![]() |
|
Log-Analyse und Auswertung: eScan Log bitte auslesenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
![]() | ![]() eScan Log bitte auslesen Hallo, nachdem der Virus ntos.exe meinen Rechner infiziert hatte, habe ich das System neu aufgesetzt. Auf meiner Sicherungsplatte wurde nun der Virus VB.CO.Leftover gefunden. Hierzu das Log. Wie kann ich das Problem beseitigt werden? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 9.8.7 Sprache: German C:\DOKUME~1\NAME~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei D:\RECYCLER\S-1-5-21-1390067357-1303643608-1801674531-1004\Dj1\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei D:\USB Datenspeicher\Eigene Dateien\desktop.ini infiziert durch den Virus "VB.CO.Leftover"! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ Scannen Spyware: Deaktiviert ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINDOWS\system32\services.exe lsass.exe - C:\WINDOWS\system32\lsass.exe svchost.exe - C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs svchost.exe - svchost.exe - explorer.exe - C:\WINDOWS\Explorer.EXE cmd.exe - cmd /c ""D:\eScan\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\NAME~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\pagefile.sys ERROR!!! ScanFile fails for C:\SOFTWARE\JAVAVM\MSJAVX86.EXE ERROR!!! ScanFile fails for C:\WINDOWS\$NtServicePackUninstall$\n1rxfl79.zip ERROR!!! ScanFile fails for C:\WINDOWS\DRIVER~1\i386\driver.cab ERROR!!! ScanFile fails for C:\WINDOWS\java\Packages\N1RXFL79.ZIP ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\default.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SAM.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\SECURITY.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\software.LOG ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system ERROR!!! ScanFile fails for C:\WINDOWS\system32\config\system.LOG ERROR!!! ScanFile fails for D:\eScan\mwav.exe ERROR!!! ScanFile fails for D:\RECOVE~1\ADOBEP~1\ADOBEP~1.RAR ERROR!!! ScanFile fails for D:\RECOVE~1\CANONI~1.EXE Result: ERROR!!! File D:\recovery cd\Magix.Fotos.auf.CD.und.DVD.5.0.Deluxe.German-Brainstorm_www.goldesel.to.rar: Scanning Failure!!! ERROR!!! ScanFile fails for D:\RECOVE~1\MAGIXF~1.RAR ERROR!!! ScanFile fails for D:\RECOVE~1\NERO6~1\NERO-6~1.EXE ERROR!!! ScanFile fails for D:\RECOVE~1\qc820deu.exe ERROR!!! ScanFile fails for D:\SYSTEM~1\_RESTO~1\RP22\A0004453.exe ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts: C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 33768 Zahl der kritischen Objekte: 2 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 2 Zeit verstrichen: 00:45:45 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Registrierungsdatenbank-Überprüfung: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 10:55:42,75 Batchende: 10:55:49,54 |
![]() | #2 | |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() eScan Log bitte auslesen Hi,
__________________![]() wann hast du deinen Rechner neuaufgesetzt? Navigiere bitte zu der bemängelten Datei: Zitat:
Kopiere dann den Inhalt der Datei ab (Cursor in die Datei setzen, dann Strg+A und Strg+C drücken) und poste ihn hier (mit Strg+V den kopierten Text einfügen). ![]() Erstelle bitte außerdem ein HijackThis Logfile und poste dieses ebenfalls hier. ![]() lg myrtille
__________________ |
![]() | #3 |
![]() | ![]() eScan Log bitte auslesen Hallo,
__________________das Log ist nicht mehr möglich, da ich einfach den Recycler (versteckt) der zweiten Platte gelöscht habe. Mein System war dann sauber, jedenfalls hat kein Programm noch was gefunden. Ich poste hier nochmal Hijackthis. Die von mir per FTP geladenen Seiten sind nun trotz Neuaufsetzen des Rechners wieder infiziert. Es handelt sich um die beieden Scriptviren: HEUR/Exploit.HTML und HTML/Dldr.lframe.DC Die Seiten sind: xxx.superbuff.de und xxx.uni-vk.de Bei beiden das selbe Problem. Ich habe allerdings gelesen, dass es auch ein Problem mit Antivir sein kann. Keine Ahnung. Hoffe, jemand kann mir helfen! Ich habe nun keine Idee mehr was ich machen soll. Logfile of HijackThis v1.99.1 Scan saved at 10:57:13, on 26.05.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe C:\Programme\Gemeinsame Dateien\AAV\aavus.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE D:\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-E22ABC2EED3F} - (no file) O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [bgsmsnd.exe] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\bgsmsnd.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O15 - Trusted Zone: *.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1211536722796 O16 - DPF: {65EEE2E1-B8D5-4724-8489-048B551045BF} (PPI Chipcard-Browser-Plugin) - https://karte.seb-bank.de/gei/plugin...dPlugin126.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE |
![]() | #4 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() eScan Log bitte auslesen Na, aber die von mir genannte desktop.ini war doch gar nicht im Mülleimer... die müsste es doch noch geben!? ![]() Mit der Webseite kann ich dir nicht so direkt helfen, das Javascript sieht auf jedenfall suspekt aus, was macht das? Hast du denn nach dem Neuaufsetzen auch deine Webseiten überprüft und neue (saubere) Versionen der Webseite wieder eingestellt? lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
![]() | #5 |
![]() | ![]() eScan Log bitte auslesen ja, ich habe vorher beide Seiten gelöscht, nach dem Neuaufsetzen alle Dateien per eScan geprüft. Habe jetzt mal die beiden Meldungen an Avira gesendet. Möglicherweise handelt es sich um ein Problem bei Antivir. So etwas habe ich schon gelesen. Welches JAVA meinst du? Ich habe nicht soviel Ahnung davon, Möglicherweise hat der NTOS.EXE von früher irgendwas im script verändert, was nun ein Problem darstellt. Nur was?? Die desktop.ini war einmal im versteckten Mülleimer und einmal in einem Sicherungsordner für meine Eigenen Dateien auf USB-Stick. Beide habe ich löschen können und vorher kein eScan mehr gemacht. Aber danach, ohne Meldung. |
![]() | #6 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() eScan Log bitte auslesen Ist dieses Script: Code:
ATTFilter <sript>function v4839ac9665589(v4839ac9665d83){ function v4839ac966657a () {return 16;} [gekuerzt]document.write(v4839ac9667581('53E27293C2F5343524950543E'));</sript> Wie gesagt ich kenn mich mit Webseiten und deren Sicherheit nicht so aus. Aber wenn das Skript von dir aus und nur Avira es erkennt,würd ich dir empfehlen, dich mal bei denen (zb im Forum) zu melden. lg myrtille
__________________ --> eScan Log bitte auslesen |
![]() |
Themen zu eScan Log bitte auslesen |
1.exe, desktop.ini, drivers, escan, fehlalarm, fehler, infected, infiziert, laufwerke, log, logon.exe, maßnahme, neu, pagefile.sys, problem, prozesse, rechner, recovery cd, recycler, security, software, spyware, storm, system, system neu, system32, temp, usb, vb.co.leftover, virus, windows, windows xp, windows\system32\drivers |