Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um Hilfe!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.05.2006, 12:20   #1
draaguul
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Hallo. Seit einige Stunden spinnt mein Pc total. Es kommen trotz firewall immer wieder popups von irgendwelchen lovechats und eine datei namens win32res.exe öffnet meinen firefox um dort irgendein antiviren prog runterzuladen. wenn ich den pc neu starte öffnet sich ein selbstentpackendes zip archiv und extrahiert irgendwelche dateien (rmz.dll,...)Bitte um Hilfe. Während ich das hier jetzt geschrieben hab, hat sich sicher 10 mal ein popup fenster geöffnet, unter anderem
h**p://w*w.hug-ediscounts.com/tau.html

Logfile of HijackThis v1.99.1
Scan saved at 13:20:17, on 15.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RHJhYWd1dWw\command.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\CursorXP\CursorXP.exe
C:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Mozilla Downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://oehinfo.uibk.ac.at/chemie/modules.php?name=Forums[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\System32\geebx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [wnxlib] rundll32.exe C:\WINDOWS\System32\wnxlib.dll,start
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - h**p://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxpt119INAT
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\dn0401dqe.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATIintergrated - Unknown owner - C:\WINDOWS\atigraphics.exe (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\RHJhYWd1dWw\command.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: MS Ins Config (MSiCFG) - Unknown owner - C:\WINDOWS\msiconfig.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


P.S. SP 2 hab ich heruntergeladen, aber lässt sich nicht installieren, weils immer abstürzt!!

Geändert von draaguul (15.05.2006 um 13:06 Uhr)

Alt 15.05.2006, 12:42   #2
stupormundi
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Nutze die Editierfunktion (rechts unten) und mache alle links unbrauchbar (http-->h**p)

Vorher wird Dir hier wohl nicht geholfen - vielmehr riskierst Du die gesamte Entfernung Deines Logs

stupormundi
__________________

__________________

Alt 15.05.2006, 13:07   #3
draaguul
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



entschuldigung, hab ich leider vergessen. Habs jetzt aber ausgebessert. Hoffe dass ihr mir jetzt helfen könnt. THX Draaguul.
__________________

Alt 15.05.2006, 13:24   #4
stupormundi
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Servus wieder!
Bei Dir läuft eine ganze Menge Mist. Da stellt sich die Frage nach der Sinnhaftigkeit eines Bereinigungsversuches - noch dazu, wo SP2 nicht installiert werden kann!
Lass´ mal folgende Dateien
Zitat:
C:\WINDOWS\msiconfig.exe
C:\WINDOWS\System32\wnxlib.dll
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 15.05.2006, 13:40   #5
draaguul
 
Bitte um Hilfe! - Daumen hoch

Bitte um Hilfe!



Also das sieht ja nicht grad gut aus:

Datei: msiconfig.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH

AntiVir
Trojan/Crypt.D.114 gefunden

ArcaVir
Trojan.Crypt.D gefunden

Avast
Win32:SpyBot-A3308 gefunden

AVG Antivirus
Generic.CQZ gefunden

BitDefender
Backdoor.SDBot.038AA553 gefunden

ClamAV
Trojan.Crypt-3 gefunden

Dr.Web
Win32.HLLW.MyBot.based gefunden

F-Prot Antivirus
W32/Trojan.BEF gefunden

Fortinet
W32/Tilebot.D!tr gefunden

Kaspersky Anti-Virus
Trojan.Win32.Crypt.d gefunden

NOD32
a variant of IRC/SdBot gefunden

Norman Virus Control
W32/SDBot.VUK gefunden

UNA
Trojan.Win32.Crypt gefunden

VirusBuster
Keine Viren gefunden

VBA32
Trojan.Win32.Crypt.d gefunden




Datei: wnxlib.dll
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PETITE

AntiVir
Keine Viren gefunden

ArcaVir
Keine Viren gefunden

Avast
Win32:Trojano-3428 gefunden

AVG Antivirus
Keine Viren gefunden

BitDefender
Keine Viren gefunden

ClamAV
Keine Viren gefunden

Dr.Web
Keine Viren gefunden

F-Prot Antivirus
Keine Viren gefunden

Fortinet
Keine Viren gefunden

Kaspersky Anti-Virus
Keine Viren gefunden

NOD32
a variant of Win32/Akbot gefunden

Norman Virus Control
Keine Viren gefunden

UNA
Keine Viren gefunden

VirusBuster
Keine Viren gefunden

VBA32
Backdoor.xBot.1 (paranoid heuristics) gefunden (mögliche Variante)

Das sind die daten die ich bei h**p://virusscan.jotti.org/de erhalten habe. DANKE!! übrigens für die rasche Hilfe!


Alt 15.05.2006, 13:48   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Ich schätze dass eine Bereinigung bloße Zeitverschwendung sein wird, bei dem Krams, der der aktiv ist. Stupormundi hat ja noch nicht mal alle verdächtigen Einträge aus dem Logfile zur näheren Analyse bei Jotti in Betracht gezogen. Da wären z.B. noch
Zitat:
C:\WINDOWS\RHJhYWd1dWw\command.exe
C:\Programme\Network Monitor\netmon.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O20 - Winlogon Notify: geebx - C:\WINDOWS\SYSTEM32\geebx.dll
O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\GEMEIN~1\Stardock\mcpstub.dll
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\dn0401dqe.dll
U.a. ist der Grund ein ungepatchtes Windows (kein Service Pack 2). Achte darauf, dass Du zuerst das SP2 indas frische Windows installierst und erst dann online gehen darfst. Beachte die Anleitung unten in meiner Signatur "Neuaufsetzen des Systems".
__________________
--> Bitte um Hilfe!

Alt 15.05.2006, 13:50   #7
irrlicht
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Hallo draaguul,
das dein Log nicht dolle ist hast du ja selbst gemerkt.Das dir bei Backdoortrojanerbefall keine Wahl bleibt als das hier :
http://www.trojaner-board.de/showthread.php?t=12154
sollte dir auch klar sein...
Halte dich an die Anleitung,besonders den Punkt zur Absicherung vor dem ersten Gang ins Netz und dir wird solch übles Log nicht mehr widerfahren.
Irrlicht
Edit
Der Kerl tippt zusätzlich mit den Zehen;ich bin sicher.....
Hallo Cosi.....

Alt 15.05.2006, 13:57   #8
stupormundi
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Servus, cosinus!

Zitat:
Stupormundi hat ja noch nicht mal alle verdächtigen Einträge aus dem Logfile zur näheren Analyse bei Jotti in Betracht gezogen.
Das hat den Grund, weil mir die anderen schon klar waren

Also @draaguul: Wie irrlicht (*servus*) das schon vollkommen richtig beleuchtet hat, hast Du da einen Hintertürl-Trojaner im Pelz sitzen - da kann und will ich Dir auch nur den Rat geben, Dein System nach Cidres Anleitung neu aufzusetzen.
Installiere das SP2 und die Updates vor dem Wiedereinstieg ins I.Net.
alles gute, stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 15.05.2006, 13:59   #9
draaguul
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Irgendwie hab ich mir das schon gedacht. Bis heut früh um ca. 6 Uhr war noch alles in Ordnung. Ich glaub die files zum scannen, die mir cosinus geraten hat, kann ich mir sparen, weil ich den pc gleich nach dem filebackup neu aufsetzen werde. Die command.exe hab ich gegoogelt und hab da was gefunden, dass das anscheinend ein ziemlich böser Virus ist. Also denke ich dass jegliche Versuche den PC wieder clean zu machen ziemlich sinnlos sein werden, weil noch andere bösartige sachen drauf sind. Nur noch eine kurze Frage: Welche Firewall und welches Antivirenprog würdet ihr mir empfehlen? Hab zur Zeit ZoneAlarmPro und Antivir.

Danke euch allen, für eure Hilfe!!
MFG Draaguul.

Alt 15.05.2006, 14:02   #10
stupormundi
 
Bitte um Hilfe! - Standard

Bitte um Hilfe!



Zitat:
Welche Firewall und welches Antivirenprog würdet ihr mir empfehlen? Hab zur Zeit ZoneAlarmPro und Antivir.
Diese Frage ist nicht sinnvoll zu beantworten. Schau Dir lieber mal Cidres Anleitung an (vor allem seine 12 Punkte zur Absicherung des Systems). Wenn Du dich danach richtest, brauchst Du eine PFW gar nicht (Interne XP Firewall reicht völlig), der Virenscanner ist reine Geschmackssache (Hauptsache regelmäßig aktuelle Patches verfübar)

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu Bitte um Hilfe!
adobe, bho, bitte um hilfe, computer, excel, explorer, firefox, firewall, hijack, hijackthis, icqtoolbar, immer wieder, internet, internet explorer, monitor, mozilla, mozilla firefox, object, pop-up-blocker, popups, programme, rundll, software, studio, system, urlsearchhook, windows, windows xp, yahoo, öffnet



Ähnliche Themen: Bitte um Hilfe!


  1. Virus Dirty Decrypt Verschlüsselung Trojaner, alle Foto kann ich nicht aufmachen, bitte bitte Hilfe!!!
    Log-Analyse und Auswertung - 24.07.2013 (6)
  2. Hilfe Mein forum wurde übernomen keine möglichkeiten rein zu kommen bitte um ideen und hilfe
    Diskussionsforum - 29.06.2012 (6)
  3. (3x) Bitte Bitte um Hilfe habe mir AKM Trojaner eingefangen brauche aber dringend meinen PC
    Mülltonne - 08.05.2012 (1)
  4. Hilfe bei Ukash Trojaner! Bitte dringend um Hilfe!
    Log-Analyse und Auswertung - 22.01.2012 (1)
  5. Hilfe Virus! Antivir, internet usw außer gefächt!!! Bitte um Hilfe
    Mülltonne - 15.07.2008 (0)
  6. Viren??Würmer..HILFE! Bitte um Hilfe bei der Auswertung meines hijackthis-log
    Mülltonne - 14.11.2007 (0)
  7. Oh man brauch so dringend Hilfe!!!! Virus?Spyware? Hilfe für einen Laien!Bitte!
    Log-Analyse und Auswertung - 13.06.2007 (6)
  8. SCVHOST.EXE Log file bitte checken! Bitte um hilfe
    Log-Analyse und Auswertung - 06.06.2007 (8)
  9. Ich bin verzweifelt bitte um Dringende Hilfe Bitte bitte
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (11)
  10. Bitte, bitte Hilfe wegen Winfixer/ Errorsafe
    Plagegeister aller Art und deren Bekämpfung - 19.12.2006 (3)
  11. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  12. Hilfe 1 Adware Eingefangen Schnelle Hilfe Bitte!!
    Mülltonne - 08.10.2006 (1)
  13. Bitte BITTE bitte HILFE log-file
    Log-Analyse und Auswertung - 18.01.2006 (1)
  14. HILFE, ich habe einige Trojaner - bitte um Eure Hilfe
    Log-Analyse und Auswertung - 01.12.2005 (2)
  15. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  16. Bitte Bitte Bitte Hilfe!!! Trojaner
    Log-Analyse und Auswertung - 10.11.2004 (1)
  17. Hilfe,Hilfe,habe Probleme mit Norton Antivirus bitte helfen!!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2004 (1)

Zum Thema Bitte um Hilfe! - Hallo. Seit einige Stunden spinnt mein Pc total. Es kommen trotz firewall immer wieder popups von irgendwelchen lovechats und eine datei namens win32res.exe öffnet meinen firefox um dort irgendein antiviren - Bitte um Hilfe!...
Archiv
Du betrachtest: Bitte um Hilfe! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.