Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Symantec Online meldet ADWARE.PREFIX

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.06.2007, 21:20   #1
Offbeat70
 
Symantec Online meldet ADWARE.PREFIX - Standard

Symantec Online meldet ADWARE.PREFIX



Hallo,

Mein Rechner ist in letzter Zeit öfter mit dem Bluescreen aus dem Ruhezustand erwacht. Ausserdem Hakt der IE manchmal sehr (OK, den schrunz sollte ma eh nicht benutzen, Firefox ist besser, aber monche Programme rufen eben den IE auf )
Beim Online-Scan mit Symantec wird mir ein Virus ADWARE.PREFIX unter
C:/windows/system32/servdept.dll

Mein Hijack-File:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:36:39, on 30.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Acer\ePM\EPM-DM.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Program Files\Arcade\PCMService.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\GMX\GMX Messenger\MESSENGR.EXE
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Downloads\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E4286AE-B49D-41D0-B58C-AA2AE5D42378} - C:\WINDOWS\system32\servdept.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - (no file)
O4 - HKLM\..\Run: [Atipta] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Epm-dm] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [EPowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [Imjpmig8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Mspy2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [Phime2002a] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG] C:\Programme\D-Link\AirPlus XtremeG\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [GMX_GMX MultiMessenger] "C:\Programme\GMX\GMX Messenger\MESSENGR.EXE" /hide
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - http://components.metastream.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\AutoCAD 2002\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE7BAD51-F75F-4E87-9804-851451A75C0A}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0804FDB-01CC-45F5-87A0-7E5BA4F243C6}: NameServer = 213.140.2.12,195.210.91.100
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Cbmssmecc - Conexant Systems Inc. - (no file)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 8720 bytes

Was ist zu tun??
Danke schonmal!

Alt 30.06.2007, 21:22   #2
Sunny
Administrator
> Competence Manager
 

Symantec Online meldet ADWARE.PREFIX - Standard

Symantec Online meldet ADWARE.PREFIX



Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:




Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)
Zitat:
C:\WINDOWS\system32\servdept.dll
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Datenträgerbereinigung


Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.


Gruß
Sunny
__________________

__________________

Alt 01.07.2007, 15:53   #3
Offbeat70
 
Symantec Online meldet ADWARE.PREFIX - Standard

Symantec Online meldet ADWARE.PREFIX



Hallo Sunny,

vielen Dank für die fixe Antwort.
also mein Ergebnis von VirusTotal:

Complete scanning result of "servdept.dll", received in VirusTotal at 07.01.2007, 15:27:17 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.6.30.0 06.29.2007 no virus found
AntiVir 7.4.0.37 06.29.2007 ADSPY/Stud.A.43
Authentium 4.93.8 06.29.2007 no virus found
Avast 4.7.997.0 07.01.2007 Win32:Trojano-3384
AVG 7.5.0.476 07.01.2007 Adware Generic2.AMI
BitDefender 7.2 07.01.2007 Adware.Stud.Y
CAT-QuickHeal 9.00 06.30.2007 no virus found
ClamAV devel-20070416 07.01.2007 Trojan.BHO-83
DrWeb 4.33 07.01.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3752 06.29.2007 no virus found
Ewido 4.0 07.01.2007 Adware.Stud
FileAdvisor 1 07.01.2007 no virus found
Fortinet 2.91.0.0 07.01.2007 no virus found
F-Prot 4.3.2.48 06.29.2007 W32/Adware.KBB
F-Secure 6.70.13030.0 07.01.2007 no virus found
Ikarus T3.1.1.8 07.01.2007 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 07.01.2007 not-a-virus:AdWare.Win32.Stud.a
McAfee 5064 06.29.2007 no virus found
Microsoft 1.2701 07.01.2007 no virus found
NOD32v2 2366 07.01.2007 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 06.29.2007 W32/Stud.AE
Panda 9.0.0.4 07.01.2007 no virus found
Sophos 4.19.0 06.24.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 no virus found
Symantec 10 07.01.2007 Adware.Webprefix
TheHacker 6.1.6.140 06.28.2007 Adware/Stud.a
VBA32 3.12.0.2 06.30.2007 suspected of Trojan-Downloader.Agent.49
VirusBuster 4.3.23:9 07.01.2007 no virus found
Webwasher-Gateway 6.0.1 06.29.2007 Ad-Spyware.Stud.A.43

Aditional Information
File size: 36237 bytes
MD5: 2ced5d2af5aea0ffddd4cb687f9c11c4
SHA1: d8ffaf1fe81344249348950fa74ce8106d7df83b
packers: UPX
packers: UPX
packers: UPX
packers: UPX


Combofix.exe hab ich gestartet, der Rechner will aber keine Bestätigung von garnix sonder hat mir ein Verzeichnis Combofix in c: erstellt.

Da gibts dann sowas wie COMBOFIX.BAT, -.SYS ecc.

Was tun?

Danke vielmals
__________________

Alt 01.07.2007, 16:19   #4
Sunny
Administrator
> Competence Manager
 

Symantec Online meldet ADWARE.PREFIX - Standard

Symantec Online meldet ADWARE.PREFIX



Combofix erstellt am Ende des Scanns eine Combofix.txt...diese musst du abkopieren und hier in einen Beitrag einfügen.

Dann gehts auch weiter...
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.07.2007, 16:33   #5
Offbeat70
 
Symantec Online meldet ADWARE.PREFIX - Standard

Symantec Online meldet ADWARE.PREFIX



Also MEIN COMBOFIX öffnet ein blaues fenster ("please wait...")
wie gesagt ohne Bestätigungsaufforderung, das sich nach kurzer Zeit
selbst wieder schliesst. Das wars! Auf dem ganzen rechner findet sich kein
combofix.txt- File, hab ich komplett durchsucht!

Michael


Antwort

Themen zu Symantec Online meldet ADWARE.PREFIX
adobe, antivir, antivirus, antivirus scan, avira, babylon, bho, bluescree, bluescreen, browseui preloader, computer, dateien, firefox, google, helper, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, launch, microsoft, notebook, pdf, picasa, programme, rundll, s-1-5-18, software, symantec, trend micro, urlsearchhook, virus, windows xp, yahoo



Ähnliche Themen: Symantec Online meldet ADWARE.PREFIX


  1. Windows 7: Avira meldet immer wieder ADWARE/Adware.Gen4 bzw. .Gen7, zudem taucht Optimizer Pro immer wieder auf
    Log-Analyse und Auswertung - 14.12.2014 (9)
  2. Win7/Avira meldet ADWARE/Adware.Gen7
    Log-Analyse und Auswertung - 24.11.2014 (8)
  3. MITB - online Banking gesperrt - 1&1 meldet Zeus per Mail
    Plagegeister aller Art und deren Bekämpfung - 05.06.2013 (29)
  4. Avira meldet ADWARE/Yontoo.E.1
    Plagegeister aller Art und deren Bekämpfung - 13.04.2013 (10)
  5. Trojaner jucheck.exe oder ADWARE/InstallCore.Gen bei Online Banking ?
    Log-Analyse und Auswertung - 22.03.2013 (8)
  6. Avira meldet ADWARE/Yontoo.E.1
    Plagegeister aller Art und deren Bekämpfung - 04.01.2013 (12)
  7. Symantec meldet: Trojan.Zeroaccess.B | Trojan.Gen.2 | services.exe gefunden
    Plagegeister aller Art und deren Bekämpfung - 22.08.2012 (2)
  8. PC langsam, Trojaner infiziert, Avira und Symantec meldet
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (17)
  9. Verschlüsselungstrojaner ohne locked-Prefix
    Plagegeister aller Art und deren Bekämpfung - 31.05.2012 (1)
  10. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 09.08.2011 (12)
  11. T-Online meldet Torpig und Mebroot
    Log-Analyse und Auswertung - 03.08.2011 (18)
  12. Symantec DE-Cleaner meldet Hosts als infiziert
    Plagegeister aller Art und deren Bekämpfung - 04.02.2011 (1)
  13. Symantec meldet geblockte von mir ausgehende Spam-Mails.
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (39)
  14. DR/ISearch/C.3 und Gopher prefix ???
    Log-Analyse und Auswertung - 25.11.2008 (7)
  15. Symantec AntiVirus meldet: Adware.VirtuMonde
    Log-Analyse und Auswertung - 14.12.2007 (41)
  16. eScan meldet Spyware/Adware
    Plagegeister aller Art und deren Bekämpfung - 02.07.2007 (5)
  17. prefix nicht zu löschen
    Log-Analyse und Auswertung - 18.09.2004 (2)

Zum Thema Symantec Online meldet ADWARE.PREFIX - Hallo, Mein Rechner ist in letzter Zeit öfter mit dem Bluescreen aus dem Ruhezustand erwacht. Ausserdem Hakt der IE manchmal sehr (OK, den schrunz sollte ma eh nicht benutzen, Firefox - Symantec Online meldet ADWARE.PREFIX...
Archiv
Du betrachtest: Symantec Online meldet ADWARE.PREFIX auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.