Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wie krieg ich die Würmer weg?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.07.2005, 17:06   #1
fuchsmaster
 
Wie krieg ich die Würmer weg? - Standard

Wie krieg ich die Würmer weg?



Hallo zusammen, ich habe die dankbare Aufgabe von meinem Kumpel bekommen, seinen Laptop vom Wurm- und Virenbefall zu befreien. Ich weiss schon, dass es in der spools.exe drei Würmer hängen. Ich hab mal nen HijackThis logfile gemacht:
Ich hab grad a-squared durchlaufen lassen, jetzt ist gerade e-scan am Werk.


Logfile of HijackThis v1.99.1
Scan saved at 16:44:52, on 16.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\VERITAS Software\StorageGuard\sgtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\system32\mmsvc32.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\Programme\eScan\escanwin.exe
C:\Programme\eScan\kavss.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\WINDOWS\system32\spools.exe
C:\DOKUME~1\LARSWE~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = htttp://de.rd.yahoo.com/slv/ycheck/as/*htttp://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htttp://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htttp://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htttp://www.internetcologne.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = htttp://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O1 - Hosts: 205.209.153.86 lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 online.lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 wwww.lloydstsb.co.uk
O1 - Hosts: 205.209.153.86 wwww.lloydstsb.com
O1 - Hosts: 205.209.153.86 personal.barclays.co.uk
O1 - Hosts: 205.209.153.86 barclays.co.uk
O1 - Hosts: 205.209.153.86 ibank.barclays.co.uk
O1 - Hosts: 205.209.153.86 wwww.barclays.co.uk
O1 - Hosts: 205.209.153.86 wwww.nwolb.com
O1 - Hosts: 205.209.153.86 nwolb.com
O1 - Hosts: 205.209.153.86 hsbc.co.uk
O1 - Hosts: 205.209.153.86 wwww.hsbc.co.uk
O1 - Hosts: 205.209.153.86 abbey.com
O1 - Hosts: 205.209.153.86 wwww.abbey.com
O1 - Hosts: 205.209.153.86 wwww.abbey.co.uk
O1 - Hosts: 205.209.153.86 abbey.co.uk
O1 - Hosts: 205.209.153.86 cahoot.com
O1 - Hosts: 205.209.153.86 wwww.cahoot.com
O1 - Hosts: 205.209.153.86 wwww.cahoot.co.uk
O1 - Hosts: 205.209.153.86 cahoot.co.uk
O1 - Hosts: 205.209.153.86 wwww.co-operativebank.co.uk
O1 - Hosts: 205.209.153.86 co-operativebank.co.uk
O1 - Hosts: 205.209.153.86 wwww.co-operativebank.com
O1 - Hosts: 205.209.153.86 co-operativebank.com
O1 - Hosts: 205.209.153.86 welcome2.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome6.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome8.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 welcome10.co-operativebankonline.co.uk
O1 - Hosts: 205.209.153.86 wwww.smile.co.uk
O1 - Hosts: 205.209.153.86 smile.co.uk
O1 - Hosts: 205.209.153.86 wwww.cajamar.es
O1 - Hosts: 205.209.153.86 cajamar.es
O1 - Hosts: 205.209.153.86 wwww.cajamar.com
O1 - Hosts: 205.209.153.86 wwww.unicaja.es
O1 - Hosts: 205.209.153.86 unicaja.es
O1 - Hosts: 205.209.153.86 wwww.unicaja.com
O1 - Hosts: 205.209.153.86 unicaja.com
O1 - Hosts: 205.209.153.86 wwww.caixagalicia.es
O1 - Hosts: 205.209.153.86 caixagalicia.es
O1 - Hosts: 205.209.153.86 wwww.caixagalicia.com
O1 - Hosts: 205.209.153.86 caixagalicia.com
O1 - Hosts: 205.209.153.86 activa.caixagalicia.es
O1 - Hosts: 205.209.153.86 wwww.caixapenedes.es
O1 - Hosts: 205.209.153.86 caixapenedes.es
O1 - Hosts: 205.209.153.86 wwww.caixapenedes.com
O1 - Hosts: 205.209.153.86 caixapenedes.com
O1 - Hosts: 205.209.153.86 bancae.caixapenedes.com
O1 - Hosts: 205.209.153.86 wwww.caixasabadell.es
O1 - Hosts: 205.209.153.86 caixasabadell.es
O1 - Hosts: 205.209.153.86 wwww.caixasabadell.net
O1 - Hosts: 205.209.153.86 caixasabadell.net
O1 - Hosts: 205.209.153.86 wwww.cajamadrid.es
O1 - Hosts: 205.209.153.86 cajamadrid.es
O1 - Hosts: 205.209.153.86 wwww.cajamadrid.com
O1 - Hosts: 205.209.153.86 cajamadrid.com
O1 - Hosts: 205.209.153.86 oi.cajamadrid.es
O1 - Hosts: 205.209.153.86 wwww.ccm.es
O1 - Hosts: 205.209.153.86 ccm.es
O1 - Hosts: 205.209.153.86 wwww.haspa.de
O1 - Hosts: 205.209.153.86 haspa.de
O1 - Hosts: 205.209.153.86 ssl2.haspa.de
O1 - Hosts: 205.209.153.86 wwww.dresdner-bank.de
O1 - Hosts: 205.209.153.86 dresdner-bank.de
O1 - Hosts: 205.209.153.86 wwww.dresdner-privat.de
O1 - Hosts: 205.209.153.86 postbank.de
O1 - Hosts: 205.209.153.86 wwww.postbank.de
O1 - Hosts: 205.209.153.86 banking.postbank.de
O1 - Hosts: 205.209.153.86 wwww.sparda-b.de
O1 - Hosts: 205.209.153.86 sparda-b.de
O1 - Hosts: 205.209.153.86 wwww.bankingonline.de
O1 - Hosts: 205.209.153.86 wwww.raiffeisenbank-erding.de
O1 - Hosts: 205.209.153.86 raiffeisenbank-erding.de
O1 - Hosts: 205.209.153.86 wwww.vr-networld-ebanking.de
O1 - Hosts: 205.209.153.86 vr-networld-ebanking.de
O1 - Hosts: 205.209.153.86 wwww.bnhof.de
O1 - Hosts: 205.209.153.86 bnhof.de
O1 - Hosts: 205.209.153.86 wwww.deutsche-bank.de
O1 - Hosts: 205.209.153.86 deutsche-bank.de
O1 - Hosts: 205.209.153.86 meine.deutsche-bank.de
O1 - Hosts: 205.209.153.86 wwww.citibank.de
O1 - Hosts: 205.209.153.86 citibank.de
O1 - Hosts: 205.209.153.86 cipehb13.cdg.citibank.de
O1 - Hosts: 205.209.153.86 wwww.dkb.de
O1 - Hosts: 205.209.153.86 dkb.de
O1 - Hosts: 205.209.153.86 wwww.sparkasse-regensburg.de
O1 - Hosts: 205.209.153.86 sparkasse-regensburg.de
O1 - Hosts: 205.209.153.86 wwww.berliner-bank.de
O1 - Hosts: 205.209.153.86 berliner-bank.de
O1 - Hosts: 205.209.153.86 wwww.berliner-sparkasse.de
O1 - Hosts: 205.209.153.86 berliner-sparkasse.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QCTRAY] C:\PROGRA~1\ThinkPad\CONNEC~1\Qctray.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\StorageGuard\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\system32\spools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=htttp://www.freenet.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{429B82A1-8E2A-4285-9D9B-B1E8CF3001CF}: NameServer = 213.168.112.60 81.173.194.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{429B82A1-8E2A-4285-9D9B-B1E8CF3001CF}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank für jede Hilfe!

Geändert von fuchsmaster (16.07.2005 um 17:19 Uhr)

Alt 16.07.2005, 17:24   #2
cronos
 
Wie krieg ich die Würmer weg? - Standard

Wie krieg ich die Würmer weg?



Du kannst dir hier jede weitere Bereinigung sparen, da auf dem PC mindestens eine Backdoorkomponente vorhanden ist, nämlich diese .
Das System ist als kompromittiert zu betrachten und sollte schnelstens gemäß diesser Anleitung neu aufgesetzt werden, um ähnlichen Befall in Zukunft zu vermeiden.
Warum eine Bereinigung in diesem Fall nicht hilft, liest du hier nach.
__________________

__________________

Antwort

Themen zu Wie krieg ich die Würmer weg?
adobe, bho, dateien, dll, escan, explorer, google, hijack, hijackthis, hijackthis logfile, hotkey, internet, internet explorer, kaspersky, logfile, microsoft, programme, rundll, software, system, temp, windows, windows messenger, windows xp, yahoo



Ähnliche Themen: Wie krieg ich die Würmer weg?


  1. Trojaner auf PC - Wie krieg ich ihn weg?
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (10)
  2. Wie krieg ich das wieder weg?
    Plagegeister aller Art und deren Bekämpfung - 18.02.2011 (1)
  3. Trojana.wie krieg ich ihn weg?
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (1)
  4. Was hab ich mir da eingefangen und wie krieg ich es weg ?
    Log-Analyse und Auswertung - 19.07.2008 (3)
  5. Trojaner TR/VB.agt.18, wie krieg ich den weg..???
    Mülltonne - 25.01.2008 (0)
  6. Trojaner... wie krieg ich den weg
    Plagegeister aller Art und deren Bekämpfung - 23.06.2006 (17)
  7. Wie krieg ich den Hacker!?
    Plagegeister aller Art und deren Bekämpfung - 10.06.2006 (8)
  8. Wie krieg ich's weg???
    Plagegeister aller Art und deren Bekämpfung - 07.03.2006 (1)
  9. ich krieg's nicht weg...
    Log-Analyse und Auswertung - 10.06.2005 (4)
  10. Wie krieg ich W32.kill weg?
    Plagegeister aller Art und deren Bekämpfung - 28.05.2005 (2)
  11. Wie krieg ich die weg?
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (8)
  12. Ich krieg es nicht los
    Log-Analyse und Auswertung - 14.01.2005 (1)
  13. Würmer über Würmer
    Plagegeister aller Art und deren Bekämpfung - 10.11.2004 (4)
  14. ich krieg ne krise
    Überwachung, Datenschutz und Spam - 27.03.2003 (2)
  15. Wie krieg ich den Trojaner los?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2003 (8)
  16. wie krieg ich tjaw.com los?
    Archiv - 05.01.2003 (8)

Zum Thema Wie krieg ich die Würmer weg? - Hallo zusammen, ich habe die dankbare Aufgabe von meinem Kumpel bekommen, seinen Laptop vom Wurm- und Virenbefall zu befreien. Ich weiss schon, dass es in der spools.exe drei Würmer hängen. - Wie krieg ich die Würmer weg?...
Archiv
Du betrachtest: Wie krieg ich die Würmer weg? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.