Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mehr Viren war wohl nicht möglich

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.09.2004, 13:13   #1
bj1
 
Mehr Viren war wohl nicht möglich - Standard

Mehr Viren war wohl nicht möglich



Hallo Gemeinde,
Bin an einen PC gerufen worden der durch Viren und Trojaner fast unbrauchbar lahmgelegt wurde. Habe die meisten der Bad Guys rausgekriegt, aber einer ist noch drin und dazu brauche ich eure Hilfe. Er versucht dauernd eine Verbindung zum Internet mit folgender Adresse herzustellen: windowsupdate.tytayty.biz.
Das Logfile ist wie folgt:

Logfile of HijackThis v1.97.7
Scan saved at 22:40:06, on 20.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Linksts.exe
C:\WINDOWS\System32\usbtapnp.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Virenprogramme\HiJackThis\hjt_V1-97-7.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ch/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ISDN Monitor] Linksts.exe W 1024
O4 - HKLM\..\Run: [USBTA] C:\WINDOWS\System32\usbtapnp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [wscmho] C:\WINDOWS\System32\bygviql.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] MSlti32.exe
O4 - HKCU\..\Run: [Apwo] C:\Dokumente und Einstellungen\ruedi\Anwendungsdaten\aecr.exe
O4 - HKCU\..\Run: [winguard] wingrd16.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE

Im Auge habe ich die Dateien nvms.dll, mscb.dll und msbe.dll
Unbekannt ist mir der aecr.exe
Habt ihr mir einen Tipp?
(werde auch noch den SP1 installieren)

Danke und Gruss
bj

Alt 21.09.2004, 14:08   #2
Cidre
Administrator, a.D.
 
Mehr Viren war wohl nicht möglich - Standard

Mehr Viren war wohl nicht möglich



Dir ist bewußt, daß du nur an den Symptomen rumfrickelst!

Grund allen Übels ist das nicht gepatchte System und wenn du dies nicht zuvor patcht, dann ist eine Bereinigung noch sinnloser wie sie eh schon ist.
Siehe http://oschad.de/wiki/index.php/Virenscanner und http://www.mathematik.uni-marburg.de...c-removal.html

Die einzig vernünftige und sichere Lösung ist ein Neuaufsetzen des System, um die Vertrauenswürdigkeit wieder herzustellen.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html
__________________

__________________

Alt 21.09.2004, 14:09   #3
MountainKing
 
Mehr Viren war wohl nicht möglich - Standard

Mehr Viren war wohl nicht möglich



Die version von HijackThis ist schon etwas älter, du solltest dir eine aktuelle besorgen. Auf dem System befindet sich u.a. auch noch:

http://www.sophos.de/virusinfo/analyses/w32rbotx.html

Normalerweise genügt bereits das schon, um für eine Neuinstallation zu plädieren, da das System kompromittiert ist:

http://oschad.de/wiki/index.php/Kompromittierung


Willst du trotzdem reparieren (ich rate davon ab):



E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Im Taskmanager beenden:

C:\WINDOWS\System32\xwinxrpc32.exe



Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


C:\WINDOWS\System32\xwinxrpc32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ch/
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [wscmho] C:\WINDOWS\System32\bygviql.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] MSlti32.exe


Überprüfe die aecr.exe hier:

http://virusscan.jotti.org/de

falls es ein Schädling ist (anzunehmen), ebenfalls fixen.


Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Besser:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen
__________________

Antwort

Themen zu Mehr Viren war wohl nicht möglich
acrobat, adobe, bho, dateien, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, links, logfile, messenger, microsoft, monitor, nicht möglich, office, outlook express, programme, software, system, system32, trojaner, usb, viren, virusscan, windows xp



Ähnliche Themen: Mehr Viren war wohl nicht möglich


  1. Installation, Deinstallation, Task-Manager starten, Viren-Scan uvm. plötzlich nicht mehr möglich! WIN10
    Plagegeister aller Art und deren Bekämpfung - 05.11.2015 (27)
  2. Herunterfahren nicht möglich, Versuch über "ausführen" legt alles lahm, nun keine Aktionen mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 10.02.2015 (13)
  3. keine Downloads mehr möglich Win7 (angeblich Viren enthalten)
    Plagegeister aller Art und deren Bekämpfung - 03.01.2014 (9)
  4. Windows Sicherheitscenter reagiert nicht mehr.Bereinigen nicht möglich
    Log-Analyse und Auswertung - 08.12.2013 (15)
  5. Virus: PC fährt nicht mehr hoch - Abgesicherter Modus, Systemwiederherstellung etc. Nicht möglich
    Log-Analyse und Auswertung - 04.12.2013 (5)
  6. Microsoft Office 2010 - Programme funktionieren nicht mehr - Deinstallation nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 02.11.2013 (20)
  7. Virus: PC fährt nicht mehr hoch - Abgesicherter Modus, Systemwiederherstellung etc. Nicht möglich
    Log-Analyse und Auswertung - 31.07.2013 (19)
  8. Scrollen nicht mehr möglich/Google Chrome Rechtsklick nicht mehr möglich
    Plagegeister aller Art und deren Bekämpfung - 03.04.2012 (13)
  9. Anmeldung an Windows (7) nicht mehr möglich, Tastatur + Maus reagieren nicht
    Plagegeister aller Art und deren Bekämpfung - 23.01.2011 (1)
  10. Avira Antivir startet nicht mehr - Download von Dateien nicht mehr möglich
    Log-Analyse und Auswertung - 06.10.2010 (34)
  11. Windows 7 Task Manager startet nicht mehr - Regedit nicht möglich!
    Log-Analyse und Auswertung - 18.09.2010 (4)
  12. Windows Update nicht möglich; Viren Scaner (wie virustotal.com) nicht aufrufbar
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (2)
  13. Löschen von Escan gefundenen Viren ist nicht möglich
    Log-Analyse und Auswertung - 29.10.2008 (3)
  14. IE funktioniert nach gewisser Zeit nicht mehr, Task-Manager-Start nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 29.09.2008 (3)
  15. Rechtsklick nicht mehr möglich - Viren?
    Log-Analyse und Auswertung - 01.11.2007 (1)
  16. Hiiiillfffeee... ich hab wohl ein paar Viren!!!!
    Log-Analyse und Auswertung - 25.06.2007 (4)
  17. Sasser Wurm Problem (wohl lang nicht mehr den PC gewartet)
    Plagegeister aller Art und deren Bekämpfung - 12.01.2007 (7)

Zum Thema Mehr Viren war wohl nicht möglich - Hallo Gemeinde, Bin an einen PC gerufen worden der durch Viren und Trojaner fast unbrauchbar lahmgelegt wurde. Habe die meisten der Bad Guys rausgekriegt, aber einer ist noch drin und - Mehr Viren war wohl nicht möglich...
Archiv
Du betrachtest: Mehr Viren war wohl nicht möglich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.