| |
| |||||||
Log-Analyse und Auswertung: System verseucht...mit hj-this fixen geht nichtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
18.11.2005, 12:25
| #1 |
| |  System verseucht...mit hj-this fixen geht nicht Hallo...ich habe Probleme damit erkannte Probleme mit HijackThis zu beseitigen z.b. O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe Auch die wincntrl.exe kann ich nicht löschen. Ich hab Windows im abgesicherten modus gestartet und versucht mit HijackThis probleme zu fixen...erfolglos. evido suite, SB search and destroy, Ad-aware konnten die Probleme nicht beseitigen/finden Hier noch mal das ganze Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\security suite\ewidoctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\devldr.exe C:\WINDOWS\system32\wincntrl.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Mozilla\mozilla.exe C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqpo.dll O2 - BHO: MSEvents Object - {79A576C4-B7A9-47EC-B57C-2CE5CA6ECC6A} - C:\WINDOWS\System32\vtsqp.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9247302C-F93D-4F34-9E9B-777D2E056E98}: NameServer = 217.237.150.225 217.237.150.141 O20 - Winlogon Notify: ssqpo - C:\WINDOWS\SYSTEM32\ssqpo.dll O20 - Winlogon Notify: vtsqp - C:\WINDOWS\System32\vtsqp.dll O23 - Service: ewido security suite control - ewido networks - C:\Programme\security suite\ewidoctrl.exe O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINDOWS\system32\wincntrl.exe Was muss ich alles löschen und wie mache/schaffe ich das? Ich hoffe mir kann geholfen werden  Gruss, Detox |
|
18.11.2005, 12:34
| #2 | |
  | System verseucht...mit hj-this fixen geht nicht Hallo,
__________________sorry aber du hast dir höchstwahrscheinlich dieses "Prachtstück" eingefangen und somit ist dein system kompromittiert und sollte neu aufgesetzt werden. Nochmal zur Verdeulichung die Side effects: Zitat:
Grüße Wildone |
|
18.11.2005, 12:38
| #3 |
 | System verseucht...mit hj-this fixen geht nicht Hi,
__________________verseucht trifft´s ganz gut: Beim ersten Hinschauen einen Backdoortrojaner gefunden: den hier. Er steckt in der C:\WINDOWS\devldr.exe C:\WINDOWS\system32\wincntrl.exe kann auf einen SD-Bot, ebenfalls Backdoor verweisen. Smitfraud sehe ich ebenso. Deshalb nur ein Rat: System neu aufsetzen. Halte Dich bitte peinlich genau an die von Cidre beschriebene Vorgehensweise. cacatoa Edit: servus Wildone! 
__________________ |
|
18.11.2005, 13:12
| #4 |
| | System verseucht...mit hj-this fixen geht nicht *Buhuhhh*  ...ich hab doch kein Windows zur Hand.Mir ist schon klar das ich mein System neu installieren muss...geht aber gerade einfach nicht. Habt ihr ne Idee was ich gegen das Wurm und Trojanergelumpe tun kann bis ich mein System ne aufsetzen kann?  Ich hoffe euch fällt was ein... Gruss, Detox |
|
18.11.2005, 13:31
| #5 |
| | System verseucht...mit hj-this fixen geht nicht Hallo, das ist aber wirklich nur bis du neu installierst! Gehe auf Start>>Ausführen services.msc Die Dienste MS Dns Service Windows Archiver doppelklicken, den Starttyp auf deaktiviert ändern, und bei Dienstatus auf beenden klicken. Dann die Dateien: C:\WINDOWS\devldr.exe C:\WINDOWS\system32\wincntrl.exe mit killbox(delete file on reboot) löschen Dann diese Anleitung abarbeiten und neues Log posten. Das dies nur gefrickel ist, und die Symptome bekämpft brauche ich dir nicht zu sagen, desweiteren sollte klar sein das du mit diesem System keine sensiblen Sachen wie Onlinebanking oder Ebay machen solltest. Außerdem solltest du dir eine legale Windowsversion besorgen, mit den illegalen Versionen wirst du keinen Spass an deinem Computer haben, da du dich immer wieder infizieren wirst, weil du dein System nicht updaten kannst. Grüße Wildone Geändert von Wildone (18.11.2005 um 13:50 Uhr) |
|
20.11.2005, 13:38
| #6 |
| | System verseucht...mit hj-this fixen geht nicht Ich hoffe das ist jetzt sauber. Woran liegt es das ich mir andauernd so ein Trojanergesocks einfange? Nur an der veralteten Windoof Version kann es ja net liegen. Ich hab das Gefühl, dass es daran liegt das ich der svchost.exe zugriff aufs Internet erlaube. Gibt es ne Internetseite die einem Idiotensicher erklärt was man der Firewall erlauben darf und was nicht? Das Ding hier bekomm ich nicht weg..aber dürfte ja jetzt wenigstens inaktiv sein und keine Gefahr mehr darstelen, oder? : O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe (file missing) Hier noch mal das ganze log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\security suite\ewidoctrl.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe C:\Programme\Mozilla\mozilla.exe C:\Dokumente und Einstellungen\Jens\Desktop\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O9 - Extra button: Outpost Firewall Pro-Schnelleinrichten - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9247302C-F93D-4F34-9E9B-777D2E056E98}: NameServer = 217.237.150.225 217.237.150.141 O23 - Service: ewido security suite control - ewido networks - C:\Programme\security suite\ewidoctrl.exe O23 - Service: Msdebugsrv1 (Msdebugsrv) - Unknown owner - C:\WINDOWS\dbg32hlp.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programme\Agnitum\Outpost Firewall\outpost.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe |
|
20.11.2005, 16:41
| #7 | |
| | System verseucht...mit hj-this fixen geht nichtZitat:
Weiterhin denk dran: Sauber und o.k. ist Dein System nicht. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
| Themen zu System verseucht...mit hj-this fixen geht nicht |
| abgesicherten modus, ad-aware, bho, dateien, desktop, dns, drivers, einstellungen, firewall, geht nicht, hijack, hijackthis, icq, internet, internet explorer, log, microsoft, mozilla, msevents, nvidia, object, programme, rundll, security, security suite, software, symantec, system, system32, t-online, tuneup utilities, windows |
