|
Log-Analyse und Auswertung: clean oder nicht-clean????Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.09.2007, 12:58 | #1 |
| clean oder nicht-clean???? Bericht von eScan. (leider nicht im abgesichertem Modus durchzuführen, da ich es nicht geschafft habe escan dort zu updaten, wollte einfach keine Internetverbindung herstellen) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.2 Sprache: German Virus-Datenbank Datum: 9/17/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei Z:\07 Daten\eMails\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files manuell gelöscht!!!! ~~~~~~~~~~~ File C:\RECYCLER\S-1-5-21-436374069-884357618-839522115-1003\Dc20.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-436374069-884357618-839522115-1003\Dc21.rar/WGA v1.5.708.0 gecrackt\WGA v1.5.708.0 gecrackt\2. hosts060628\keyfinder.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\******\Desktop\xxx\smitrem\process.exe Offending file found: C:\Dokumente und Einstellungen\*******\Desktop\xxx\smitrem\pv.exe Offending file found: C:\Dokumente und Einstellungen\********\Desktop\xxx\smitrem\swreg.exe ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ Offending Folder found: C:\Dokumente und Einstellungen\*******\Anwendungsdaten\icq\bart\1024 ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\*******\LOKALE~1\TEMPOR~1\Content.IE5\0BQBC3YV\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0BQBC3YV\swflash[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\05 Spiele\Battlefield 2 Zubehör\Sonstiges\jointool4.43.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\06 Programme\Tools und Proggys\Anti Virenproggys\mwav.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\06 Programme\Tools und Proggys\P D A\Sicherung\KevtrisSetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\06 Programme\Tools und Proggys\P D A\SuperDokuInstall.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\06 Programme\Tools und Proggys\P D A\TaskMgrSetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... Z:\06 Programme\Tools und Proggys\P D A\TOMTOM 6\Installation\2577\ttn2003.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 108530 Gefundene Viren: 10 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 348 Dauer des Scans bisher: 01:35:27 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 13:53:02,64 Batchende: 13:53:13,75 HighJack: Logfile of HijackThis v1.99.1 Scan saved at 13:55:33, on 17.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Razer\Copperhead\razerhid.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe C:\Programme\BF2G15Mod\BF2 LCD.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Razer\Copperhead\razertra.exe C:\Programme\Razer\Copperhead\razerofa.exe C:\DOKUME~1\*******\LOKALE~1\Temp\mexe.com C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww*google.de/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: (no name) - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Programme\Lavalys\EVEREST Ultimate Edition\everest.exe O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{67B525D0-6096-4FBF-BCC2-47F31E53032E}: NameServer = 192.168.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{67B525D0-6096-4FBF-BCC2-47F31E53032E}: NameServer = 192.168.1.254 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
17.09.2007, 14:25 | #2 |
/// AVZ-Toolkit Guru | clean oder nicht-clean???? Halli hallo.
__________________Lade folgende Datei auf Virustotal hoch: " Z:\07 Daten\eMails\Eigene Dateien\desktop.ini " Und mache den eScan nocheinmal im abgesicherten Modus. Die Datenbanken sind jetzt aktuell. Gruß Undoreal
__________________ |
17.09.2007, 14:31 | #3 | |
| clean oder nicht-clean????Zitat:
|
17.09.2007, 14:42 | #4 |
| clean oder nicht-clean???? hätt ich vielleicht hier löschen sollen@ Cleriker.......... hab ich manuell gelöscht, genauso wie die" Z:\07 Daten\eMails\Eigene Dateien\desktop.ini ", war sowieso nur eine Sicherungsdatei! Also nicht vom laufendem System! Und was ist mit den restlichen Virenmeldungen die eScan gegeben hat? Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with drivecleaner2006 Corrupted Adware/Spyware (pv.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. |
17.09.2007, 15:04 | #5 | |
| clean oder nicht-clean????Zitat:
des Überprüfungstools für Gültigkeit zu posten. Die restlichen Warnungen sind Fehlalarme. mfg Cleriker |
17.09.2007, 15:14 | #6 |
| clean oder nicht-clean???? ich meinte ja das ich hätte die Zeile löschen sollen!!!!! wusste ja was es ist und habs wie eben schon gesagt gelöscht!!! kannst gerne den ganzen Post löschen. thx & mfg |
Themen zu clean oder nicht-clean???? |
ad-aware, antivir, avira, bho, browser, content.ie5, dateisystem, desktop.ini, drivers, einstellungen, explorer, fehler, festplatte, firefox, firewall, fraud, hijackthis, hosts-datei, installation, internet explorer, keine internetverbindung, launch, maßnahme, mozilla, mozilla firefox, nvidia, object, prozesse, registry, rundll, smitfraud, software, teamspeak, windows, windows xp, windows\system32\drivers |