Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mein erster Log!?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.10.2004, 09:17   #1
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo,

habe gestern meinen ersten Log gemacht, und es sieht unterirdisch aus. Fünf ungeschützte Jahre sind nicht ohne Spuren geblieben. EliteBar, coolsearch usw, usw!

Wer kann mir helfen?? Kann man pauschal sagen, alle R1 und R0 Einträge kann man ohne Risiko fixen und löschen? Mein Dank schon mal, wer sich an diesen Wust wagt.

Logfile of HijackThis v1.98.2
Scan saved at 05:21:58, on 19.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\ONLINE\NETLAUNCH\LAUNCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSUPD.EXE
C:\WINDOWS\SYSTEM\WINDEZ32.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE
C:\WINDOWS\WINLOGON.EXE
C:\PROGRAM FILES\WINDOWS SYNCROAD\WINSYNC.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Search =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://in.webcounter.cc/-/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.coolsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://in.webcounter.cc/-/?tgyim about:blank
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://in.webcounter.cc/---/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
http://www.noblindlinks.com/?t=10581...://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
Internet Explorer von T-Online
F1 - win.ini: run=C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} -
C:\WINDOWS\SYSTEM\services\2.01.00.dll
O2 - BHO: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA
PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA
PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA
PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [NetLaunch] C:\ONLINE\NETLAUNCH\LAUNCH.EXE
O4 - HKLM\..\Run: [PowerQuest Startup-Dienstprogramm]
C:\Programme\PowerQuest\MagicMover\PQInit.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [TerraTV] # Vfwinit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe
O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\winv.exe
O4 - HKLM\..\Run: [rb32 lptt01] "c:\program files\rb32\rb32.exe"
O4 - HKLM\..\Run: [EasyDates] C:\Program
Files\ComSoft\Dialers\EasyDates\EasyDates.exe /dontdial
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - HKLM\..\Run: [Sys29] C:\WINDOWS\SYSTEM\WINDEZ32.EXE
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS
SYNCROAD\SYNCROAD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKCU\..\Run: [v42de] C:\v42de\V42.EXE -t
O4 - HKCU\..\Run: [60-1-1-35] c:\programme\Webdialer\60-1-1-35.exe -m
O4 - HKCU\..\Run: [60-1-1-7] c:\programme\Webdialer\60-1-1-7.exe -m
O4 - HKCU\..\Run: [li-bdsml00003]
c:\programme\Webdialer\li-bdsml00003.exe -m
O4 - HKCU\..\Run: [li-bdsml00007]
c:\programme\Webdialer\li-bdsml00007.exe -m
O4 - HKCU\..\Run: [li-caton00005]
c:\programme\Webdialer\li-caton00005.exe -m
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskmon.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\SYSTEM\SERVICES\MSXMIDI.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft
Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft
Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat
4.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft
Office\Office\MSOFFICE.EXE
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master
4.1\CM_camera.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .swf:
C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O18 - Filter: text/html - {D717C060-5340-11D8-AE38-444553540000} -
C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

Alt 19.10.2004, 09:34   #2
Lidius
 
Mein erster Log!? - Standard

Mein erster Log!?



Ich würde erstmal folgendes vorschlagen:

Zitat:
Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD
__________________


Alt 19.10.2004, 10:26   #3
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Danke Lidius,
ich werde mir den eScan runter laden. Mit dem Log von HijackThis müsste doch auch schon was machbar sein? Einige Sachen sind ja ziemlich offensichtlich?
__________________

Alt 19.10.2004, 11:33   #4
Lidius
 
Mein erster Log!? - Standard

Mein erster Log!?



Ja, das stimmt.

Allerdings kann man erst nach dem Scan sagen ob sich eine reinigung überhaupt noch lohnt oder ob schon zuviel Schaden angerichtet wurde (was wir natürlich nicht hoffen wollen )

Alt 19.10.2004, 11:36   #5
chaosman
 
Mein erster Log!? - Standard

Mein erster Log!?



@Carlos
lese mal hier nach
http://www.pestpatrol.com/pest_info/de/m/msxmidi.asp
http://www.pchell.com/support/tscash.shtml
sichere diesen datei auf diskette(als beweismittel
C:\WINDOWS\SYSTEM\SYSUPD.EXE, ist ein dialer,
der hier ist sehr ungut
http://securityresponse.symantec.com...gaobot.bc.html

es sieht so aus alsob dein system schon kompromittiert ist.
http://www.mathematik.uni-marburg.de...ompromise.html
ich würde dir raten dein system neu auf zu setzen, und anschließend deine passwörter zu ändern.
du kannst zwar versuchen mit escan und HJT dein system zu säubern, bist dann aber nie sicher ob jemand über dein schulter dich ausspionierst.
vorsicht mit escan, löscht dialer, deswegen vorher sichern
chaosman
P.S. du hast auch mehrere malware oben

__________________
Bonus vir semper tiro

Alt 19.10.2004, 11:56   #6
cacatoa
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo, carlos,
fang schon mal an, wie es lidius beschrieben hat.
Wenn Du mit allem fertig bist, poste auch ein neues HJT-Logfile.
Das alte sieht ja ordentlich böse aus. Du hast einige Trojaner drauf, die Dein gesamtes System verändern.
Stell dich mal geistig darauf ein, evtl. Dein System neu aufzusetzen.
cacatoa

Wir haben uns zeitlich überschnitten - chaosman hat recht!
__________________
--> Mein erster Log!?

Geändert von cacatoa (19.10.2004 um 11:59 Uhr) Grund: Zeitüberschneidung mit chaosman

Alt 20.10.2004, 05:01   #7
Shadowdance
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo carlos,

eine Bitte an Dich, bevor Du mit der Arbeit anfängst, falls es noch nicht zu spät dazu ist und Du schon angefangen hast, zu löschen ...

Lade bitte zunächst Spybot-Search & Destroy 1.3, lade Dir dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass bestehende Probleme beheben. Erstelle dann einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter Betreff "SearchbarMIX-TBOARD" - zu Forschungszwecken. -> Danke!

Führe dann bitte den eScan aus und lass uns wissen, was das Ergebnis davon ist. Abhängig vom Ergebnis des eScan und den auf Deinem System gefundenen Viren, entscheiden wir, wozu wir Dir raten können/müssen.

SD

Alt 20.10.2004, 08:46   #8
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Morgen,

erst mal vielen Dank an alle für die Mühe und Hilfe.

@ Shadowdance: Geht leider nicht mehr, weil ich schon vor deinem Beitrag mit HijackThis und eScan „gearbeitet“ habe. Allerdings habe seit Monaten mit Spybot-Search&Destroy meinen Rechner überprüft, obwohl ich „Search Updates“ gemacht habe (wurden keine(??) gefunden). Er hat mir nur Nichtigkeiten angezeigt. Bei der katastrophalen Situationen auf meinem Rechner - vermutlich mein Bedienungsfehler.

Hier mein neuster Log:

Logfile of HijackThis v1.98.2
Scan saved at 05:01:51, on 20.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\ONLINE\NETLAUNCH\LAUNCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?tgyim about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.noblindlinks.com/?t=10581...://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [NetLaunch] C:\ONLINE\NETLAUNCH\LAUNCH.EXE
O4 - HKLM\..\Run: [PowerQuest Startup-Dienstprogramm] C:\Programme\PowerQuest\MagicMover\PQInit.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O18 - Filter: text/html - {D717C060-5340-11D8-AE38-444553540000} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT

Die Installation des eScan ging es natürlich auch nicht ohne Merkwürdigkeiten vonstatten. Ich habe die Version Version 4.4.7 heruntergeladen. Die soll es doch nicht mehr geben? Erst nach dem “Clean Scan“ habe ich bemerkt, dass er die Viren automatisch gekillt hat. Habe ich ein Problem mit der Version 4.4.7?? Vor dem “Clean Scan“ hatte ich 21 Viren. So sieht es jetzt aus:

Tue Oct 19 20:38:20 2004 => Total Number of Files Scanned: 1632
Tue Oct 19 20:38:20 2004 => Total Number of Virus(es) Found: 5
Tue Oct 19 20:38:20 2004 => Total Number of Disinfected Files: 0
Tue Oct 19 20:38:20 2004 => Total Number of Files Renamed: 0
Tue Oct 19 20:38:20 2004 => Total Number of Deleted Files: 0
Tue Oct 19 20:38:20 2004 => Total Number of Errors: 0
Tue Oct 19 20:38:20 2004 => Time Elapsed: 00:03:08
Tue Oct 19 20:38:20 2004 => Virus Database Date: 2004/09/08
Tue Oct 19 20:38:20 2004 => Virus Database Count: 103474

Da ich nicht wusste wie ich das Scanlog kopieren kann und was, habe ich es mal so gemacht? Die „Virus Log Information“ sagt zu 5 Viren: "No Action Taken"

Wat nu??

Alt 20.10.2004, 09:25   #9
Shadowdance
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo carlos,

und es geht doch !

====> Schritt 1 <====

Sei so nett, mach erst dies: downloade zunächst die spybotsd131tx.exe und kopiere sie in das bestehende Spybot-Verzeichnis. Scanne damit Deinen Rechner, lass bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "CustomizeSearch-TBOARD" - zu Forschungszwecken. -> Herzlichen Dank!

====> Schritt 2 <====

Boote in den abgesicherten Modus und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?tgyim (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?tgyim (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?tgyim (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?tgyim (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?tgyim (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.noblindlinks.com/?t=1058...p://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online

wenn Du diese Seite nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

====> Schritt 3 <====

Wo hast Du denn einen eScan der Version 4.4.7 her? Poste bitte die URL.

Gibst Du bitte die Namen der 5 gefundenen Viren an?

SD

Geändert von Shadowdance (20.10.2004 um 09:40 Uhr) Grund: Logfile-Auswertung eingefügt

Alt 20.10.2004, 10:33   #10
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Danke, mache ich, wird allerdings erst morgen was.

Wo hast Du denn einen eScan der Version 4.4.7 her?

http://www.chip.de/downloads/c_downl...260054&v=3600&

Ich bin nicht sicher, kann es sein, dass dort gestern noch ein „7. Download-Server“ war? Das Alter, das Alter!! Es war aber der Letzte der Download-Server!! Das ist sicher. Nur, jetzt ist er dort nicht mehr?

Alt 20.10.2004, 11:00   #11
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Vollkommen falsch, daher kommt die Version 4.4.7!!

http://www.mwti.net/antivirus/free_utilities.asp

Download Link 7

Alt 20.10.2004, 18:45   #12
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo Shadowdance,

meinst du diesen Report, den man mit „ Copy full report to clipboard“ mit Strg +c und Strg+v bekommen kann?


--- Search result list ---
Gratulation!: Es wurden keine Spione gefunden. ()



--- Spybot - Search & Destroy version: 1.3 .1TX (build: 20040801) ---

2004-10-20 unins000.exe (51.15.0.0)
2004-08-30 SpybotSD.exe (1.3.0.12)
2004-10-20 spybotsd131tx.exe (0.0.0.0)
2003-03-16 borlndmm.dll (7.0.4.453)
2003-03-16 delphimm.dll (7.0.4.453)
2003-03-16 SDHelper.dll

usw, usw???

Wie veranstalte ich eine: „ Aktiviere die Systemwiederherstellung?

Alt 21.10.2004, 05:35   #13
Shadowdance
 
Mein erster Log!? - Standard

Mein erster Log!?



@ carlos

Zitat:
Wie veranstalte ich eine: „ Aktiviere die Systemwiederherstellung?
.. garnicht. Bei win98 geht das nicht. Aber ich komme ab und an durcheinander, weil die meisten User winXP haben, und die müssen genau das machen ;-)

Sei so nett, erstelle ein weiteres Hijack This Logfile und poste es.

SD

Alt 21.10.2004, 17:39   #14
carlos
 
Mein erster Log!? - Standard

Mein erster Log!?



Hallo Shadowdance,

der Report an detections@spybot.info ist raus.

Mein Log, meine Viren.....

Logfile of HijackThis v1.98.2
Scan saved at 17:31:33, on 21.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\ONLINE\NETLAUNCH\LAUNCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\ADOBE\ACROBAT 4.0\DISTILLR\ACROTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\MSOFFICE.EXE
C:\PROGRAMME\OLYMPUS\CAMEDIA MASTER 4.1\CM_CAMERA.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?tgyim about:blank (obfuscated)
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [NetLaunch] C:\ONLINE\NETLAUNCH\LAUNCH.EXE
O4 - HKLM\..\Run: [PowerQuest Startup-Dienstprogramm] C:\Programme\PowerQuest\MagicMover\PQInit.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O18 - Filter: text/html - {D717C060-5340-11D8-AE38-444553540000} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

File C:\WINDOWS\cep1dun.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Q9169280.exe tagged as not-a-virus:PornWare.Dialer.Pormd. No Action Taken.
File C:\WINDOWS\Q7547499.exe tagged as not-a-virus:PornWare.Dialer.Pormd. No Action Taken.
File C:\WINDOWS\SYSTEM\EGCOMLIB_1031.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1031. No Action Taken.
File C:\WINDOWS\SYSTEM\EGCOMLIB2.dll tagged as not-a-virus:PornWare.Dialer.InstantAccess. No Action Taken.

Alt 21.10.2004, 17:53   #15
chaosman
 
Mein erster Log!? - Standard

Mein erster Log!?



@carlos
dein log schaut sauber aus,
diese dateien würde ich auf eine diskette sichern als beweismittel
C:\WINDOWS\cep1dun.exe
C:\WINDOWS\Q9169280.exe
C:\WINDOWS\Q7547499.exe
C:\WINDOWS\SYSTEM\EGCOMLIB_1031.dll
C:\WINDOWS\SYSTEM\EGCOMLIB2.dll

danach in den abgesicherten modus diesen dateien manuell löschen
chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Mein erster Log!?
acrobat, adobe, bho, bla, center, control center, explorer, hijack, hijackthis, internet, internet explorer, launch, log, löschen, löschen?, microsoft, obfuscated, office, olympus, online, programme, registry, rundll, services, software, start, system, temp, träge, webdialer, windows, windows\temp



Ähnliche Themen: Mein erster Log!?


  1. Erster Kratzer für Kryptoalgorithmus AES
    Nachrichten - 17.08.2011 (0)
  2. Mein erster Logfile ist alles ok?
    Log-Analyse und Auswertung - 14.01.2010 (3)
  3. Erster Zero-Day-Exploit für Firefox 3.5
    Nachrichten - 14.07.2009 (0)
  4. erster post und leider ein problem
    Plagegeister aller Art und deren Bekämpfung - 16.11.2008 (8)
  5. Windows XP - Mein erster Virus der den Scanner überstanden hat, und ein harter... :(
    Plagegeister aller Art und deren Bekämpfung - 29.05.2008 (7)
  6. so mein erster log und hab kein plan what it means
    Mülltonne - 17.11.2007 (0)
  7. Erster Programmstart sehr langsam
    Log-Analyse und Auswertung - 30.05.2007 (3)
  8. Mein erster Logfile - könnt ihr das mal checken?
    Log-Analyse und Auswertung - 18.02.2007 (1)
  9. Hilfe, mein erster Virus.
    Plagegeister aller Art und deren Bekämpfung - 02.05.2006 (9)
  10. Mein erster Scan
    Log-Analyse und Auswertung - 22.08.2005 (29)
  11. Mein erster Scan, brauche Hilfe
    Log-Analyse und Auswertung - 16.08.2005 (8)
  12. Mein erster HiJackThis log ...
    Log-Analyse und Auswertung - 23.07.2005 (1)
  13. Mein erster Highjackthis Logfile
    Log-Analyse und Auswertung - 02.01.2005 (2)
  14. mein erster virus
    Plagegeister aller Art und deren Bekämpfung - 15.04.2003 (8)
  15. Erster Teil geschaft :D
    Alles rund um Mac OSX & Linux - 04.11.2002 (4)

Zum Thema Mein erster Log!? - Hallo, habe gestern meinen ersten Log gemacht, und es sieht unterirdisch aus. Fünf ungeschützte Jahre sind nicht ohne Spuren geblieben. EliteBar, coolsearch usw, usw! Wer kann mir helfen?? Kann man - Mein erster Log!?...
Archiv
Du betrachtest: Mein erster Log!? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.