors einen PC absolut ungeschützt gegen die Fremdangriffe machen, empfielt Microsoft, PC neu aufzusetzen.
Eigene Dateien können gesichert werden, vor dem Zurückspielen aber müssen sie mit einem aktullen Virenscanner gecheckt werden.
Anleitung zum Neuaufsetzen findest du , wenn du auf den grünen Link in meiner Signatur draufklickst.
__________________

Alt 21.06.2005, 19:39   #4
rosi one
 
infizierter PC? - Standard

infizierter PC?



Hallo,
hier erst mal die Prüfung, habe jetzt aber gesehen, dass schon weitere Unterstützung da ist. Gibt es gar keine andere Möglichkeit als neu aufzusetzen?. Habe leider so überhaupt keine Ahnung.
Trotzdem schon mal Danke

Status: INFIZIERT/MALWARE (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus not-a-virus:FalseAlarm.Symantec.Ptsnoop gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Alt 21.06.2005, 19:52   #5
chaosman
 
infizierter PC? - Standard

infizierter PC?



@rosi one
das wäre der hier
http://www.viruslist.com/en/viruses/...?virusid=62270

überprüfe dein system erst mal mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman
Edit: Hi cronos

__________________
Bonus vir semper tiro

Alt 21.06.2005, 19:52   #6
cronos
 
infizierter PC? - Standard

infizierter PC?



In diesem Fall denke ich, dass der PC noch zu retten ist.Um zu sehen, was sich noch an Malware auf deinem PC versteckt, checke dein System mit Escan und teile uns anschliessend die Ergebnisse mit.

Edit:@chaosman : Ahoi
__________________
--> infizierter PC?

Alt 21.06.2005, 23:44   #7
rosi one
 
infizierter PC? - Standard

infizierter PC?



Ich hoffe, ich habe jetzt alles. Das was da unten jetzt kommt habe ich aus der mwav.log herauskopiert. Ich hoffe Ihr könnt was damit anfangen.
Grüße und Danke
rosi one

Tue Jun 21 20:33:47 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Tue Jun 21 20:33:47 2005 => System found infected with YourSiteBar Spyware/Adware ({42F2C9BA-614F-47C0-B3E3-ECFD34EED658})! Action taken: No Action Taken.
Tue Jun 21 20:33:47 2005 => Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:51 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sidefind !!!
Tue Jun 21 20:33:51 2005 => Offending value found in HKLM\Software\sidefind !!!
Tue Jun 21 20:33:51 2005 => Offending Folder C:\PROGRA~1\SIDEFIND present...
Tue Jun 21 20:33:51 2005 => Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istsvc !!!
Tue Jun 21 20:33:57 2005 => Offending value found in HKLM\Software\istsvc !!!
Tue Jun 21 20:33:57 2005 => Offending Folder C:\PROGRA~1\ISTSVC present...
Tue Jun 21 20:33:57 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.


Tue Jun 21 20:34:26 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ysbactivex.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\AOL 6.0\Aol.chm". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SONYCD~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\ERICDA~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\ERICFO~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAG~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAH~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NOKIAT~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\NULLFO~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SMARTL~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\07_07F~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\SAMCDM~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\CDMA1F~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:26 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\Drivers\MITSUB~1.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:27 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\unvise32.exe". Action Taken: No Action Taken.

Tue Jun 21 20:34:27 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP25.DIR\_ISTMP0.DIR\FileGrp\MSVCRT10.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\logo.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\dot.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\will.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "E:\Office\Assistnt\genius.act". Action Taken: No Action Taken.

Tue Jun 21 20:34:28 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\All Users\Anwendungsdaten\Adobe\Photoshop Album\Kataloge\My Catalog.psa". Action Taken: No Action Taken.

Tue Jun 21 20:34:29 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ysbactivex.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:29 2005 => Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:31 2005 => Entry "HKCR\CLSID\{8BBDA254-CE76-11D3-A2CE-00108335731F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:31 2005 => Entry "HKCR\CLSID\{80373D03-D993-11D3-A2CE-00108335731F}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{6E5526E3-4B91-11d4-876F-005004BCDA99}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{6E5526E4-4B91-11d4-876F-005004BCDA99}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{567DB2D4-9B01-4EBF-9FFA-543491BF3379}" refers to invalid object "E:\PJSTREAM.DLL". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{92FA2C24-253C-11d2-90FB-006008A1F441}" refers to invalid object "a3dapi.dll". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{E399C722-ADBF-42A8-90F9-14C278E15C7D}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:32 2005 => Entry "HKCR\CLSID\{51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE8-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE7-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE9-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE0-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE4-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{759BBDE5-6943-11CF-9A16-444553540000}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{B2BE75F4-9197-11CF-ABF4-08000996E931}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{B2BE75F3-9197-11CF-ABF4-08000996E931}" refers to invalid object "blank". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{FBE840E5-13A5-4cff-B2A9-4D1E64A17FF2}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{F4C6D6E0-A8FB-4281-BE24-1662D646FE2B}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:33 2005 => Entry "HKCR\CLSID\{D98E820F-6ACD-4dc0-921E-9841E3D8B4A7}" refers to invalid object "E:\PLAYER\WMMP.EXE". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Map.EU.8" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Map.EU" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:39 2005 => Entry "HKCR\Automap.Template.EU.8" refers to invalid object "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.

Tue Jun 21 20:34:41 2005 => Entry "HKCR\SymWriter.pdb" refers to invalid object "{520DC67A-752E-11D3-8D56-00C04F680B2B}". Action Taken: No Action Taken.

Alt 22.06.2005, 02:36   #8
cronos
 
infizierter PC? - Standard

infizierter PC?



Wie zu erwarten, handelt es sich bis jetzt noch um nichts wildes.
Um deine Ergebnisse richtig interpretieren zu können, gib sie mal folgendermaßen wieder:

Zitat:
Rechtsklick auf diesen Link -> Ziel speichern unter… z.B. 'C:\Find.rar' -> 'Find.rar' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
__________________
Only cronos endures

Alt 22.06.2005, 13:08   #9
rosi one
 
infizierter PC? - Standard

infizierter PC?



womit soll ich die Datei denn öffnen? Mit editor kommt ziemlicher Kauderwelsch raus.

rosi one

Alt 22.06.2005, 13:17   #10
felix1
/// Helfer-Team
 
infizierter PC? - Standard

infizierter PC?



Lese in der Anleitung zum eScan den Abschnitt zur Datei find.bat.

Alt 22.06.2005, 20:11   #11
rosi one
 
infizierter PC? - Standard

infizierter PC?



Hallo, langsam aber sicher bin ich furchtbar genervt. Ich habe Find.rar unter C gespeichert, es ist aber keine Find.bat zu finden, das Einzige was auffindbar ist ist eine DOS-Datei Find (über Suchlauf). eScan habe ich jetzt 2x durchlaufen lassen. Wenn ich auf View Log drücke kommt das Ergebnis als WordPad. Eine MWAV.log ist auffindbar, aber wenn ich sie öffnen will kommt: Das Archiv besitzt ein unbekanntes Format oder ist beschädigt. Jetzt sitze ich bei dem schönen Wetter ständig am PC und komme zu nichts, wenn nicht bald Erfolg sichtbar wird gebe ich auf, oder schmeiß das Ding raus
rosi one

Alt 22.06.2005, 21:53   #12
rosi one
 
infizierter PC? - Standard

infizierter PC?



So, jetzt habe wahrscheinlich das Umständlichste von allem gemacht. Ich habe alle tagged und infected Dateien per Hand rausgesucht und auf ein Worddokument kopiert und versuche es jetzt hier drauf zu bekommen.

Tagged:
Tue Jun 21 20:33:45 2005 => File C:\WINDOWS\ptsnoop.exe tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

Tue Jun 21 21:04:09 2005 => File C:\Programme\AVPersonal\INFECTED\EE748A00.16D tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.

Tue Jun 21 22:20:27 2005 => File D:\WINDOWS\PTSNOOP.EXE tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

Infected
Tue Jun 21 20:33:47 2005 => System found infected with YourSiteBar Spyware/Adware ({42F2C9BA-614F-47C0-B3E3-ECFD34EED658})! Action taken: No Action Taken.
Tue Jun 21 20:33:47 2005 => Object "YourSiteBar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({0985c112-2562-46f2-8da6-92648ba4630f})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:48 2005 => System found infected with IstBAR Spyware/Adware ({67907b3c-a6ef-4a01-99ad-3fcd5f526429})! Action taken: No Action Taken.
Tue Jun 21 20:33:48 2005 => Object "IstBAR Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with XXXToolbar Spyware/Adware ({7C559105-9ECF-42B8-B3F7-832E75EDD959})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "XXXToolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:33:49 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Tue Jun 21 20:33:49 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:34:25 2005 => System found infected with ISTsvc Spyware/Adware (shortcuts.txt)! Action taken: No Action Taken.
Tue Jun 21 20:34:25 2005 => Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:34:25 2005 => System found infected with ISearchTech Spyware/Adware (istactivex.dll)! Action taken: No Action Taken.
Tue Jun 21 20:34:25 2005 => Object "ISearchTech Spyware/Adware" found in File System! Action Taken: No Action Taken.

Tue Jun 21 20:46:40 2005 => File C:\WINDOWS\Downloaded Program Files\istactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Tue Jun 21 20:46:47 2005 => Scanning File C:\WINDOWS\Temporary Internet Files\Content.IE5\DK4V5DCL\infected6xz[1].gif

Tue Jun 21 21:04:09 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Tue Jun 21 21:04:09 2005 => Scanning File
C:\Programme\AVPersonal\INFECTED\866C2486.09F

Tue Jun 21 21:04:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\#INDEX#

Tue Jun 21 21:04:09 2005 => Scanning File
C:\Programme\AVPersonal\INFECTED\EE748A00.16D

Tue Jun 21 21:04:09 2005 => File C:\Programme\AVPersonal\INFECTED\EE748A00.16D tagged as "not-a-virus:Porn-Dialer.Win32.Intexdial". Action Taken: No Action Taken.

Tue Jun 21 21:04:09 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\FFE85A80.271

Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\FFE85A80.271 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\5BB2C7FA.234
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\5BB2C7FA.234 infected by "Trojan-Downloader.Win32.IstBar.gi" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\CAAFB7B3.2C7
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\CAAFB7B3.2C7 infected by "Trojan-Downloader.Win32.Dyfuca.ei" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\74F5F6EA.212
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\74F5F6EA.212 infected by "Trojan-Downloader.Win32.IstBar.gi" Virus! Action Taken: No Action Taken.

Tue Jun 21 21:04:10 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\ISTSVC.VIR
Tue Jun 21 21:04:10 2005 => File C:\Programme\AVPersonal\INFECTED\ISTSVC.VIR infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Ging ja doch ganz gut
Hoffentlich könt Ihr daraus etwas ersehen. Danke nochmal für Eure Mühe

rosi one

Alt 23.06.2005, 13:04   #13
felix1
/// Helfer-Team
 
infizierter PC? - Standard

infizierter PC?



Tue Jun 21 20:46:40 2005 => File C:\WINDOWS\Downloaded Program Files\istactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus! Action Taken: No Action Taken.

Das sollte der sein:
http://www.sophos.de/virusinfo/analy...jistbaray.html

Alt 23.06.2005, 16:05   #14
rosi one
 
infizierter PC? - Standard

infizierter PC?



Aha, und was mache ich jetzt damit. Diese Datei PowerScan habe ich schon gelöscht bevor ich mich an Euch gewendet habe, weil sie unerwünscht aufgetaucht ist.

Danke schon mal
rosi

Alt 23.06.2005, 18:06   #15
felix1
/// Helfer-Team
 
infizierter PC? - Standard

infizierter PC?



Ich würde Dir raten, den PC nach Cidres Anleitung neu zu installieren.
http://www.trojaner-board.de/showthread.php?t=12154

Antwort

Themen zu infizierter PC?
adobe, bho, c:\windows\temp, dateien, explorer, hijack, hijackthis, immer wieder, infizierter pc, internet, internet explorer, logfile, messenger, microsoft, msn, msn messenger, office, programme, registry, rundll, rundll32.exe, scan, software, system, t-online, temp, update, windows, windows\temp, yahoo



Ähnliche Themen: infizierter PC?


  1. WIndows 7 infizierter Computer :137 infizierte Objekte
    Plagegeister aller Art und deren Bekämpfung - 19.09.2013 (1)
  2. Infizierter Rechner / Browser laden langsam
    Log-Analyse und Auswertung - 30.07.2013 (9)
  3. GVU 2.12 infizierter Rechner - Windows XP 32-bit
    Log-Analyse und Auswertung - 17.07.2013 (7)
  4. Infizierter Rechner?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2013 (19)
  5. Mit PUP.Blabbers infizierter Win7
    Plagegeister aller Art und deren Bekämpfung - 21.01.2013 (15)
  6. Trojan.Agent-infizierter registrierungswert
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  7. ggf. Infizierter PC - Eset fand Open Candy?
    Log-Analyse und Auswertung - 21.04.2012 (3)
  8. Windowssystem blockiert - Infizierter Nr.128398123
    Plagegeister aller Art und deren Bekämpfung - 16.02.2012 (16)
  9. Infizierter Registrierungsschlüssel (Spyware.OnlineGames) ?
    Plagegeister aller Art und deren Bekämpfung - 30.06.2011 (1)
  10. Löschen infizierter Datein
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (32)
  11. Infizierter Rechner - Hilfe erbeten!
    Log-Analyse und Auswertung - 29.07.2009 (14)
  12. Infizierter Rechner
    Log-Analyse und Auswertung - 16.07.2009 (0)
  13. infizierter Anhang
    Diskussionsforum - 12.12.2008 (4)
  14. Furchtbar infizierter Computer
    Log-Analyse und Auswertung - 04.12.2008 (2)
  15. Katastrophal infizierter Rechner!!!
    Mülltonne - 13.06.2008 (0)
  16. Extrem Infizierter Rechner!
    Log-Analyse und Auswertung - 14.10.2005 (7)
  17. Schon wieder ein infizierter
    Log-Analyse und Auswertung - 05.02.2005 (1)

Zum Thema infizierter PC? - Hallo, ich habe einen sehr unvorsichtigen 16jährigen Sohn, der immer wieder etwas vom PC herunterlädt. Jetzt fürchte ich hat er den Pc vollständig verseucht. Um das zu klären wollte ich - infizierter PC?...
Archiv
Du betrachtest: infizierter PC? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.