Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 64.192.130.141 bzw. www.ad-w-a-r-e.com/

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.11.2005, 00:34   #1
Ralf M.
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



64.192.130.141 bzw. www.ad-w-a-r-e.com/
nerft. was tun? kann jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 00:16 Uhr , on 08.11.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\WSYS.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE
D:\RETTUNGSORTNER\DOWNLOADS\UHR\TCLOCK.EXE
C:\PROGRAMME\ONLINECOUNTER 2002\ONLINECOUNTER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA-1.8A6.DE-AT.WIN32\MOZILLA.EXE
C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HIJACKTHIS V1.99.1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Kill Window] "D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart
O4 - HKCU\..\Run: [HijackThis startup scan] C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HijackThis.exe /startupscan
O4 - Startup: TClock.lnk = D:\Rettungsortner\Downloads\Uhr\TClock.exe
O4 - Startup: Logox Taskleisten Icon.lnk = C:\WINDOWS\Logox\LgxTNA.exe
O4 - Startup: E-Color.lnk = C:\Programme\E-Color\Common\IconMgr.exe
O4 - Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2002\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

was muß ich der reihe nach machen um das nerfige-teil los zu werden? help?

Alt 08.11.2005, 01:08   #2
dartus
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo Ralf M.

downloade Ewido . Installieren und updaten.

Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe

Lösche manuell:
C:\WINDOWS\MSRESEARCH.exe
C:\WINDOWS\SYSTEM\wsys.exe

Scanne nacheinander mit Ewido und Norton. Lösche alle Funde.

Neues Logfile und berichten

dartus
__________________

__________________

Alt 08.11.2005, 01:28   #3
Wildone
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo,
und dieses mal vorallem ein komplettes Logfile posten, besonders der O20 Eintrag sollte interessant sein



Grüße Wildone
__________________

Alt 08.11.2005, 09:34   #4
dartus
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo Wildone,

beachte bitte das System, es ist Win98. Da kommt nicht mehr.
Schauen wir mal, ob es langt.

dartus
__________________
Kein Support per PN

Alt 08.11.2005, 11:29   #5
Wildone
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo,
ups, das kommt davon wenn man die Kopfzeile überliest. Würde mich aber trotzdem interessierren ob das ein Ableger von look2me ist, oder andere Adware, die die selben Server verwendet.
@Ralf M.
Kannst du, wenn du Ewido drüberlaufen läßt, danach mal das Log posten (bereinigt von den Cookiesmeldungen).


Grüße Wildone


Alt 08.11.2005, 17:33   #6
raman
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Ja, das ist look2me, nur kannst du ihn da in einem HijackThis log unter Win9X gar nicht sehen. Aber man hat den Vorteil, die Dateien im Dosmodus loeschen zu koennen.

Achso, ewido funktioniert nicht unter Win9x!
__________________
--> 64.192.130.141 bzw. www.ad-w-a-r-e.com/

Alt 08.11.2005, 17:49   #7
Wildone
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo,
weißt du zufällig auch ob l2mfix mit Win98 kompatibel ist? Bzw. wie es mit der Entfernung per Spysweeper aussieht?


Grüße Wildone

Alt 08.11.2005, 18:02   #8
raman
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Nein, das funktioniert nicht unter Win98. Bei Spysweeper habe ich es noch nicht probiert, sollte aber funktionieren....
__________________
MfG Ralf

Alt 08.11.2005, 18:13   #9
Wildone
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



Hallo,
@raman
na dann sollten wir es doch mal mit Spysweeper versuchen, danke für deine Hinweise.
@Ralf M.
Führe mal folgendes durch. Da danach häufig noch infizierte Dateien zurück bleiben, solltest du danach noch mal mit Escan (Anleitung sorgfältig lesen!) dein System untersuchen und das Log wie in der Anleitung beschrieben posten.


Grüße Wildone

Alt 08.11.2005, 22:36   #10
dartus
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/ - Standard

64.192.130.141 bzw. www.ad-w-a-r-e.com/



War wohl doch zu spät gestern, da meine Empfehlung Ewido war.

dartus
__________________
Kein Support per PN

Antwort

Themen zu 64.192.130.141 bzw. www.ad-w-a-r-e.com/
antivirus, bla, button, dateien, email, explorer, hijack, hijackthis, icq, internet, internet explorer, internet security, logitech, microsoft, norton internet security, ordner, programme, rundll, security, software, start, symantec, system, taskleiste, tuneup utilities, urlsearchhook, was tun, was tun?, windows



Zum Thema 64.192.130.141 bzw. www.ad-w-a-r-e.com/ - 64.192.130.141 bzw. www.ad-w-a-r-e.com/ nerft. was tun? kann jemand helfen? Logfile of HijackThis v1.99.1 Scan saved at 00:16 Uhr , on 08.11.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer - 64.192.130.141 bzw. www.ad-w-a-r-e.com/...
Archiv
Du betrachtest: 64.192.130.141 bzw. www.ad-w-a-r-e.com/ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.