| |
| |||||||
Log-Analyse und Auswertung: Ich habe ein Problem!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
23.05.2009, 13:04
| #1 |
| |  Ich habe ein Problem! Hallo alle miteinander! Ich habe ein kleines bzw ein großes Problem! Ich scheine mir einen Virus oder Trojaner eingefangen zu haben und werde diesen einfach nicht mehr los! Ich habe Programme wie Spybot,Spyware Doctor 2009 uvm durchlaufen lassen,jedoch ohne Erfolg. Es öffnet sich ständig der Internetexplorer und müllt mich mit Werbung zu, mein Desktop verändert sich (siehe Screenshot),deaktivierung des Tastmanagers, sowie die deaktivierung des AktiveDesktop? (Änderungen des Desktops deaktiviert) Klicke ich auf einen Link, lande ich meistens auf irgendwelchen Websites, die nicht der Linkadresse entsprechen.(siehe Screenshot) Hier die LogFile Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:39:43, on 23.05.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\system32\init32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\frmwrk32.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\ptidl\ptidl.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\Twain\Twain.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\system32\init32.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - URLSearchHook: (no name) - {69b6939f-c70d-45c5-9bbd-e2e2cc3dd8e5} - (no file) R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: C:\WINDOWS\system32\had732ufn8.dll - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] REM SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] REM C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] REM "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ptidl] "C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\ptidl\ptidl.exe" 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139 O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Twain] C:\Dokumente und Einstellungen\TheChemist\Anwendungsdaten\Twain\Twain.exe O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\LOCALS~1\protect.dll,_IWMPEvents@16 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [] C:\WINDOWS\TEMP\n1a0vax.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [uidenhiufgsduiazghs] C:\WINDOWS\TEMP\n1a0vax.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM') O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM') O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user') O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user') O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O20 - AppInit_DLLs: c:\windows\system32\pasugusa.dll,C:\WINDOWS\system32\kalerazo.dll,c:\progra~1\ThunMail\testabd.dll O20 - Winlogon Notify: __c0033F79 - C:\WINDOWS\system32\__c0033F79.dat O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pasugusa.dll (file missing) O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\pasugusa.dll (file missing) O22 - SharedTaskScheduler: hasf8h3rfijfn98gf9iar - {A6C7B2A1-00F3-42BD-F434-00AABA2C8953} - C:\WINDOWS\system32\had732ufn8.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: avast!Antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- End of file - 6302 bytes Ich bedanke mich schon im Voraus die Hilfe! Marcel |
|
23.05.2009, 13:20
| #2 |
 | Ich habe ein Problem! Hallo Chemist,
__________________in deinem HJTL sind so ein paar sachen dir mir als Laie schon recht "verdächtig" vorkommen. Code:
ATTFilter C:\WINDOWS\system32\frmwrk32.exe
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
Deinstalliere auch mal den Spybot und lade dir Malwarebytes und/oder SUPERAntiSpyware runter. Stell die Programme so ein wie beschrieben und Poste die Logs hier im Thread. Gruß, Christian
__________________ |
|
23.05.2009, 13:22
| #3 |
| | Ich habe ein Problem! Warum ist dein AntiVir deaktiviert???
__________________ |
|
23.05.2009, 13:35
| #4 |
| | Ich habe ein Problem! Danke für die schnellen Antworten! Folgendes: Malware Doctor habe ich die Tage getestet und danach deinst. jetzt eben geht dieses Programm plötzlich auf und macht einen scan? Daraufhin habe ich gecheckt ob das Programm doch noch inst. ist, negativ! Selbst die Suche bleibt erfolglos! Screen im Anhang Wie kann das sein? Zum AntiVir Programm.. Ich verstehe das auch nicht ich habe den Guard eben aktiviert und kurz darauf ist er wieder deaktiviert, meist nach einem Neustart. Habe eben gegoogelt um herauszufinden wie man den Taskmanager wieder aktiviert, habe gelesen dass dies in der regedit gemacht wird, habe ich dann auch getan, restartet und plötzlich ist auch die regedit option deaktiviert worden!? HILFE! Desweiteren höre ich ständig den Systembenachrichtigungs Sound?! Die Programme ziehe ich jetzt und lasse sie gleich durchlaufen und poste die Logs. Hier der Screen von Maleware Doc, was eigentlich gar nicht mehr auf dem PC ist |
|
23.05.2009, 14:23
| #5 |
| /// Selecta Jahrusso   | Ich habe ein Problem! Code:
ATTFilter O4 - HKUS\S-1-5-18\..\Run: [svc] c:\program Files\ThunMail\testabd.exe
O20 - AppInit_DLLs: c:\windows\system32\pasugusa.dll,C:\WINDOWS\system 32\kalerazo.dll,c:\progra~1\ThunMail\testabd.dll
Dieser ist ein File-Infector und verändert alle exe dateien Ich bitte dich zu Formatieren,alles andere ist so gut wie sinnlos bei diesen System |
|
23.05.2009, 14:24
| #6 | |
  | Ich habe ein Problem!Zitat:
__________________ --> Ich habe ein Problem! |
|
| Themen zu Ich habe ein Problem! |
| antivir, antivir guard, antivirus, askbar, avast, avg, avira, bho, c:\windows\temp, desktop, desktop verändert, einstellungen, helper, hijack, hijackthis, hkus\s-1-5-18, internet explorer, plug-in, problem, rundll, software, spyware, system, temp, trojaner, trojaner eingefangen, virus, werbung, windows, windows xp, windows\temp |
Linear-Darstellung
