Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: pokapoka65 !!??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 17.09.2005, 17:14   #1
heAdLesS
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



Hallo,
ich habe ein Problem... habe grad mein sys neu gemacht und hab da 2 einträge (rot unterlegt) die mich stutzig machen.. zumindest "pokapoka65" bekomm ich absolut nicht gefixt... hatte es mit adaware, antivir und spybot s&d versucht... naja und mit hjt natürlich auch! lässt sich aber nicht löschen!
wäre für ein wenig unterstützung dankbar!

mfg head

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\etb\pokapoka65.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\netddesrv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
J:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\RunServices: [Generic Host Process8 System Backup] scvhost8.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E34ABA77-364C-4DF3-9550-FBDB54C6BA40}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

Alt 17.09.2005, 19:25   #2
cotton
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



da...
http://spotlight.de/zforen/sec/m/sec...0817-5724.html
aber scvhost8.exe ????
nich mal google kennts.
(warum postest du nicht die ganze log?(kopf fehlt))

gruss
__________________


Alt 17.09.2005, 19:27   #3
cotton
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



... kann es sein, dass du die 8 ins svchost... ausversehen eingetippt hast?
am besten noch mal ne neue log ....
__________________

Alt 17.09.2005, 19:32   #4
cronos
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



pokapoka65.exe loszuwerden sollte kein Problem sein.
Vorher sollten wir aber den Status von scvhost8.exe rausfinden.
Suche die Datei mittels der Suchfunktion.Achte darauf, dass du einstellst, dass auch versteckte Dateien durchsucht werden.
Hast du die Datei gefinden beende den laufenden Prozess im Taskmanager und lade die Datei zur Analyse hier hoch:

http://virusscan.jotti.org/de/

Melde dich mit den Ergebnissen zurück.

@ cotton, die 8 hat er definitiv nicht eingetippt.
__________________
Only cronos endures

Alt 17.09.2005, 19:42   #5
cotton
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@ cronos
Zitat:
@ cotton, die 8 hat er definitiv nicht eingetippt
... google findets nich ... hätte ja sein könn ...
(lerne ja noch )


Alt 17.09.2005, 19:45   #6
cronos
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@ cotton

Ich find bei google was .
__________________
--> pokapoka65 !!??

Alt 17.09.2005, 19:59   #7
cotton
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@ cronos
upps

Alt 17.09.2005, 20:12   #8
heAdLesS
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@cronos:
habe die Datei mit dem suchsystem leider nicht gefunden und ist auch nicht als laufender prozess im taskmanager zu finden.

hier nochmal der komplette log:
inzwischen ist noch mal n pokapoka dazu gekommen... diesmal "68"
was mich besonders ärgert, ist das ich grad heut das sys gemacht habe und als ich das erste mal online gegangen war, um die neusten treiber etc. zu ziehen, war es da, in verbindung mit einer searchbar "yupsearch" und links in meiner favoritenliste.

Logfile of HijackThis v1.99.1
Scan saved at 20:05:43, on 17.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\netddesrv.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\etb\pokapoka68.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
J:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = ***24-7searching-and-more.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***24-7searching-and-more.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ***24-7searching-and-more.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ***24-7searching-and-more.com/sp2.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [System service68] C:\WINDOWS\etb\pokapoka68.exe
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\RunServices: [Generic Host Process8 System Backup] scvhost8.exe
O4 - HKCU\..\Run: [Steam] G:\Valve\Steam\Steam.exe -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{E34ABA77-364C-4DF3-9550-FBDB54C6BA40}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe

[edit]
links entfernt
[/edit]

Geändert von GUA (18.09.2005 um 08:43 Uhr)

Alt 17.09.2005, 20:15   #9
cronos
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



Dann gehe zunächst wie folgt vor:

Überprüfe dein System wie beschrieben mit Escan und teile uns anschließend die Ergebnisse mit.
__________________
Only cronos endures

Alt 17.09.2005, 20:18   #10
cotton
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@ heAdLesS
hättest erstmal sp2 aufspielen solen, und als erstes im netz nich die treiber suchen, sondern auf win-update ...
... (nichwar?)

Alt 17.09.2005, 21:17   #11
heAdLesS
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



Zitat:
Zitat von cotton
@ heAdLesS
hättest erstmal sp2 aufspielen solen, und als erstes im netz nich die treiber suchen, sondern auf win-update ...
... (nichwar?)
mag sein bzw hast recht nur wer hätte gedacht das innerhalb so extrem kurzer zeit soviel müll auf dem rechner landet!?
habe vorher auch (gut 4 jahre) fast absolut ohne schutz gesurft und es ist nie was passiert. irgendwann is wohl immer das erstemal
ich werde heute grad nahezu bombadiert was das betrifft

Alt 17.09.2005, 21:20   #12
chaosman
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@heAdLesS
hast du hier schon mal nachgeschaut?
http://forum.hijackthis.de/showthread.php?t=7811

chaosman
__________________
Bonus vir semper tiro

Alt 17.09.2005, 21:28   #13
heAdLesS
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



So mal alles was "infected" ist rausgesucht.. ganz schön was los hier.
ich werde wohl in sauren apfel beissen und alles neu machen?

Sat Sep 17 20:35:49 2005 => File C:\WINDOWS\System32\netddesrv.exe infected by "Backdoor.Win32.Codbot.at" Virus! Action Taken: No Action Taken.
Sat Sep 17 20:36:06 2005 => File C:\WINDOWS\System32\netddesrv.exe infected by "Backdoor.Win32.Codbot.at" Virus! Action Taken: No Action Taken.
Sat Sep 17 20:36:37 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sat Sep 17 20:37:53 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Sep 17 20:37:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\scvhost8.VIR
Sat Sep 17 20:37:53 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\scvhost8.VIR
Sat Sep 17 20:37:54 2005 => File C:\Programme\AVPersonal\INFECTED\scvhost8.VIR infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
Sat Sep 17 20:37:54 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\scvhost8.VIR00
Sat Sep 17 20:37:54 2005 => File C:\Programme\AVPersonal\INFECTED\scvhost8.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus! Action Taken: No Action Taken.
Sat Sep 17 20:42:06 2005 => File C:\WINDOWS\etb\xud_68.dll infected by "Trojan-Downloader.Win32.Agent.tv" Virus! Action Taken: No Action Taken.
Sat Sep 17 21:02:45 2005 => File J:\System Volume Information\_restore{99FCA74E-47AF-43BB-89AB-85B596526B57}\RP1\A0001168.dll infected by "Trojan-Downloader.Win32.Agent.tv" Virus! Action Taken: No Action Taken.
Sat Sep 17 21:02:45 2005 => File J:\System Volume Information\_restore{99FCA74E-47AF-43BB-89AB-85B596526B57}\RP1\A0001169.dll infected by "Trojan-Downloader.Win32.Agent.tv" Virus! Action Taken: No Action Taken.

Alt 17.09.2005, 21:40   #14
chaosman
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



@heAdLesS
ich werde wohl in sauren apfel beissen und alles neu machen?
Yep alleine schon wegen diesen hier
http://www.sophos.com/virusinfo/anal...32codboty.html

hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2

sry
chaosman
__________________
Bonus vir semper tiro

Alt 17.09.2005, 22:00   #15
heAdLesS
 
pokapoka65 !!?? - Standard

pokapoka65 !!??



ich habe mich durchgerungen doch wieder neues system aufzusetzen!
will mich aber dennoch für die hilfe bedanken!

danke

Antwort

Themen zu pokapoka65 !!??
antivir, avg, button, excel, generic, generic host, generic host process, hijack, hijackthis, hotkey, icq, internet, internet explorer, löschen, microsoft, neu, office, programme, software, spybot, start, system, system32, tools, träge, update, windows



Zum Thema pokapoka65 !!?? - Hallo, ich habe ein Problem... habe grad mein sys neu gemacht und hab da 2 einträge (rot unterlegt) die mich stutzig machen.. zumindest "pokapoka65" bekomm ich absolut nicht gefixt... hatte - pokapoka65 !!??...
Archiv
Du betrachtest: pokapoka65 !!?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.