Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Schon alles versucht: Bitte um Hilfe (Logfile)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.05.2007, 12:51   #1
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Liebe potentielle Helfer,

ich habe mir durch den unachtsamen Klick auf eine dubiose Datei mindestens einen Hijacker eingefangen und werde diesen nun nicht mehr los. Ich habe schon einiges probiert aber es öffnet sich immer mal wieder der Internetexplorer, bzw. Firefox mit ätzender Werbung. Da ich nun nicht mehr weiter weiß, bitte ich verzweifelt um Hilfe, bzw. darum, dass sich irgendjemand der sich auskennt, meines Logfiles annimmt.

Ich vermute die Datei "dvdplay.exe" als eine der Ursachen, aber ich bekomme die Datei nicht weg
O4 - HKCU\..\Run: [Rdso] C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv

Außerdem habe ich einen Eintrag "Outerinfo" in Programme, der nach löschen wiederkommt und wohl ebenfalls damit zu tun hat.

Wer kann mir helfen? Vielen Dank vorab!

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:11:04, on 21.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS.1\System32\smss.exe
C:\WINDOWS.1\system32\winlogon.exe
C:\WINDOWS.1\system32\services.exe
C:\WINDOWS.1\system32\lsass.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\WINDOWS.1\system32\svchost.exe
C:\WINDOWS.1\System32\svchost.exe
C:\WINDOWS.1\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS.1\system32\spoolsv.exe
C:\WINDOWS.1\Explorer.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS.1\system32\CTSvcCDA.EXE
C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS.1\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Microsoft IntelliType Pro\itype.exe
C:\WINDOWS.1\system32\CTHELPER.EXE
C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\UltraMon\UltraMon.exe
C:\WINDOWS.1\system32\MsPMSPSv.exe
C:\WINDOWS.1\system32\ctfmon.exe
C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\UltraMon\UltraMonTaskbar.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\WINDOWS.1\system32\drwtsn32.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Tools und Miniprogramme\HijackThis Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [IntelliPoint] C:\Programme\Microsoft IntelliPoint\ipoint.exe
O4 - HKLM\..\Run: [UltraMon] "C:\Programme\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINDOWS.1\system32\fqesvncw.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS.1\system32\ctfmon.exe
O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Rdso] "C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe" -vt ndrv
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - h**ps://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab
O16 - DPF: {22E5D91F-89E6-4405-AD9C-0AF27BA6F06B} (HidInputMonitorX Control) - file:///E:/components/hidinputmonitorx.ocx
O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - h**ps://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - file:///E:/components/A9.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165744176625
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/su/ocx/15028/CTPID.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS.1\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS.1\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.1\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS.1\system32\CTSvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS.1\SYSTEM32\GEARSEC.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS.1\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS.1\system32\ZoneLabs\vsmon.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS.1\system32\WFXSVC.EXE

Alt 21.05.2007, 12:57   #2
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Hi,
dein Log sieht etwas seltsam aus...
Lass bitte mal folgende Dateien:
Zitat:
C:\Programme\Common files\M?crosoft\n?tepad.exe
C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe
C:\WINDOWS.1\system32\fqesvncw.dll
bei virustotal auswerten, gib bitte alle Infos an, sowie Größe, MD5 etc.

lg myrtille
__________________


Alt 21.05.2007, 13:47   #3
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Hallo myrtille,

danke für Deine schnelle Antwort. Ich habe versucht, die drei Dateien an virustotal zu schicken.

Die Dateie

C:\DOKUME~1\***\ANWEND~1\ECURIT~1\dvdplay.exe

wurden von Outlook geblockt und von Norton Antivirus als Purityscan.Adware-Bedrohung eingestuft. Konnte aber nicht entfernt werden, obwohl die Datei als automatisch gelöscht im Log-File von Norton steht.

bei
C:\Programme\Common files\M?crosoft\n?tepad.exe
genau das selbe.

Die Auswertung von C:\WINDOWS.1\system32\fqesvncw.dll

ergab folgendes:

Complete scanning result of "fqesvncw.dll", processed in VirusTotal at 05/21/2007 13:38:22 (CET).

[ file data ]
* name: fqesvncw.dll
* size: 132660
* md5.: 05f50eb86f8b50044f76eac60b89db18
* sha1: faabf142396795cebf312d00390f1490d2cfb765

[ scan result ]
AhnLab-V3 2007.5.21.1/20070521 found nothing
AntiVir 7.4.0.23/20070521 found [ADSPY/Virtumonde.AR.4]
Authentium 4.93.8/20070518 found nothing
Avast 4.7.997.0/20070521 found nothing
AVG 7.5.0.467/20070520 found nothing
BitDefender 7.2/20070521 found nothing
CAT-QuickHeal 9.00/20070518 found nothing
ClamAV devel-20070416/20070521 found [Trojan.Packed-7]
DrWeb 4.33/20070521 found [Trojan.Virtumod]
eSafe 7.0.15.0/20070520 found nothing
eTrust-Vet 30.7.3649/20070521 found nothing
Ewido 4.0/20070521 found nothing
F-Prot 4.3.2.48/20070518 found nothing
F-Secure 6.70.13030.0/20070521 found nothing
FileAdvisor 1/20070521 found nothing
Fortinet 2.85.0.0/20070521 found [suspicious]
Ikarus T3.1.1.7/20070521 found nothing
Kaspersky 4.0.2.24/20070521 found [not-a-virus:AdWare.Win32.Virtumonde.ar]
McAfee 5034/20070518 found nothing
Microsoft 1.2503/20070521 found nothing
NOD32v2 2281/20070521 found nothing
Norman 5.80.02/20070518 found nothing
Panda 9.0.0.4/20070520 found nothing
Prevx1 V2/20070521 found nothing
Sophos 4.17.0/20070520 found [Virtumundo]
Sunbelt 2.2.907.0/20070517 found [VIPRE.Suspicious]
Symantec 10/20070521 found nothing
TheHacker 6.1.6.119/20070521 found nothing
VBA32 3.12.0/20070521 found nothing
VirusBuster 4.3.7:9/20070520 found nothing
Webwasher-Gateway 6.0.1/20070521 found [Ad-Spyware.Virtumonde.AR.4]

Sieht wohl alles nicht gut aus.
Wie kann es nun am besten weiter gehen?

Mit Dankesgruß
Christoph
__________________

Alt 21.05.2007, 14:30   #4
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Purityscan ist sehr schwer zu entfernen und viel tendieren dazu direkt einen Neuinstallation zu empfehlen.

Es gibt Anleitungen im Netz, zb diese, allerdings dauert die Bereinigung meist länger als das Neuaufsetzen.

lg myrtille

Alt 21.05.2007, 15:50   #5
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Ok, habe jetzt eine Seite gefunden, die einen Uninstaller für purityscan bietet.

http://www.purityscan.com/uninstall.html

Bin mir allerdings nicht sicher, ob man sich damit nicht noch mehr reinreitet. Das dort angebotene Uninstallerprogramm funktionierte (erst im abgesicherten Modus). Dadurch waren jedenfalls die beiden Dateien
"n?tepad.exe" und "dvdplay.exe" zu entfernen.
Die Datei "fqesvncw.dll" habe ich mit dem Programm "Unlocker" freigeben und entfernen können. Soweit so gut.

Alerdings habe ich jetzt das blöde Problem, dass sich die "explorer.exe" nicht mehr beim Systemstart lädt (obwohl sie in der Registry korrekt angemeldet ist) und ich deshalb den Explorer nur noch über den Task-Manager starten kann. Eine entsprechende Google-Sucher ergab, dass wohl nur ein Neu-Aufsetzen des Computers helfen soll.

Es scheint, als bin ich vom Regen in die Traufe geraten.

Danke jedenfalls nochmals für dein Hilfe.

Beste Grüße
Christoph


Alt 21.05.2007, 16:03   #6
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Ähh. Tja, da kann ich jetzt auch nicht viel zu sagen.

Du kannst ja mal nen eScan machen, wenn du glaubst, dass das Problem von Malware kommt.
Aber ein Neuaufsetzen ist mit sicherheit nicht falsch.

lg myrtille

Alt 21.05.2007, 16:18   #7
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



so, explorer wieder da (lag an einem vewaisten Registry-Eintrag zu der komischen geläschten dll-Datei), aber just als ich diese Zeilen tippte, kam auch wider der aufspringende Internetexplorer...

Werd jetzt noch ein bißchen googeln - und dich für deine Hilfe ins Nachtgebet mit einschließen ;-) - zusammen mit den frommen Wünschen nach einem sauberen System!

Alt 21.05.2007, 16:26   #8
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Mach am besten mal den untengenannten eScan. Du hast neben PurityScan auch Virtumonde drauf, der lässt sich allerdings recht leicht nach diesem Post entfernen.

Wäre aber eben interessant zu wissen, ob PurityScan noch drauf ist.

lg myrtille

Alt 21.05.2007, 23:59   #9
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Hallo myrtille,

den virtomundo schein ich mit vundofix wegbekommen zu haben. Es springen auch keine Fenster mehr auf.

Ein Scan mit escan bringt allerdings komische Resultate, denn laut diesem Programm hätte ich mehrere Tausend Viren auf dem Computer. Er wiederholt jedenfalls immer eine Angabe (Mon May 21 23:54:12 2007 => Offending Key found: HKLM\Software\clickspring !!!) und bin schon bei über 50 000 (!) Einträgen, weshalb ich den Scan jetzt abbreche. Eine Log-Datei würde also immer größer werden, eine zuschickbare Auswertung nahezu unmöglich.

Was hat das nun wieder zu bedeuten? Mein System scheint nämlich sauber zu arbeiten.

Beste Grüße
Christoph

Alt 22.05.2007, 01:05   #10
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



clickspring ist ein anderer Name vom Purityscan. Du bist ihn also noch nicht los.

Es könnte natürlich sein, dass nur noch die Registryeinträge vorhanden sind (was ich allerdings nur bedingt glaube.) Du kannst ja mal mit dem Regseeker die Registry bereinigen lassen und auch clearprog durchlaufen lassen.

Mache danach einen erneuten eScan und schau ob die Meldungen geringer werden.

EDIT: Ok, es ist zu spät. Mach (von mir aus auch vorher das "Ausmisten" ) den eScan und lass die find.bat durchlaufen, die fasst das ganze dann an sich so weit zusammen, dass du das Log hier posten können solltest.

Alt 22.05.2007, 11:36   #11
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Ich habe die Registry mit den genannetn Programmen bereinigt. Das hat aber nichts gebracht, eScan zeigt immer noch mehrere Zehntausend "Viren" an. Ich habe aber das Problem isolieren können. eScan hängt sich auf, weil er an einem Eintrag in der Registrierung "hängenbleibt".

Dort (HKL > Software > Clickspring) ist ein Eintrag von Clickspring, der sich nicht löschen lässt, weil er keine Berechtigung erteilt. Das Problem ist, dass ich auch anstellen kann was ich will, es ist mir nicht möglich ("erlaubt") irgendeine Berechtigung zu erteilen oder zu erlauben. So kann ich ihn auch nicht löschen, umbenennen oder sonst irgendwas damit zu machen.

Es wäre zwar schön, diesen Eintrag löschen zu können, das System selbst aber läuft bislang wieder sauber.

Wie könnte ich wohl den Schlüssel entfernen?

lg
Christoph

Alt 22.05.2007, 17:28   #12
myrtille
/// TB-Ausbilder
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Dein System läuft "sauber", wiel PurityScan nicht bemerkt werden will und weil es ein gutes Programm ist. Du bist offensichtlich weiterhin kompromitiert und den Registryeintrag kannst du wahrscheinlich nicht löschen, weil das Programm und die im Beitrag eingetragenen Dateien noch aktiv sind.

Das einzige was du bemerkt hattest war vundo, das für die Popups verantwortlich war.

Ich wiederhole es nochmal neuaufsetzen ist die beste Lösung!

Meine letzte Alternative lautet: Schaumal, ob die Dateien noch existieren. Wenn ja, lade dir Killbox (einfach im Forum nach Killbox suchen) lösche die Dateien mit "delete on reboot", versuche danach den Registryeintrag zu löschen, erstelle ein neues HJT-Log und lass den eScan nochmal laufen.

lg myrtille

Alt 23.05.2007, 09:12   #13
chrispras2
 
Schon alles versucht: Bitte um Hilfe (Logfile) - Standard

Schon alles versucht: Bitte um Hilfe (Logfile)



Ich habe es jetzt endlich geschafft den Registry-Eintrag von Clickspring zu löschen. eScan läuft jetzt auch durch und zeigt nur noch das ein oder andere an , das aber noch ein bißchen Zeit hat bis ich es entferne (Brauch den PC im Moment zum Arbeiten, weshalb ein Gesamt-Scan im abgesicherten Modus noch ein bißchen warten muss.

Antwort

Themen zu Schon alles versucht: Bitte um Hilfe (Logfile)
adobe, antivirus, bitte um hilfe, cyberlink, drivers, einstellungen, excel, explorer, firefox, firewall, google, hijackthis, internet explorer, konvertieren, logfile, löschen, monitor, mozilla, mozilla firefox, pdf, pdf-datei, programme, rundll, software, symantec, system, temp, vielen dank, windows, windows xp, öffnet



Ähnliche Themen: Schon alles versucht: Bitte um Hilfe (Logfile)


  1. System Check Malware - hab schon vieles versucht
    Plagegeister aller Art und deren Bekämpfung - 10.02.2012 (11)
  2. Meendo.com (Pornoseite) als Startseite - schon alles Versucht. Malwarbytes, Antivir und Spybot
    Log-Analyse und Auswertung - 21.01.2012 (8)
  3. bitte um hilfe alles versucht ohne erfolg
    Log-Analyse und Auswertung - 01.04.2009 (24)
  4. Laptop stockt bei jeder Anwendung, schon alles versucht...
    Log-Analyse und Auswertung - 03.12.2007 (0)
  5. Netpumper Popups und schon alles probiert, Hilfe !!!
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (3)
  6. Dringend Hilfe!!! Hab Schon Alles Versucht!!
    Log-Analyse und Auswertung - 30.01.2006 (16)
  7. Mit PSGuard infiziert - schon fast alles versucht
    Log-Analyse und Auswertung - 18.10.2005 (18)
  8. Hilfe. Kann mir irgendjemand helfen oder ist schon alles zu spät?
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (6)
  9. Aurora Bitte um Hilfe habe schon alles gemacht was ich finden konnte!!
    Log-Analyse und Auswertung - 14.06.2005 (10)
  10. Mein LOGFILE; Bitte helft mir, ich verzweile schon seit TAGEN
    Log-Analyse und Auswertung - 24.05.2005 (1)
  11. IE zwingt mich auf Seite, WIN 98, alles schon versucht
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (2)
  12. hab schon fast alles versucht...
    Log-Analyse und Auswertung - 03.03.2005 (3)
  13. bitte um analyse des logs! hab schon alles ausprobiert!
    Log-Analyse und Auswertung - 22.01.2005 (3)
  14. ABOUT BLANK! alles versucht aber nicht hilft! Bitte helft mir!
    Log-Analyse und Auswertung - 19.12.2004 (1)
  15. Mein hijackthis log mein pc spinnt schon seit 2 wochen alles ist langsam bitte help
    Log-Analyse und Auswertung - 14.12.2004 (2)
  16. Hilfe!! Bitte Logfile auswerten, musste schon formatieren..
    Log-Analyse und Auswertung - 04.12.2004 (5)
  17. Win2000 Nutzer, habe ebenfalls schon alles versucht!
    Plagegeister aller Art und deren Bekämpfung - 02.06.2004 (6)

Zum Thema Schon alles versucht: Bitte um Hilfe (Logfile) - Liebe potentielle Helfer, ich habe mir durch den unachtsamen Klick auf eine dubiose Datei mindestens einen Hijacker eingefangen und werde diesen nun nicht mehr los. Ich habe schon einiges probiert - Schon alles versucht: Bitte um Hilfe (Logfile)...
Archiv
Du betrachtest: Schon alles versucht: Bitte um Hilfe (Logfile) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.