Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bitte mal drüberschaun

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.03.2006, 11:41   #1
xenid
 
bitte mal drüberschaun - Frage

bitte mal drüberschaun



hallo

ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir anti-spyware-tools verkaufen wollen, ich denke ihr kennt dies problem.

mein hijackthis-log ist meiner meinung nach sauber. (außer dieses O2 ist mir neu.)
mein antivir hat zwar drei trojaner gefunden ("TR/FakeAlert.AA", "TR/Dldr.Zlob.go.2", "TR/Drop.Zlob.GW.1"), welche aber anscheinend auch problemlos gelöscht wurden.

naja... lange rede kurzer sinn, schaut sich jemand bitte mal mein log an, damit ich wenigstens das ausschließen kann. und vielleicht hat ja noch wer nen klasse einfall, was es sein kann und wie ich am besten vorgehe.

Danke! xenID

ps: vielleicht ein wichtiger hinweis.
es öffnen sich seit diesem problem auch immer ie-popup-fenster, obwohl ich den firefox nutze, der den popup-blocker als aktiv geschaltet hat.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:46, on 08.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
E:\programme\palm\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Media Player Classic\mplayerc.exe
E:\messengers\Trillian\trillian.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HijackThis startup scan] E:\programme\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: HotSync Manager.lnk = E:\programme\palm\HOTSYNC.EXE
O4 - Global Startup: 3D!Turbo 2000.lnk = C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F4715A2-843F-453B-AC55-48ABE02A5347}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

Alt 08.03.2006, 11:47   #2
hoerni26
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



hallo,

dein logfile ist deiner meinung nach sauber..
aber ich denke das es das nicht ist.
lasse bitte diesen eintrag:

C:\WINNT\system32\nvctrl.exe

online bei jotti prüfen und teile das ergebniss bitte hier mit..
__________________

__________________

Alt 08.03.2006, 12:11   #3
xenid
 
bitte mal drüberschaun - Pfeil

bitte mal drüberschaun



thx vorerst... mach mich dran.
__________________

Alt 08.03.2006, 12:17   #4
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
besorge dir noch folgendes Tool, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt.
Außerdem löschst du deine Temp-Dateien mit cleanup! und machst dann mal noch folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren.



Grüße Wildone

Alt 08.03.2006, 12:20   #5
xenid
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



wer ist jotti?

aber bei "virus-total" sagt mir das ergebnis:

Zitat:
AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.07.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.08.2006 Generic.Malware.Ssp.C7FED2B2
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.08.2006 no virus found
eTrust-InoculateIT 23.71.96 03.08.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.08.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.08.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.08.2006 no virus found
McAfee 4712 03.07.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 Suspicious file
Sophos 4.03.0 03.08.2006 no virus found
Symantec 8.0 03.08.2006 no virus found
TheHacker 5.9.5.108 03.07.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.08.2006 no virus found
was mach ich nun mit dem "Generic.Malware.Ssp.C7FED2B2" ... kann ich die datei einfach löschen?


Alt 08.03.2006, 12:24   #6
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
arbeite mal das ab was ich gepostet habe, sowohl die nvctrl.exe als auch die mssearchnet.exe sind Trojaner, werden aber normalerweise automatisch von dem oben genannten Tool gelöscht.

P.S. Schwarz ist mir als Farbe für Schrift am liebsten...


Grüße Wildone

Alt 08.03.2006, 12:25   #7
xenid
 
bitte mal drüberschaun - Standard

datbat-logs



die datbat-sache hab ich schon da...
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT\system32

08.03.2006 13:27 5.032 ncompat.tlb
08.03.2006 12:46 429 datFind.bat
08.03.2006 09:22 6.656 msvol.tlb
07.03.2006 18:46 16.408 nvctrl.exe
07.03.2006 18:46 4.286 ot.ico
07.03.2006 18:46 4.286 ts.ico
07.03.2006 18:46 9.864 mssearchnet.exe
07.03.2006 18:39 14.949 dfrgsrv.exe
27.02.2006 20:51 100.352 dfrg.msc
23.02.2006 13:06 192.184 FNTCACHE.DAT
27.01.2006 20:27 115 EPPICResdb
27.01.2006 20:27 4.543 EPPICResdb0000
18.01.2006 13:05 57.344 avsda.dll
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\DOKUME~1\xenid\LOKALE~1\Temp

08.03.2006 12:15 137 live.smil-1.smi
08.03.2006 01:47 21.176 deadidas.bmp
08.03.2006 01:47 8.118 peanuts.bmp
08.03.2006 01:47 8.118 doodle.bmp
07.03.2006 19:03 10.134 dat63.tmp
07.03.2006 13:28 174 WMF4.tmp
07.03.2006 13:20 25.063 Zeichng1_1_1_3891.bak
07.03.2006 12:24 2 Twain001.Mtx
07.03.2006 12:23 156 Twunk001.MTX
07.03.2006 12:23 0 Twunk002.MTX
07.03.2006 12:23 219 TWAIN.LOG
06.03.2006 21:30 0 lt1F.tmp
06.03.2006 15:25 1.015.809 PNX4.tmp
06.03.2006 09:25 137 live.smil.smi
02.03.2006 20:54 122 8A56EAB7.TMP
01.03.2006 15:26 137 live.smil-16.smi
12.10.2004 11:14 57.344 InstHelp.dll
17 Datei(en) 1.146.846 Bytes
0 Verzeichnis(se), 4.526.710.784 Bytes frei
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT

08.03.2006 13:29 1.628 wincmd.ini
08.03.2006 12:48 746.716 ShellIconCache
08.03.2006 11:22 155 winamp.ini
08.03.2006 03:35 32.632 SchedLgU.Txt
08.03.2006 01:38 778 wininit.ini
07.03.2006 19:32 71.268 ntbtlog.txt
06.03.2006 17:30 69 NeroDigital.ini
05.03.2006 19:56 1.771 cdplayer.ini
01.03.2006 08:53 645.220 setupapi.log
28.02.2006 21:40 12.862 EPISMG00.SWB
28.02.2006 19:37 1.664 ModemLog_TOSHIBA Software Modem AMR.txt
22.02.2006 21:06 3.312 tm.ini
22.02.2006 21:05 140 tdf.dii
22.02.2006 20:57 1.376 win.ini
07.02.2006 17:36 238 ODBC.INI
30.01.2006 20:45 1.364.022 ACD Wallpaper.cmp
17.01.2006 20:18 4.118 Active Setup Log.txt
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\

08.03.2006 13:32 0 sys.txt
08.03.2006 13:31 8.891 system.txt
08.03.2006 13:31 1.133 systemtemp.txt
08.03.2006 13:29 103.735 system32.txt
08.03.2006 09:18 536.870.912 pagefile.sys
04.02.2006 10:40 4 timestmp.tmp
22.12.2005 00:32 13.030 PDOXUSRS.NET
27.08.2005 13:29 856 flashplayer.xpt
31.07.2004 21:36 216.096 ntldr
31.07.2004 21:36 34.724 NTDETECT.COM
22.07.2004 16:54 192 boot.ini
22.07.2004 16:05 0 IO.SYS
22.07.2004 16:05 0 CONFIG.SYS
22.07.2004 16:05 0 MSDOS.SYS
22.07.2004 16:05 0 AUTOEXEC.BAT
19.06.2003 11:05 163.840 arcsetup.exe
19.06.2003 11:05 150.528 arcldr.exe
17 Datei(en) 537.563.941 Bytes
0 Verzeichnis(se), 4.526.702.592 Bytes frei
so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch, aber ich vertrau mal drauf und mach was man mir hier rät.

soweit xenID

ps:farbe geändert

Alt 08.03.2006, 12:30   #8
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
Zitat:
so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch,
Tja, du kannst das system auch neu aufsetzen, dann brauchst du keine Tools verwenden.
Es wäre übrigens besser gewesen du das ganze auch in der Reihenfolge abgearbeitet hättest wie ich es gepostet habe, habe mir dabei schon etwas gedacht.

P.S. Warum hast du die datfind.bat im System32 Ordner gespeichert, der ist normalerweise nur für Systemdateien und Viren reserviert.

Grüße Wildone

Alt 08.03.2006, 13:03   #9
xenid
 
bitte mal drüberschaun - Pfeil

bitte mal drüberschaun



so... bin wieder aus dem abgesicherten zurück.

gut, die reihenfolge ... hatte eben dieses datfind.bat-tool schon ... sollte ich die logs nochmals posten, weil ja nun cleanup etc. drübergelaufen ist?

warum ich die datfind.bat im system32-ordner liegen hab? ganz einfach. ich hatte sie zuerst auf e: und da dieses tool das laufwerk auf welchem es gespeichert ist abarbeitet, hab ich es dann in das verzeichnis kopiert, welches als erstes gelistet werden soll ... werde sie gleich woandershin schieben. danke für den hinweis.

und nun die smitfiles.txt

Zitat:
smitRem © log file
version 2.8

by noahdfear


Microsoft Windows 2000 [Version 5.00.2195]

Running from
E:\programme\Smitrem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINNT\system32\ginuerep.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 712 'explorer.exe'
Killing PID 712 'explorer.exe'
Error 0x5 : Zugriff verweigert


Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINNT\system32\ginuerep.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

wininet.dll is missing!!
die wininit.dll, die vermisst wird, ist die wichtig?
und sollte ich die 6 datein im system32-ordner prüfen?

xenID

Alt 08.03.2006, 13:10   #10
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
also das die wininet.dll vermißt wird halte ich für eine Fehlmeldung.
Das automatische löschen scheint nicht zu funktionieren, also müssen wir es manuell machen, aber überprüfe mal noch vorher, falls vorhanden, die Datei C:\Windows\System32\ginuerep.dll bei virustotal und poste das Ergebnis.


Grüße Wildone

Alt 08.03.2006, 13:23   #11
xenid
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



danke dir wildone für die gute und schnelle zusammenarbeit.

Zitat:
Zitat von Wildone
aber überprüfe mal noch vorher, falls vorhanden, die Datei C:\Windows\System32\ginuerep.dll bei virustotal und poste das Ergebnis.
nicht vorhanden...

ergebnisse jotti:
Zitat:
mssearchnet.exe
Entdeckte Packprogramme: PE_PATCH, UPACK
ArcaVir: Heur.Win32 gefunden
Fortinet: PossibleThreat!02399 gefunden

msvol.tlb
Norman Virus Control: W32/Zlob.IT gefunden

nvctrl.exe
Entdeckte Packprogramme: PE_PATCH, UPACK
ArcaVir: Heur.Win32 gefunden
BitDefender: Generic.Malware.Ssp.C7FED2B2 gefunden (mögliche Variante)
xenID

Alt 08.03.2006, 13:31   #12
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
dann hat sie AntiVir wahrscheinlich schon gelöscht, besorge dir mal killbox und lösche damit die folgenden Dateien on reboot (sind alle im System32 Ordner):
1024 dir (Ordner mit deltree löschen)
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp
ts.ico
ot.ico

Außerdem überprüfst du auch noch die Datei dfrgsrv.exe (ebenfalls im System32 Ordner) bei Virustotal und postest das Ergebnis.


Grüße Wildone

Alt 08.03.2006, 13:51   #13
xenid
 
bitte mal drüberschaun - Standard

soweit fast alles geklärt



Zitat:
dfrgsrv.exe
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
Fortinet 2.71.0.0 03.07.2006 suspicious
Norman 5.70.10 03.08.2006 W32/Malware
Panda 9.0.0.4 03.07.2006 Suspicious file
soll ich diese auch mit killbox löschen?

ansonsten lösche ich die unten genannten datein. obwohl? die datein "ncompat.tlb", "wp.bmp", "ts.ico" und "ot.ico" wurden bei jotti und virus-total als OK ausgewiesen.

xenID

Alt 08.03.2006, 13:55   #14
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
die Dateien ncompat usw. sind keine Trojaner im eigentlichen sinne, sie sind Icons Bilder usw. die allerdings von dem Trojaner nachgeladen wurden, also solltest du sie löschen.
Die dfrgsrv.exe solltest du auch löschen.
Wie siehts ansonsten auf deinem Desktop aus? Noch der Popups oder das Ausrufezeichen um Infobereich?


Grüße Wildone

Alt 08.03.2006, 14:02   #15
xenid
 
bitte mal drüberschaun - Daumen hoch

*freude*



bei mir scheint die sonne...
nicht nur draußen, sondern auch mein rechner lässt mich vor begeisterung strahlen.
ich danke dir für deine so kompetente hilfe.
werde jetzt noch die restlichen datein löschen, neustarten und dann mich wieder den eigentlichen dingen, die ich am rechner tun will, zuwenden.

ich hoffe, ich hab mir das alles bisl gemerkt und komme bei der nächsten atacke selber zurecht.
ansonsten muss ich wieder herkommen oder hast du nen messenger, wo ich dich als systemretter eintragen darf

merci und einen schönen tag
xenID

Antwort

Themen zu bitte mal drüberschaun
acrobat, adobe, adobe reader, aktiv, antivir, bho, confused, dateien, drivers, explorer, firefox, gelöscht, hijack, internet, internet explorer, logfile, mein log, microsoft, mozilla, mozilla firefox, programme, seite, seiten, software, system32, trillian, trojaner, trojaner gefunden, update, usb, windows



Ähnliche Themen: bitte mal drüberschaun


  1. Keine Fehler, please trotzdem einmal drüberschaun
    Log-Analyse und Auswertung - 13.05.2012 (2)
  2. hijackthis.log bitte mal drüberschaun
    Mülltonne - 28.10.2007 (0)
  3. bitte über hijackthis.log drüberschaun
    Log-Analyse und Auswertung - 10.08.2007 (3)
  4. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  5. Ich bin verzweifelt bitte um Dringende Hilfe Bitte bitte
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (11)
  6. Bitte dringen drüberschaun
    Log-Analyse und Auswertung - 29.11.2006 (4)
  7. Bitte bitte bitte kann mir jemand das HJThis-logfile übersetzen ?!
    Log-Analyse und Auswertung - 10.08.2006 (6)
  8. Logfile überprüfen bitte!!Weiß nicht weiter!!BITTE BITTE
    Log-Analyse und Auswertung - 18.03.2006 (10)
  9. Bitte BITTE bitte HILFE log-file
    Log-Analyse und Auswertung - 18.01.2006 (1)
  10. Bitte einmal Drüberschaun!
    Log-Analyse und Auswertung - 31.10.2005 (1)
  11. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  12. Bitte ma drüberschaun...
    Log-Analyse und Auswertung - 09.06.2005 (2)
  13. Hijack-This Logfile plz ma drüberschaun.
    Log-Analyse und Auswertung - 03.05.2005 (5)
  14. Kann ma wer kurz drüberschaun?
    Log-Analyse und Auswertung - 27.04.2005 (3)
  15. Könnte jemand mal drüberschaun?
    Log-Analyse und Auswertung - 16.02.2005 (2)
  16. Bitte Bitte Bitte Hilfe!!! Trojaner
    Log-Analyse und Auswertung - 10.11.2004 (1)
  17. Bitte mal drüberschaun - THX!
    Log-Analyse und Auswertung - 29.10.2004 (1)

Zum Thema bitte mal drüberschaun - hallo ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir - bitte mal drüberschaun...
Archiv
Du betrachtest: bitte mal drüberschaun auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.