| |
| |||||||
Log-Analyse und Auswertung: bitte mal schauenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
21.08.2005, 21:49
| #1 |
 |  bitte mal schauen Logfile of HijackThis v1.99.1 Scan saved at 21:35:11, on 21.08.2005 hey schaut euch das mal an hab nen trojaner drauf Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\ALLENS~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://security.kolla.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://security.kolla.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.ish.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.altavista.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://security.kolla.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von ish R3 - URLSearchHook: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~1.DLL O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll O2 - BHO: ToolHelper - {BBBE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - (no file) O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~3.DLL O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll O3 - Toolbar: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUpKiller.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv O8 - Extra context menu item: eBay Produktsuche - C:\Programme\Preispiraten\Buyertools Reminder\SearchEbay.htm O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim O8 - Extra context menu item: Mein eBay - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?mein O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll O9 - Extra 'Tools' menuitem: olado Toolbar von Ashampoo - {1CBF31FC-3C23-4BA6-AF16-2CEC501BD837} - C:\Programme\Ashampoo\olado Toolbar von Ashampoo\olado.dll O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - C:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.ish.com O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates International Inc. - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: PestPatrol Remote - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\pestpatrol\ppRemoteService.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB Geändert von Cidre (21.08.2005 um 21:54 Uhr) |
|
21.08.2005, 21:51
| #2 |
| |  bitte mal schauen ich hoffe mir kann da einer von euch helfen mit irgend welchen Entfernerprogammen
__________________ |
|
21.08.2005, 21:58
| #3 |
   | bitte mal schauen Also ich sehe keinen aktiven Trojaner. bitte poste von welchem programm er gefunden wurde und in welchem pfad er sich befindet.
__________________ |
|
21.08.2005, 22:04
| #4 |
 | bitte mal schauen Hallo, und schau mal ob du einen Eintrag unter Start>>Einstellungen>>Systemsteurung>>Software findest der Ashampoo oder olado, dieses Programm ist Spyware/Adware falls du es trotzdem nutzen willst drauf lassen, falls nicht deinstallieren. Grüße Wildone |
|
21.08.2005, 22:22
| #5 |
| | bitte mal schauen das ist jetzt vom trojanhunter Registry scan No suspicious entries found Inifile scan No suspicious entries found Port scan No suspicious open ports found Memory scan No trojans found in memory File scan (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) Warning: Executable file with double extensions found: C:\Programme\Mozilla Firefox\Firefox_Setup_1.0.3de.exe Warning: Unable to unpack UPX-packed file C:\Programme\TrojanHunter 4.2\InstTimeUpdater.exe (Add to ignore list) Warning: Unable to unpack UPX-packed file C:\WINDOWS\$NtServicePackUninstall$\usbuhci.sys (Add to ignore list) Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.VisualBasic.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.VisualBasic.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\Microsoft.Vsa\7.0.5000.0__b03f5f7f11d50a3a\Microsoft.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Web\1.0.5000.0__b03f5f7f11d50a3a\System.Web.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\GAC\System.Xml\1.0.5000.0__b77a5c561934e089\System.XML.dll Warning: Executable file with double extensions found: C:\WINDOWS\assembly\NativeImages1_v1.1.4322\System.Xml\1.0.5000.0__b77a5c561934e089_f4f618ec\System.Xml.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.VisualBasic.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\Microsoft.Vsa.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.Web.dll Warning: Executable file with double extensions found: C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\System.XML.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.chs.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.cht.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.ger.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\mscorrc.kor.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.web.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\system.xml.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.chs.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.cht.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.ger.dll Warning: Executable file with double extensions found: C:\WINDOWS\ServicePackFiles\i386\vbc7ui.kor.dll Found possible trojan file: C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) Found possible trojan file: C:\WINDOWS\system32\file.exe (Suspicious: UPX-packed file in Windows System folder) (What's a possible trojan file?) (Submit for analysis...) (Add to ignore list) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) (View ADS stream...) (Delete ADS stream) Error: Directory not found: D:\ 2 possible trojan files found |
|
21.08.2005, 22:27
| #6 | |
| | bitte mal schauenZitat:
 |
|
21.08.2005, 22:28
| #7 |
| | bitte mal schauen Zunächst einmal solltest du deinen FireFox auf die neuste Version updaten. Mittlerweile ist diese Version aktuell. Lösche mit Clean-Up den ganzen Müll, der sich in den temporären Dateien angesammelt hat. Scanne dein System abschließend mit Escan und teile uns die Ergebnisse mit.
__________________  Only cronos endures |
|
21.08.2005, 22:49
| #9 | |
| | bitte mal schauenZitat:
so ergebnis lautet Zu überprüfende Datei: file.exe file.exe Infiziert: Trojan-Proxy.Win32.Agent.cu Statistiken: Bekannte Viren: 144932 Updated: 21-08-2005 Größe der Datei (Kb): 27 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 so mache jetzt mal den escan bis gleich |
|
22.08.2005, 18:40
| #10 |
| | bitte mal schauen so habe escan nun durchlaufen lassen, kapiere aber absolut nicht wie ich das in diesen find.bat ordner entpacken muss. wenn ich infected eingebe dann zeigt er mir nur eine zeile da sind aber mehrere die infiziert sein müssten?????????????!!!!!!!!! hilfe!!!!!!!!!!!! |
|
22.08.2005, 20:35
| #11 | |
| | bitte mal schauenZitat:
Doppelklick drauf und schon hast du eine neue Datei auf C:\ mit Namen eScan_neu.txt, den Inhalt posten  |
|
22.08.2005, 20:49
| #12 |
| | bitte mal schauen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 22 00:34:09 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken. Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken. Mon Aug 22 00:48:06 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Aug 22 01:23:07 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken. Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken. Mon Aug 22 01:51:25 2005 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3UC0XTIR\v0313001[1].exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken. Mon Aug 22 01:54:26 2005 => File C:\WINDOWS\system32\file.exe infected by "Trojan-Proxy.Win32.Agent.cu" Virus! Action Taken: No Action Taken. Mon Aug 22 01:57:27 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 22 00:35:59 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. Mon Aug 22 00:36:02 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. Mon Aug 22 01:26:12 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. Mon Aug 22 01:26:16 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. Mon Aug 22 01:54:25 2005 => File C:\WINDOWS\system32\fadcbav.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. Mon Aug 22 01:54:29 2005 => File C:\WINDOWS\system32\gtwgihz.dll tagged as "not-a-virus:AdWare.PurityScan.ak". Action Taken: No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ Mon Aug 22 00:34:13 2005 => Offending Folder found: C:\PROGRA~1\powerstrip Mon Aug 22 01:57:27 2005 => Total Virus(es) Found: 15 Mon Aug 22 01:57:27 2005 => Total Errors: 368 Mon Aug 22 01:57:27 2005 => Time Elapsed: 01:23:58 Mon Aug 22 01:57:27 2005 => Total Objects Scanned: 66229 Mon Aug 22 00:32:27 2005 => Virus Database Date: 2005/08/22 Mon Aug 22 01:57:27 2005 => Virus Database Date: 2005/08/22 Mon Aug 22 01:59:00 2005 => Virus Database Date: 2005/08/22 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
|
22.08.2005, 20:59
| #13 |
| | bitte mal schauen nun lösche doch bitte die von escan als infected und tagged markierten dateien im abgesicherten modus. falls sie nicht angezeigt werden: -extras,ordneroptionen,ansicht "geschützte systemdateien ausblenden" haken weg "inhalte von systemordnern anzeigen" haken hin "alle dateien und ordner anzeigen" selektieren OK und poste auch danach mal ein HJT-Logfile |
|
22.08.2005, 21:05
| #14 |
| | bitte mal schauen wo sollen die denn markiert sein. bitte ganz genau erklären bin nich wirklich profi |
|
22.08.2005, 21:08
| #15 |
| | bitte mal schauen äh ja, die sind nicht "markiert" es is eigentlich ne art "redewendung", denn er hat sie ja als einen in einen log geschrieben. und damit sind für mich dateien als solche "markiert" zugegeben das passt nicht ins deutsche aber das passt ja vieles nicht^^ also einfach nur die dateien die unter infected und tagged stehen löschen  |
|
| Themen zu bitte mal schauen |
| adobe, adobe reader, antivir, askbar, bho, computer, dateien, drivers, ebay, excel, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, programme, scan, software, system, temp, trojaner, urlsearchhook, windows, windows xp |
Linear-Darstellung
