|
Log-Analyse und Auswertung: Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
07.06.2008, 20:38 | #1 |
| Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Hallo! Also ich kann seit einigerzeit nicht mehr alle Funktionen des Pc´s benutzen. Der button Ausführen ist verschwunden und im Task Manager ist auch der button Task hinzufügen verschwunden Wenn ich die Windows taste + R drücke um Ausführen zu starten kommt die Meldung, das ich keine Rechte dazu habe. Ich bin natürlich Systemadministrator!!! hier Hijack This: Logfile of HijackThis v1.99.1 Scan saved at 21:37:43, on 07.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe F:\Programme\Alwil Software\Avast4\aswUpdSv.exe F:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\SiteAdvisor\6261\SAService.exe C:\WINDOWS\system32\svchost.exe C:\winvnc.exe C:\WINDOWS\system32\winadm.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\SiteAdvisor\6261\SiteAdv.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe F:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Messenger\msmsgs.exe F:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\winadmd.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\E-Color\Common\IconMgr.exe F:\Programme\Xfire\xfire.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\Opera\Opera.exe F:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.8.30.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll (file missing) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiteAdvisor] "C:\Programme\SiteAdvisor\6261\SiteAdv.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WinVNC] "C:\winvnc.exe" -servicehelper O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [nmgWlHnekT] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MWFEKsMueg] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [umMWRHueQT] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AQtbymaoxy] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [epAaHKeMGx] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [epaKeMzWta] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wEppuywatm] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NiGSLBNFKP] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Rundll32] C:\WINDOWS\system32\Rundll32.exe O4 - Startup: NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe O4 - Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe O4 - Startup: Xfire.lnk = F:\Programme\Xfire\xfire.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ? O4 - Global Startup: winconfig.vbs O4 - Global Startup: Windows.bat O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - C:\PROGRAMME\DATANGO\PLAYER\DATANGOPLAYER.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\Plugins\nppcaplg.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://www.king.com/ctl/kingcomie.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - http://www.schueler.cc/uploader/ImageUploader5.cab O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6261\SiteAdv.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - F:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6261\SAService.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\winvnc.exe" -service (file missing) danke schonmal |
07.06.2008, 20:56 | #2 | |
Gast | Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Dein System enthält deutlich Viren.
__________________Zitat:
Geändert von W_V (07.06.2008 um 20:59 Uhr) Grund: Deeplink entschärft. |
07.06.2008, 21:26 | #3 |
> MalwareDB | Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... An sich hat W_v recht, dennoch möchte ich dies abkürzen.
__________________ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ |
07.06.2008, 21:41 | #4 |
| Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Hi ich hab wirklich ein bissle schiss mit den Programm. Schließlich kommen da ständige warnungen, dass das Gefährlich ist und so. Bist du dir sicher, dass mein Pc dadurch nicht zerstört wird? |
07.06.2008, 21:46 | #5 |
> MalwareDB | Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Die Warnungen sind ernst gemeint. Die Alternative ist den Rechner neu zu installieren, danach sieht es fast aus. Wie dort geschrieben schaffen es 1% der Rechner nicht diesen Vorgang zu überstehen.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.06.2008, 21:50 | #6 |
| Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... aber meinste dass das mein rechner übersteht?^^ |
07.06.2008, 21:51 | #7 |
| Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... meinste ob das mein pc übersteht? sry wegen doppelantwort. bei mir wurde die irgendwie net angezeigt und ich dachte ich hab was falsch gemacht |
07.06.2008, 21:58 | #8 |
> MalwareDB | Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Ich habe keine Glaskugel, ich selbst habe mit dem Programm erst einen Rechner wissentlich abgeschossen, bei gefühlten 400 anderen falls Dir das hilft. Wenn Du davon Abstand nehmen willst, können wir auch anders vorgehen, was aber länger dauern wird.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.06.2008, 22:02 | #9 |
| Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... ok.. nehmen wir lieber die andere Variante aber bitte genau erklären, weil ich nicht so ein chenie bin^^ soll ich erstmal bei hjhack this die viren löschen? |
07.06.2008, 22:44 | #10 |
> MalwareDB | Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... Gehe wiefolgt vor Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = UltimateCleaner 2007 O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [WinVNC] "C:\winvnc.exe" -servicehelper O4 - HKCU\..\Run: [nmgWlHnekT] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MWFEKsMueg] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [umMWRHueQT] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AQtbymaoxy] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [epAaHKeMGx] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [epaKeMzWta] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wEppuywatm] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NiGSLBNFKP] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: winconfig.vbs O4 - Global Startup: Windows.bat O23 - Service: VNC Server (winvnc) - Unknown owner - C:\winvnc.exe" -service (file missing) dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus. Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden): C:\winvnc.exe (nur löschen, wenn Du nichts von dem VNC weißt) C:\WINDOWS\system32\ctfmon.exe winconfig.vbs (suchen, wird wohl unter c:\windows oder c:\windows\system32 liegen) Windows.bat (suchen, wird wohl unter c:\windows oder c:\windows\system32 liegen) C:\WINDOWS\system32\winadm.exe Dann starte den Rechner im normalen Modus neu. Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (07.06.2008 um 22:54 Uhr) |
Themen zu Dieser Vorgang wurde aufgrund von Einschränkungen abgebrochen... |
adobe, antivir, antivirus, avast, avast!, avg, avgnt, avgnt.exe, avira, bho, einschränkungen, explorer, google, hijack, hijack this, hijackthis, internet, internet explorer, netgear, opera, pop-up-blocker, rundll, server, siteadvisor, software, starten, systemadministrator, urlsearchhook, windows, windows xp, wlan, wmid |