| |
| |||||||
Log-Analyse und Auswertung: Der nächste, bitte ...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.09.2004, 13:17
| #4 |
| |  Der nächste, bitte ... Besten Dank Shadowdance, die EXEs habe ich überprüft. Hängen alle mit der Installation meines Thinkpads zusammen und sind nach zusätzlicher Überprüfung durch Kaspersky Online Check clean. hier das e-scan-log: Fri Sep 17 13:45:48 2004 => ***** Scanning complete. ***** Fri Sep 17 13:45:48 2004 => Total Number of Files Scanned: 69460 Fri Sep 17 13:45:48 2004 => Total Number of Virus(es) Found: 5 Fri Sep 17 13:45:48 2004 => Total Number of Disinfected Files: 0 Fri Sep 17 13:45:48 2004 => Total Number of Files Renamed: 0 Fri Sep 17 13:45:48 2004 => Total Number of Deleted Files: 0 Fri Sep 17 13:45:48 2004 => Total Number of Errors: 3 Fri Sep 17 13:45:48 2004 => Time Elapsed: 01:55:39 Fri Sep 17 13:45:48 2004 => Virus Database Date: 2004/09/17 Fri Sep 17 13:45:48 2004 => Virus Database Count: 104087 Hier die gefundenen Viren: File C:\Daten\install\DivX\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8NIZA1IX\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken. File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QXWVIPS5\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken. File C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\QXWVIPS5\MediaTicketsInstaller[2].cab tagged as not-a-virus:AdvWare.MediaTickets.d. No Action Taken. File C:\w2kdrive\repos\DIALER\IGD4231.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Leider verstehe ich die Auswertung nicht ganz. E-Scan findet scheinbar 5 Viren, tut aber nichts, weil sie als "not-a-virus" getagged sind? Hast Du eine Idee? Und hier das Log von HJT. Sieht eigentlich OK aus, das war aber schon einmal der Fall. Kurze Zeit später waren die besagten Reg-Einträge wieder da: Logfile of HijackThis v1.98.2 Scan saved at 14:00:33, on 17.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\ibmpmsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\drivers\trcboot.exe C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE C:\Program Files\NavNT\defwatch.exe C:\Program Files\C4ebreg\isamsmt.exe c:\sdwork\issimsvc.exe C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE C:\Program Files\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\Drivers\ldlcserv.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Program Files\c4ebreg\c4ebreg.exe C:\Program Files\NavNT\vptray.exe C:\WINNT\system32\ltmsg.exe C:\WINNT\system32\S3Tray2.exe C:\WINNT\system32\tp4serv.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\WINNT\system32\PRPCUI.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe C:\WINNT\system32\internat.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Download\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE" O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe" O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9 O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58cc...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141 War mir schon klar, dass Ihr keine hauptberuflichen Trojanerjäger seid (obwohl ich mir vorstellen kann, dass viele von Malware geplagte User gerne einen Obulus für die erfolgreiche Lösung ihrer Probleme entrichten würden - ich inklusive). Es gab nur andere Threads, die viel später geposted, aber früher beantwortet woren sind. Deshalb, hatte ich befürchtet gegen irgendeine rule verstoßen zu haben. Umso mehr freue ich mich, dass Du Dich der Sache angenommen hast. Nochmals besten Dank  Joschmd |
| Themen zu Der nächste, bitte ... |
| ad-aware, adobe, beseitigung, bho, desktop, download, drivers, excel, explorer, firewall, hijackthis, hilfe, hotkey, iexplore.exe, immer wieder, internet, internet explorer, logfile, malware, meinem, microsoft, outlook express, problem, programme, prozess, registry, remote control, super, symantec, system, tcpip, verweise, windows |
Baum-Darstellung