Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner verdacht, checkt jemand mein Hijack-Log?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.06.2007, 21:07   #1
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Hallo an alle,

ich habe mir einen Plagegeist namens Virus Roberto eingefangen, immer wenn ich den Rechner hochgefahren hab, hat er mich mit: "hijo de puta" begrüßt und ich konnte meine Dateien auf dem Desktop nicht mehr sehen. Außerdem ist die Suchfunktion in Start-Menü nicht mehr möglich und die Uhr in der Taskleiste ist auch verschwunden.

Ich hab mit spybot das ganze wieder ein bisschen herstellen können, aber die Uhr und die Suchfunktion sind immernoch weg.

mit HijackThis hab ich folgendes Log, kann aber nichts erkennen:

Vielleicht kann sich das mal jemand mit mehr Ahnung als ich anschauen. Großen Dank im Voraus:

Logfile of HijackThis v1.99.1
Scan saved at 22:05:15, on 06.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Moi\Eigene Dateien\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: &Suche im Duden - res://C:\Programme\Duden-Suche Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?3d6f1793fa6c4836aea3c44b71955bae
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?3d6f1793fa6c4836aea3c44b71955bae
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {9FCC5BD3-0956-4823-9E48-73EF63D44F84} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {9FCC5BD3-0956-4823-9E48-73EF63D44F84} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Alt 06.06.2007, 21:15   #2
enden_396
Gesperrt
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Die Einträge


Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000

&


O8 - Extra context menu item: &Suche im Duden - res://C:\Programme\Duden-Suche Toolbar\toolbar.dll/SEARCH.HTML


könnten mal gefixt werden.

und mache mal ein escan
__________________


Alt 06.06.2007, 21:29   #3
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



wow, das ging ja schell, vielen Dank!
auf die Gefahr hin mich als vollkommen unwissend zu outen:
wie und mit welchem programm mach ich ein escan?

Liebe grüße
__________________

Alt 06.06.2007, 21:58   #4
enden_396
Gesperrt
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



ja kein Problem vielleicht helfen dir ja noch die experten bei der Auswertung die haben ein Auge dafür
hier ist die Anleitung für den escan von Trojaner bord

klicken>>>> escan



und setze den , denn log hier rein mal sehn was das ergebnis ist

Alt 07.06.2007, 02:08   #5
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



merci, der verdacht hat sich bestätigt, ich habe 65 Viren endeckt.
Oh weh Oh weh...

Mein E-scan hier:


Geändert von crucco (07.06.2007 um 02:12 Uhr) Grund: die log-datei war nicht mehr zu lesen

Alt 07.06.2007, 04:16   #6
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



ich versteh das nicht ich hab den escan gemacht, aber die auswertungsdatei spukt nix aus...

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Wed Jun 06 22:47:38 2007 => Version 9.2.7
Wed Jun 06 22:48:23 2007 => Virus-Datenbank Datum: 6/6/2007
Wed Jun 06 22:49:49 2007 => Virus-Datenbank Datum: 6/6/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Alt 07.06.2007, 14:18   #7
ordell1234
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Hallo,

zum HJT-log: diese Einträge bitte fixen:
Zitat:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
zum mwav.log: Lade das gesamte log im Webspace deiner Wahl hoch, zb File-Upload.net, und poste bitte den link. Gruß

Alt 07.06.2007, 15:24   #8
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Hallo, danke, gefixt!

hier mein escan:

@echo off
REM © Haui ;-)
REM Vielen Dank an Cidre, MightyMarc und KarlKarl fuer ihre Verbesserungsvorschlaege!
IF "%OS%"=="" goto windos
IF "%OS%"=="Windows_NT" goto winnt
:windos
color 04
echo Deine Windowsversion wird nicht unterstützt.
echo Die Stapelverarbeitung wird abgegbrochen.
pause
exit
:winnt
ver > %systemdrive%\bases_x\ver.log
color 03
echo.
echo Pruefung des Betriebssystems abgeschlossen.
echo Folgendes OS wurde ermittelt:
echo.
more %systemdrive%\bases_x\ver.log
echo.
echo.
echo.
echo Es folgt die automatische Auswertung der eScan-Logdatei
echo.
echo.
echo.
echo.
pause
if exist %systemdrive%\bases_x\mwav.log goto 2
mkdir %systemdrive%\bases_x
cls
echo.
echo [X] Pruefung des Betriebssystems
echo [ ] Suche nach Log-Datei...
echo.
dir /s /b %systemdrive%\mwav.log>%systemdrive%\bases_x\Pfad.txt
set /P FILE=<%systemdrive%\bases_x\Pfad.txt
copy "%FILE%" %systemdrive%\bases_x\
:2
cls
echo.
echo [X] Pruefung des Betriebssystems
echo [X] Log-Datei gefunden
echo [ ] Erstellen des Headers
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\bases_x\eScan_neu.txt
echo Header >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
ver >> %systemdrive%\bases_x\eScan_neu.txt
findstr /i "Version" %systemdrive%\bases_x\mwav.log | findstr /i /V "scan" | findstr /i /V "entry" | findstr /i /V "found" | findstr /i /V "offending" >> %systemdrive%\bases_x\version_strings.log
for /f "delims=> tokens=1-2" %%a in (%systemdrive%\bases_x\version_strings.log) do (
set v=%%a
set w=%%b
)
echo %v%^>%w% >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Virus" %systemdrive%\bases_x\mwav.log | findstr "Database" | findstr "Date" >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Virus-Datenbank" %systemdrive%\bases_x\mwav.log | findstr "Datum" >> %systemdrive%\bases_x\eScan_neu.txt
cls
echo.
echo [X] Pruefung des Betriebssystems
echo [X] Log-Datei gefunden
echo [X] Header erstellt
echo [ ] Log auswerten...
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Infektionsmeldungen >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "System" %systemdrive%\bases_x\mwav.log | findstr "found" | findstr "infected" >> %systemdrive%\bases_x\eScan_neu.txt
findstr "object" %systemdrive%\bases_x\mwav.log | findstr "found" | findstr "file" | findstr /i "system" >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Dateien >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~ Infected files >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "File" %systemdrive%\bases_x\mwav.log | findstr /i "infected" | findstr /i "by" >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~ Tagged files >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "tagged" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "markiert" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~ Offending files >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Offending" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\temp_o.log
findstr /i "file" %systemdrive%\bases_x\temp_o.log >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Ordner >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Folder" %systemdrive%\bases_x\temp_o.log >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Registry >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Key" %systemdrive%\bases_x\temp_o.log >> %systemdrive%\bases_x\eScan_neu.txt
cls
echo.
echo [X] Pruefung des Betriebssystems
echo [X] Log-Datei gefunden
echo [X] Header erstellt
echo [X] Log ausgewertet
echo [ ] Suche nach Optionen und Statistiken...
echo.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
REM englische Strings
findstr "Virus(es)" %systemdrive%\bases_X\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
if errorlevel 1 goto gerstats
findstr "Errors:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Elapsed:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Scanned:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
goto engopts
REM deutsche Strings
:gerstats
findstr "Gefundene" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Fehler:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "bisher:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Gescannte" %systemdrive%\bases_X\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
goto geropts
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
echo Scan-Optionen >> %systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\bases_x\eScan_neu.txt
REM englische Strings
:engopts
findstr "abled" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\temp.log
findstr "Memory" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Registry" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Startup" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "System" %systemdrive%\bases_x\temp.log | findstr "Folder" >> %systemdrive%\bases_x\eScan_neu.txt
findstr "System" %systemdrive%\bases_x\temp.log | findstr "Area" >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Services" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Drive" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "All" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
goto end
REM deutsche Strings
:geropts
findstr /i "aktiviert" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\temp.log
findstr "Specher" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Registry" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Startup-Ordner" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "System-Ordner" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Systembereiche" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Dienste" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
findstr "Festplatten" %systemdrive%\bases_x\temp.log | findstr "der" >> %systemdrive%\bases_x\eScan_neu.txt
findstr "aller" %systemdrive%\bases_x\temp.log >> %systemdrive%\bases_x\eScan_neu.txt
:end
if exist %systemdrive%\Pfad.txt echo -------------------------------------------------- >> %systemdrive%\bases_x\eScan_neu.txt
if exist %systemdrive%\Pfad.txt echo %FILE% >>%systemdrive%\bases_x\eScan_neu.txt
if exist %systemdrive%\Pfad.txt echo -------------------------------------------------- >> %systemdrive%\bases_x\eScan_neu.txt
if exist %systemdrive%\bases_x\ver.log del %systemdrive%\bases_x\ver.log
if exist %systemdrive%\bases_x\Pfad.txt del %systemdrive%\bases_x\Pfad.txt
if exist %systemdrive%\bases_x\temp.log del %systemdrive%\bases_x\temp.log
if exist %systemdrive%\bases_x\temp_o.log del %systemdrive%\bases_x\temp_o.log
if exist %systemdrive%\bases_x\version_strings.log del %systemdrive%\bases_x\version_strings.log
cls
echo.
echo [X] Pruefung des Betriebssystems
echo [X] Log-Datei gefunden
echo [X] Header erstellt
echo [X] Log ausgewertet
echo [X] Optionen und Statistiken
echo.
echo.
echo Auswertung beendet.
echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.
notepad %systemdrive%\bases_x\eScan_neu.txt
exit

Alt 07.06.2007, 15:45   #9
ordell1234
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Hier liegt ein, ne mehrere Missverständnisse vor. Egal .
Du solltest nicht den Inhalt einer veralteten find.bat posten, sondern die Datei mwav.log zb bei File-upload.net hochladen. Dann den link hier reinstellen. Die mwav.log ist zu gross, um sie in das Board posten zu können.

Aber vielleicht funktionert es auch besser mit der aktuellen find.bat. Diese findest du bei der escan-Anleitung. Es öffnet sich ein Browserfenster. Die Seite speicherst du unter dem Namen find.bat. Dann führst du diese find.bat aus und postet den Inhalt des logs.

Sollten wieder keine Funde vorhanden sein, da starte die find.bat über die Kommandozeile (Win+R -> cmd eingeben) mit folgendem Befehl: "find.bat 3". Good luck!

edit: Nachtrag: Die aktuelle Anleitung für escan findest oben bei den faq, nicht unten im Archiv!

Geändert von ordell1234 (07.06.2007 um 16:15 Uhr)

Alt 08.06.2007, 04:17   #10
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Also irgendwie mag mich die find.bat nicht, es gibt irgendwie ein problem mit der sprache...poste es trotzdem für alle fälle...

sonst findet sich mein log unter:
http://www.file-upload.net/download-296869/MWAV.LOG.html

die find.bat-auswertung hier:

@echo off
REM Version 2007.05.07.01
REM
REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.
REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.
REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,
REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.
REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.
REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind
REM nicht gestattet.
REM
REM Marc Manske, April 2007


REM *********************************************************************************
REM 0. Macht die Arbeit etwas einfacher
REM *********************************************************************************
REM
REM Die Startzeit wird übergeben
REM %LOG% erleichtert das Tippen und verbessert den Überblick
REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:
REM 1: Anzeige aller Scans
REM 2: Anzeige mit Datum und Zeit in jeder Zeile
REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile
REM Der Paramter wird an %MODUS& übergeben.
:INITIAL
set TIMESTART=%TIME%
set LOG=^>^> "%systemdrive%\bases_x\eScan_neu.txt"
set MODUS=%1


REM *********************************************************************************
REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.
REM *********************************************************************************
REM
REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.
:OS
IF "%OS%"=="Windows_NT" goto srchwd
IF "%OS%"=="" goto wrngos

cls
echo.
echo.
echo [XX______________________]
echo.
echo Checking OS ...

REM *********************************************************************************
REM 2. Verarbeitung des Scanreports
REM *********************************************************************************

REM 2.0.1 Log-Datei (mwav.log) wird gesucht
REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.
REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),
REM wird diese umbenannt.

:srchwd
dir /A %systemdrive% | findstr /i "bases_x"
if %errorlevel% equ 0 goto srchlog
mkdir %systemdrive%\bases_x
goto cp2wd
:srchlog
dir %systemdrive%\bases_x | findstr /i "mwav.log"
if %errorlevel% equ 1 goto cp2wd
ren %systemdrive%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"

REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.
:cp2wd
dir /s /b %systemdrive%\mwav.log > %systemdrive%\bases_x\tmp.log
set /P FILE=<%systemdrive%\bases_x\tmp.log
copy "%FILE%" %systemdrive%\bases_x\

cls
echo.
echo.
echo [XXXX____________________]
echo.
echo Copying mwav.log ...

REM 2.0.2 Installationssprache wird ermittelt
REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.
REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.
REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

:getlang
reg query HKCR\eut /v "Language" > nul
if %errorlevel% equ 1 goto engpath
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i
if "%eLang%"=="English" goto engpath
if "%eLang%"=="German" goto germpath
goto wrnglang

cls
echo.
echo.
echo [XXXXXX__________________]
echo.
echo Determing language ...

REM *********************************************************************************
REM *********************************************************************************
REM 2.1 Deutschsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:germpath

REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine
REM neue Logdatei überführt. Die ganzen Datumsangaben werden dabei per Default abgeschnitten.

if "%MODUS%"=="1" goto gmode1
if "%MODUS%"=="2" goto gmode2
if "%MODUS%"=="3" goto gmode3

for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log

cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto gstart

:gmode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanne" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
goto gstart

:gmode2
findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
goto gstart

:gmode3
findstr /v "Scanne" %systemdrive%\bases_x\mwav.log >> %systemdrive%\bases_x\mwav_cut.log

REM 2.1.1 Deutsch: Header der Reportdatei wird erstellt.
REM Versionsnummer der find.bat
REM OS-Version: per ver
REM Bootmodus: Abfrage der Variable %SAFEBOOT_OPTIONS% (SBO)
REM Im normalen Modus ist SBO nicht gesetzt.
REM Ansonsten gibt SBO "MINIMAL" oder "NETWORK" aus.
REM Programmversion: wird aus HKCR\eut gelesen
REM Sprache: wurde bereits bestimmt (:getlang)
REM Virusdatenbank: Die Zeile überschreibt immer wieder den Inhalt von datum.log
REM Der Inhalt von datum.log (der letzte gefundene, also der aktuellste
REM Eintrag) wird ins Log geschrieben.

:gstart
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2007.05.07.01 %LOG%
ver %LOG%
if "%SAFEBOOT_OPTIONS%"=="" (echo Bootmodus: NORMAL %LOG%
) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "delims=> tokens=2" %%i in ('findstr "Virus-Datenbank" %systemdrive%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
more %systemdrive%\bases_x\tmp.log %LOG%
echo. %LOG%

cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...

REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.
REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "Dateisystem" | findstr "gefunden" %LOG%
findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...

REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.

echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Datei" %systemdrive%\bases_x\mwav_cut.log | findstr "infiziert" | findstr "von" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "markiert" %systemdrive%\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...

REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...

REM 2.1.5 Deutsch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Infizierter" %systemdrive%\bases_x\mwav_cut.log | findstr "Prozess" %LOG%
findstr "Abbruch" %systemdrive%\bases_x\mwav_cut.log | findstr "erfolgreich" %LOG%
findstr "Modul" %systemdrive%\bases_x\mwav_cut.log | findstr "akiv" | findstr "Speicher" %LOG%
findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Wahrscheinlich" %systemdrive%\bases_x\mwav_cut.log | findstr "Passwort" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
echo Zeilen die nicht dem Standard entsprechen: %LOG%
findstr /V /R /F:%systemdrive%\bases_x\tmp.log "^#" | findstr /V "127.0.0.1" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Gescannte" %systemdrive%\bases_x\mwav_cut.log | findstr /v "Scanne" %LOG%
findstr "Gefundene" %systemdrive%\bases_x\mwav_cut.log | findstr "Viren" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "desinfizierten" %LOG%
findstr "Umbenannte" %systemdrive%\bases_x\mwav_cut.log | findstr "Dateien" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "schten" | findstr "Dateien" %LOG%
findstr "Anzahl" %systemdrive%\bases_x\mwav_cut.log | findstr "Fehler" %LOG%
findstr "Dauer" %systemdrive%\bases_x\mwav_cut.log | findstr "Scans" | findstr "bisher" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr /i "aktiviert" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Specher" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Registry" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Startup-Ordner" %systemdrive%\bases_x\tmp.log %LOG%
findstr "System-Ordner" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Systembereiche" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Dienste" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Festplatten" %systemdrive%\bases_x\tmp.log | findstr "der" %LOG%
findstr "aller" %systemdrive%\bases_x\tmp.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...

goto end


REM *********************************************************************************
REM *********************************************************************************
REM 2.2 Englischsprachiger Pfad
REM *********************************************************************************
REM *********************************************************************************
:engpath

REM Zuerst wird das Log noch ein wenig aufgeräeumt und nur der letzte Scan in eine neue Logdatei überführt.

if "%MODUS%"=="1" goto emode1
if "%MODUS%"=="2" goto emode2
if "%MODUS%"=="3" goto emode3

for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log') do (echo %%i >> %systemdrive%\bases_x\mwav_clean.log)
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
cls
echo.
echo.
echo [XXXXXXXX________________]
echo.
echo Cleaning log ...
goto emode

:emode1
for /f "delims=> tokens=2,*" %%i in ('findstr /v "Scanning" %systemdrive%\bases_x\mwav.log^|findstr /v "File"') do (echo %%i >> %systemdrive%\bases_x\mwav_cut.log)
goto emode

:emode2
findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_clean.log
for /f "delims=: tokens=1" %%i in ('findstr /n "SPECIAL" %systemdrive%\bases_x\mwav_clean.log^|findstr "PROMOTION"') do set linecnt=%%i
more /P /S +%linecnt% %systemdrive%\bases_x\mwav_clean.log > %systemdrive%\bases_x\mwav_cut.log
goto emode

:emode3
findstr /v "Scanning" %systemdrive%\bases_x\mwav.log | findstr /v "File" >> %systemdrive%\bases_x\mwav_cut.log


REM 2.2.1 Englisch: Header der Reportdatei wird erstellt.
REM OS-Version, Programmversion, Datum der Erkennungsdatei, Installationssprache, Batch-Version, Safe Mode

:emode
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\bases_x\eScan_neu.txt
echo Header %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo find.bat Version 2007.05.07.01 %LOG%
ver %LOG%
if "%SAFEBOOT_OPTIONS%"=="" (echo Bootmodus: NORMAL %LOG%
) else (echo Bootmodus: %SAFEBOOT_OPTION% %LOG%)
echo. %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version"') do set eVersion=%%i
echo eScan Version: %eVersion% %LOG%
echo Sprache: %eLang% %LOG%
for /f "delims=> tokens=2" %%i in ('findstr /i "Virus" %systemdrive%\bases_x\mwav.log^|findstr /i "Date"') do (echo %%i > %systemdrive%\bases_x\tmp.log)
more %systemdrive%\bases_x\tmp.log %LOG%
echo. %LOG%

cls
echo.
echo.
echo [XXXXXXXXXX______________]
echo.
echo Writing header ...

REM 2.2.2 Englisch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Infektionsmeldungen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "System" %systemdrive%\bases_x\mwav_cut.log | findstr "found" | findstr "infected" %LOG%
findstr "Object" %systemdrive%\bases_x\mwav_cut.log | findstr "found" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXX____________]
echo.
echo Reported infections ...

REM 2.2.3 Englisch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Dateien %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Infected files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr /i "File" %systemdrive%\bases_x\mwav_cut.log | findstr /i "infected" | findstr /i "by" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Tagged files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "tagged" %systemdrive%\bases_x\mwav_cut.log %LOG%
echo ~~~~~~~~~~~ %LOG%
echo ~~~~ Offending files %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "file" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXX__________]
echo.
echo Reported files ...

REM 2.2.4 Englisch: Ordner werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~ %LOG%
echo Ordner %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Folder" %LOG%
echo ~~~~~~~~~~~ %LOG%
echo Registry %LOG%
echo ~~~~~~~~~~~ %LOG%
findstr "Offending" %systemdrive%\bases_x\mwav_cut.log | findstr "Key" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXX________]
echo.
echo Reported folders and entries ...

REM 2.2.5 Englisch: Diverses
REM Meldungen über infizierte Prozesse und Scanfehler
echo. %LOG%
echo. %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Diverses %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Prozesse und Module %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "List" %systemdrive%\bases_x\mwav_cut.log | findstr "Processes" | findstr "Sharing" %LOG%
findstr "Executable" %systemdrive%\bases_x\mwav_cut.log | findstr "Command" %LOG%
findstr "DllName" %systemdrive%\bases_x\mwav_cut.log | findstr "Invalid" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scanfehler %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Possibly" %systemdrive%\bases_x\mwav_cut.log | findstr "password" | findstr "protected" %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Hosts-Datei %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%
for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i
echo DataBasePath: %hostloc% %LOG%
echo %hostloc%\hosts | findstr /V "teststring" > %systemdrive%\bases_x\tmp.log
findstr /V /R /F:%systemdrive%\bases_x\tmp.log "^#" | findstr /V "127.0.0.1" %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXX______]
echo.
echo Misc entries ...

REM 2.2.6 Englisch: Statistiken werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Statistiken: >>%systemdrive%\bases_x\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "Total" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Critical" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Disinfected" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Renamed" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Deleted" %systemdrive%\bases_x\tmp.log | findstr "Objects" %LOG%
findstr "Errors" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Elapsed:" %systemdrive%\bases_x\mwav_cut.log %LOG%
findstr "Scanned:" %systemdrive%\bases_x\mwav_cut.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXX____]
echo.
echo Scanning stats ...

REM 2.2.7 Englisch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
echo Scan-Optionen %LOG%
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%
findstr "abled" %systemdrive%\bases_x\mwav_cut.log >> %systemdrive%\bases_x\tmp.log
findstr "Memory" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Registry" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Startup" %systemdrive%\bases_x\tmp.log %LOG%
findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Folder" %LOG%
findstr "System" %systemdrive%\bases_x\tmp.log | findstr "Area" %LOG%
findstr "Services" %systemdrive%\bases_x\tmp.log %LOG%
findstr "Drive" %systemdrive%\bases_x\tmp.log %LOG%
findstr "All" %systemdrive%\bases_x\tmp.log %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXX__]
echo.
echo Writing Options ...

goto end

REM *********************************************************************************
REM *********************************************************************************
REM 3. Abschluss
REM *********************************************************************************
REM *********************************************************************************

REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.
:end
del %systemdrive%\bases_x\tmp.log
del %systemdrive%\bases_x\mwav_clean.log
del %systemdrive%\bases_x\mwav_cut.log
echo. %LOG%
echo Batchstart: %TIMESTART% %LOG%
echo Batchende: %TIME% %LOG%

cls
echo.
echo.
echo [XXXXXXXXXXXXXXXXXXXXXXXX]
echo.
echo Cleaning up ...

REM 3.2 Abschluss: Status wird angezeigt
cls
echo.
echo.
echo Auswertung beendet.
echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet
notepad %systemdrive%\bases_x\eScan_neu.txt
exit

REM 4.1 Abbruch: Falsches Betriebssystem
:wrngos
cls
color 04
echo.
echo Ihre Windowsversion wird nicht unterstützt.
echo Die Stapelverarbeitung wird abgegbrochen.
echo.
pause
exit

REM 4.2 Abbruch: falsche Installationssprache
:wrnglang
cls
color 04
echo.
echo Fehler bei der Ermittlung der Installationssprache!
echo.
echo Diese Batchdatei kann nur Logdateien in englischer und deutscher Sprache
echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.
echo.
echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um
echo die Sprache bei eScan zu ändern.
echo.
echo Die Stapelverarbeitung wird abgebrochen.
echo.
pause
exit

Alt 08.06.2007, 14:15   #11
ordell1234
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Naja, sieht halb so wild aus. Dein mwav.log eingedampft:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version:
Sprache:
E:\Temp\mwav.log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "funwebproducts Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "hotbar.shopperreports Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whyppc Spyware/Adware ({92f02779-6d88-4958-8ad3-83c12d86adc7})! Action taken: Keine Aktion vorgenommen.
System found infected with hotbar Spyware/Adware ({74cc49f7-eb32-4a08-b204-948962a6e3db})! Action taken: Keine Aktion vorgenommen.
System found infected with whyppc Spyware/Adware ({92f02779-6d88-4958-8ad3-83c12d86adc7})! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker (C:\Programme\ares\ares.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Moi\LOKALE~1\Temp\fotos\Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Moi\LOKALE~1\Temp\fotos.zip/Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\Moi\LOKALE~1\TEMPOR~1\Content.IE5\0FMP27WB\virus[1].zip infiziert von "Trojan.VBS.StartPage.bm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos\Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos.zip/Fotos roberto.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FMP27WB\virus[1].zip infiziert von "Trojan.VBS.StartPage.bm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130772.exe infiziert von "Trojan.VBS.StartPage.bm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130775.exe//PE_Patch.UPX//UPX infiziert von "Trojan-Dropper.Win32.Agent.bjw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\Internet Explorer\msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN Messenger\msimg32.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\MSN Messenger\riched20.dll markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130776.scr markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130777.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130778.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130779.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130780.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130781.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.at". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130783.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130784.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130785.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.l". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130786.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.af". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130787.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130788.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130789.SCR markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130790.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130791.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130792.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.an". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130793.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.aq". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130794.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130796.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.bc". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130797.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.ax". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130799.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.at". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130801.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130802.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.as". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130803.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.ad". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130805.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130806.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130807.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.ba". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130808.EXE markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130809.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130810.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130811.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.i". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130812.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.as". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{1A5F71B2-B371-48BF-97A6-0CF826FF9171}\RP269\A0130824.DLL markiert als "not-a-virus:AdTool.Win32.MyWebSearch.au". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Moi\Favoriten\amazon.url
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{20f9a6c8-207d-4381-a238-f63217e6f26b}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{3ebc87a0-b8d7-49f0-85da-823dc9def9c8}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{521169a1-637b-4d8b-b712-7e3c44a26f4c}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{8373daea-e83d-4b9a-a677-18781b5f5864}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{8e2823b7-caaf-4754-92ed-b4db6cf2f9d0}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{bd9967de-a4f3-4d6f-9ede-2f691a7f8557}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{d69e2668-9cde-4832-87ee-f6b87ad2345d}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{dd187110-0ef7-491e-bbec-8a25bd91669e}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\temp\{fa2eb409-3cde-4c7c-bc0e-991f7c79b8d6}\{417b67a7-b1b2-42c2-8fde-c542f5524f86}\reboot.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\ares\ares.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Moi\Anwendungsdaten\toshiba\pcdiag\v3.0
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\funwebproducts !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5daf8601-80bb-11db-8bb2-0013eff0c661} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 88864
Gefundene Viren: 65
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 251
Dauer des Scans bisher: 01:12:39
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:51:50,19
Batchende: 14:51:57,39
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. Deaktiviere die Systemwiederherstellung, link
2. Mache alle Dateien sichtbar: Windows Explorer öffen, Extras, Ordneroptionen und wie hier angezeigt einstellen
3. Führe CCleaner aus und bereinige dein System von Temprorären Dateien, inkl. IE-Cache
4. Deinstalliere Mywebsearch über Systemsteuerung->Software, falls Eintrag vorhanden
5. Lade Avenger, folge dieser Anleitung, füge folgendes script manuell ein:
Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\unrar.dll
C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe
C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos\Fotos roberto.exe
C:\Programme\Internet Explorer\msimg32.dll
C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll
C:\Programme\MSN Messenger\msimg32.dll
C:\Programme\MSN Messenger\riched20.dll

Folders to delete:
C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos.zip

registry keys to delete:
HKCU\Software\funwebproducts
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5daf8601-80bb-11db-8bb2-0013eff0c661}
         
Neustart. Poste bitte das log von Avenger.

6. Gehe auf Start -> Ausführen und gib ein: sfc /scannow. Dies überprüft deine Systemdateien und ersetzt ggf. beschädigte. Berichte bitte, ob das Problem mit Uhr und Suchfunktion weiterhin besteht.

7. Poste ein neues HJT-log. Gruß

Alt 08.06.2007, 16:01   #12
MightyMarc
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



@ordell1234

Könntest Du mal zum besten geben, weshalb es bei Dir funktioniert (bzw. beim TO nicht funktioniert hat?) Gibt es solche Fälle häufiger (bin atm nicht sehr häufig im Forum)?
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 08.06.2007, 16:10   #13
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Also, ob das jetzt funktioniert hat weiß ich nicht...das mit der Uhr und der Suche funktioniert weiterhin nicht.

Das Avenger Log hier:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\funwebproducts


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 0
Line: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{5daf8601-80bb-11db-8bb2-0013eff0c661}


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ydlxbrgs

*******************

Script file located at: \??\C:\WINDOWS\sskvgtfn.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\unrar.dll not found!
Deletion of file C:\WINDOWS\system32\unrar.dll failed!

Could not process line:
C:\WINDOWS\system32\unrar.dll
Status: 0xc0000034



File C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe not found!
Deletion of file C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Moi\Desktop\Fotos roberto.exe
Status: 0xc0000034



Could not open file C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos\Fotos roberto.exe for deletion
Deletion of file C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos\Fotos roberto.exe failed!

Could not process line:
C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos\Fotos roberto.exe
Status: 0xc000003a



File C:\Programme\Internet Explorer\msimg32.dll not found!
Deletion of file C:\Programme\Internet Explorer\msimg32.dll failed!

Could not process line:
C:\Programme\Internet Explorer\msimg32.dll
Status: 0xc0000034



File C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll not found!
Deletion of file C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll failed!

Could not process line:
C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll
Status: 0xc0000034



File C:\Programme\MSN Messenger\msimg32.dll not found!
Deletion of file C:\Programme\MSN Messenger\msimg32.dll failed!

Could not process line:
C:\Programme\MSN Messenger\msimg32.dll
Status: 0xc0000034



File C:\Programme\MSN Messenger\riched20.dll not found!
Deletion of file C:\Programme\MSN Messenger\riched20.dll failed!

Could not process line:
C:\Programme\MSN Messenger\riched20.dll
Status: 0xc0000034



Folder C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos.zip not found!
Deletion of folder C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos.zip failed!

Could not process line:
C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\fotos.zip
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


HijackThis erzählt folgendes:

Logfile of HijackThis v1.99.1
Scan saved at 17:05:40, on 08.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Digital Image\Monitor.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\Moi\Eigene Dateien\Security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?3d6f1793fa6c4836aea3c44b71955bae
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?3d6f1793fa6c4836aea3c44b71955bae
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {9FCC5BD3-0956-4823-9E48-73EF63D44F84} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {9FCC5BD3-0956-4823-9E48-73EF63D44F84} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Programme\Ares\chatServer.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Alt 08.06.2007, 17:30   #14
ordell1234
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Die gute Nachricht: Ich kann in deinem aktuellen HJT-Log keine schadhaften Einträge finden.

Schlechte Nachricht: Das avenger-script war komplett ein Schuss in den Ofen. Mein Fehler, da avenger keine HKCU-Schlüssel löscht . Der Einfachheit halber mache erneut einen escan, diesmal bitte kein Häkchen bei "nur scannen" und poste das log der find.bat. Du bekommst das hin , notfalls uploade wieder das gesamte log.

Kannst du bitte möglichst genau sagen, welche Probleme bei der find.bat auftraten. Es würde dem Board und anderen helfen.

Zur Uhr und Suchfunktion: Beschreibe dein Problem bitte genau, "Funktioniert nicht" hilft wenig. sfc/ scannow brachte nichts? Kann gut sein, dass du dir grundsätzlich was zerschossen hast, was nur durch Neuinstallation/Reparaturinstallation behoben werden kann. Blöd gefragt zur Uhr: Du hast die Taskleiste schon so eingestellt, dass dir im Tray die Uhr auch angezeigt wird, also Häkchen ist gesetzt?! Gruß

Alt 09.06.2007, 22:02   #15
crucco
 
Trojaner verdacht, checkt jemand mein Hijack-Log? - Standard

Trojaner verdacht, checkt jemand mein Hijack-Log?



Hallo, ich mal wieder.

Das Problem mit der Uhr ist, dass sie nicht angezeigt wird, und wenn man das bei den Eigenschaften einstellen will, ist die Schrift grau und man kann kein häkchen setzen. Die Suchfunktion wird nicht mehr im Startmenü angezeigt und wenn man sie in den Leisten oben bei Windows anklicken will passiert auch nichts.

Was genau das Problem mit der find.bat war weiß ich auch nicht, habe - wie in der Anleitung - nach dem e-scan das programm geschlossen und find.bat ausgeführt, danach kam der murks den ich gepostet hab. Kann sein dass es daran lag dass ich die ältere Version benutz hab, dafür musste glaub ich e-scan in englisch sein...

Mein neues log hier, das mwav.log ist bei file-upload.net
http://www.file-upload.net/download-298454/MWAV.LOG.html

Viele Grüße und Tausend Dank schonmal

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.05.07.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.7
Sprache: German
C:\Dokumente und Einstellungen\Moi\Eigene Dateien\Security\E_scan\MWAV.LOG
C:\Dokumente und Einstellungen\Moi\Lokale Einstellungen\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Batchstart: 22:44:10,73
Batchende: 22:45:01,61

Antwort

Themen zu Trojaner verdacht, checkt jemand mein Hijack-Log?
adobe, alert, avg, bho, components, desktop, e-mail, ebay, einstellungen, excel, firefox, helper, hijack, hijackthis, internet, internet explorer, launch, mozilla, mozilla firefox, security, server, software, system, taskleiste, trojaner, trojaner verdacht, unknown file in winsock lsp, virus, windows, windows xp



Ähnliche Themen: Trojaner verdacht, checkt jemand mein Hijack-Log?


  1. Kann jemand mal über mein Hijack schauen
    Log-Analyse und Auswertung - 15.02.2014 (3)
  2. Kann mal jemand in mein HiJack blicken .....
    Log-Analyse und Auswertung - 06.09.2010 (9)
  3. Könnte mir jemand bitte mein HiJack log auswerten
    Log-Analyse und Auswertung - 04.09.2009 (7)
  4. Bitte checkt mal mein LOgfile. Firefox spinnt
    Mülltonne - 31.08.2007 (3)
  5. Hijack This Log, bitte guckt mal jemand, ob mein Sys clean ist
    Mülltonne - 04.12.2006 (0)
  6. kann mir bitte jemand mein hijack logfile entschlüsseln?
    Log-Analyse und Auswertung - 31.07.2006 (3)
  7. Kann mir jemand mein HiJack Log-File auswerten, danke
    Log-Analyse und Auswertung - 20.04.2006 (4)
  8. Kann jemand bitte mein HiJack Logfile überprüfen?
    Log-Analyse und Auswertung - 19.04.2006 (6)
  9. Brauche Hilfe und Checkt mal mein Hijack log
    Log-Analyse und Auswertung - 25.01.2006 (6)
  10. Checkt mal bitte mein Log..
    Log-Analyse und Auswertung - 21.07.2005 (2)
  11. Bitte checkt mein Logfile!
    Plagegeister aller Art und deren Bekämpfung - 14.07.2005 (1)
  12. Checkt mal n profi mein log?
    Log-Analyse und Auswertung - 12.05.2005 (4)
  13. Bitte checkt mein Log!!!!!
    Log-Analyse und Auswertung - 23.02.2005 (1)
  14. HILFE: Dropper - versteht jemand mein hijack-log ?
    Log-Analyse und Auswertung - 01.02.2005 (3)
  15. kann mir jemand helfen und mein hijack this log entschlüsseln
    Log-Analyse und Auswertung - 26.01.2005 (1)
  16. Virus! Bloodhound.Exploit.6 --> Bitte checkt mein HJT-Log!
    Log-Analyse und Auswertung - 01.11.2004 (2)
  17. bitte wer checkt mein hijacklogfile
    Log-Analyse und Auswertung - 17.07.2004 (1)

Zum Thema Trojaner verdacht, checkt jemand mein Hijack-Log? - Hallo an alle, ich habe mir einen Plagegeist namens Virus Roberto eingefangen, immer wenn ich den Rechner hochgefahren hab, hat er mich mit: "hijo de puta" begrüßt und ich konnte - Trojaner verdacht, checkt jemand mein Hijack-Log?...
Archiv
Du betrachtest: Trojaner verdacht, checkt jemand mein Hijack-Log? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.