| |
| |||||||
Log-Analyse und Auswertung: toolbardeepdive, exe.corrupted-Virus und Wurm?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
23.06.2007, 20:46
| #1 |
 |  toolbardeepdive, exe.corrupted-Virus und Wurm? Hallo! Bei meinem Rechner verschwand das Icon für Firewall und Virenscanner plötzlich aus der Taskleiste, und Bitdefender ließ sich auch über Start/Programme nicht mehr starten. Darauf machte ich einen HJT-Durchlauf und schickte eScan gleich noch hinterher, letzteres fand einige Schädlinge, entfernte sie aber nicht, sondern will mir eine Lizenz verkaufen. Hier der HJT-Log: Logfile of HijackThis v1.99.1 Scan saved at 14:48:13, on 23.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender10\vsserv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Softwin\BitDefender10\bdmcon.exe C:\Programme\Softwin\BitDefender10\bdagent.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\cidaemon.exe D:\Dateien von ***\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///c:/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender10\bdmcon.exe" /reg O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: h**p://*.update.microsoft.com O15 - Trusted Zone: h**p://download.windowsupdate.com O15 - Trusted Zone: h**p://*.windowsupdate.com O15 - Trusted Zone: h**p://download.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170968575493 O17 - HKLM\System\CCS\Services\Tcpip\..\{231973D8-E8BD-4E3A-A7FB-A37B2499966A}: NameServer = ***.168.120.252,***.168.120.253 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Und hier die find-Auswertung von eScan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.2.6 Sprache: German C:\DOKUME~1\***\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({d449eb58-55af-4695-b216-895d546aed89})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({b7db519e-7131-47b1-a9f5-da8d061c2611})! Action taken: Keine Aktion vorgenommen. System found infected with toolbardeepdive Adware ({446761d5-3ac9-40cc-9dcd-cde23e2ce31a})! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{7D798C14-30E0-41BD-B931-42982C3E89A7}\RP6\A0000379.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{7D798C14-30E0-41BD-B931-42982C3E89A7}\RP6\A0000385.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in G\Shell\AutoRun\command: G:\Autorun.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\CDM7O92R\iuctl[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\KTYJS16Z\iuctl[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDM7O92R\iuctl[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KTYJS16Z\iuctl[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\System Volume Information\_restore{7D798C14-30E0-41BD-B931-42982C3E89A7}\RP72\A0007204.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 86530 Gefundene Viren: 6 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 25 Dauer des Scans bisher: 01:11:37 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:07:53,89 Batchende: 20:08:17,62 Könnt Ihr mir helfen? Danke schön im voraus! Schorsch  |
|
23.06.2007, 20:56
| #2 | |
| /// TB-Ausbilder     | toolbardeepdive, exe.corrupted-Virus und Wurm? Warum brennt denn der arme Schorsch?
__________________ Im Ernst: 1.) Dein Log sieht sauber aus. 2.) Nach deinem Log läuft Bitdefender (und wird bei jedem Hochfahren automatisch gestartet): Zitat:
Alles in allem, du dürftest unbefallen sein. Vielleicht sind die Icons ja durch ihre Inaktivität aus der Anzeige rausgefallen? EDIT: Du könntest noch nen Log von Blacklight erstellen, wenn du sichergehen willst, dass kein Rootkit involviert ist. lg myrtille |
|
23.06.2007, 21:05
| #3 |
| | toolbardeepdive, exe.corrupted-Virus und Wurm? Myrtille,
__________________so ne schnelle Antwort, super, danke!!! Das Bitdefender-Icon steht bei mir auf "immer einblenden", das sollte es nicht sein. Deine Tipps probiere ich mal und melde mich dann wieder. Ciao, Schorsch |
|
24.06.2007, 09:04
| #4 |
| | toolbardeepdive, exe.corrupted-Virus und Wurm? @ Myrtille: Ich habe das gemacht, was Du unter 3. empfohlen hast, brachte keine Veränderung. Dann habe ich auch noch blacklight laufen lassen, es wurde nichts gefunden. Wenn Du meinst, die Meldungen sind unverdächtig, soll es mir recht sein. Vielen Dank nochmal! De Schorsch |
|
24.06.2007, 12:15
| #5 |
| /// TB-Ausbilder | toolbardeepdive, exe.corrupted-Virus und Wurm? Ja, dann würde ich sagen, dass du virenfrei bist.  lg myrtille |
|
| Themen zu toolbardeepdive, exe.corrupted-Virus und Wurm? |
| .com, adware, autorun, bho, content.ie5, dateisystem, desktop, drivers, einstellungen, excel, exe.corrupted, fehler, festplatte, fritz!, helfen, hijack, hijackthis, hosts-datei, internet, internet explorer, maßnahme, object, prozesse, registry, rundll, scan, server, software, starten., system, virus, windows, windows xp, windows\system32\drivers, wurm, wurm? |
Linear-Darstellung
