Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: easy-search.biz

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.10.2004, 15:41   #1
MrRockIt
 
easy-search.biz - Icon23

easy-search.biz



Auch ich habe mir diesen Virus eingefangen.
Er ändert wie bekannt meine Startseite (ad-aware und co sind machtlos...)
außerdem werden meine proxy-einstellungen geändert (auch hier können ad-aware etc nichts tun)
desweiteren stürzt der Rechner alle halbe Stunde mal ab...

Vielen Dank im vorraus
und
...SHOOT IT TILL IT BLEEDS...


So sieht mein Hijack-logfile aus::



Logfile of HijackThis v1.98.2
Scan saved at 15:22:07, on 29.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\KEN!\kentbcli.exe
D:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
D:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\lssas.exe
C:\WINDOWS\mservice.exe
C:\WINDOWS\iau.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Hijack This\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {63480817-9C3F-4B95-9627-6BD065EE328F} - C:\WINDOWS\System32\khg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - D:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NetPumper] "D:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Programme\Gemeinsame Dateien\TerraTec\Scheduler\TTTimer.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKLM\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKLM\..\Run: [Games Acceleration] svshost.exe
O4 - HKLM\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe
O4 - HKCU\..\Run: [Internet Connection Wizard] stisvsq.exe
O4 - HKCU\..\Run: [Games Acceleration] svshost.exe
O4 - HKCU\..\Run: [Internet Mail and News] msqdevl.exe
O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe
O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe

Alt 29.10.2004, 16:45   #2
chaosman
 
easy-search.biz - Standard

easy-search.biz



@MrRockIt
dein system ist nicht auf den neuesten stand, bitte sofort updaten
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)


du hast der hier im system
http://uk.trendmicro-europe.com/ente...BOT.YT&VSect=T
C:\WINDOWS\svshost.exe

überprüfe diese dateien online
http://virusscan.jotti.org/de
C:\WINDOWS\stisvsq.exe
C:\WINDOWS\svshost.exe
C:\WINDOWS\msqdevl.exe
C:\WINDOWS\lssas.exe
C:\WINDOWS\mservice.exe
C:\WINDOWS\iau.exe
und poste das ergebnis

chaosman
__________________

__________________

Alt 30.10.2004, 14:41   #3
MrRockIt
 
easy-search.biz - Standard

easy-search.biz



Danke erstmal chaosman (bleib am Ball )
Die Dateien sind wohl alle infiziert. Ich habe versucht sie zu löschen, was unmöglich ist da sich ständig erneuern.
SVCHOST.EXE wird 5 mal als Prozess angezeigt,
2 mal ist der Benutzername SYSTEM;
1 mal NETZWERKDIENST;
1 mal LOKALER DIENST;
1 mal der Name des PCs...
Was bedeutet das, dass der Prozess 5 mal da ist?
Die anderen Dateien werden ebenfalls als Prozesse angezeigt und sind ebenfalls nicht zu löschen.
Ärgerlich ist auch das sie zusammen ca. 50MB Speicher belegen.

Hier sind erstmal die Ergebnisse des Scans der vorgeschlagenen Seite::

File: stisvsq.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (1.21 seconds taken)
Avast No viruses found (4.55 seconds taken)
BitDefender Trojan.Spy.Small.BJ (2.59 seconds taken)
ClamAV Trojan.Startpage-104 (6.21 seconds taken)
Dr.Web Trojan.Gamesas (8.57 seconds taken)
F-Prot Antivirus W32/Small.P@bd (0.66 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (9.41 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (3.24 seconds taken)
NOD32 No viruses found (5.63 seconds taken)
Norman Virus Control No viruses found (7.15 seconds taken)

File: svshost.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (4.52 seconds taken)
Avast No viruses found (1.62 seconds taken)
BitDefender Trojan.Spy.Small.BJ (8.95 seconds taken)
ClamAV Trojan.Startpage-104 (16.16 seconds taken)
Dr.Web Trojan.Gamesas (17.20 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.79 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (18.52 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (6.51 seconds taken)
NOD32 No viruses found (10.82 seconds taken)
Norman Virus Control No viruses found (7.69 seconds taken)

File: msqdevl.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (4.85 seconds taken)
Avast No viruses found (13.75 seconds taken)
BitDefender Trojan.Spy.Small.BJ (9.90 seconds taken)
ClamAV Trojan.Startpage-104 (9.32 seconds taken)
Dr.Web Trojan.Gamesas (6.92 seconds taken)
F-Prot Antivirus W32/Small.P@bd (0.38 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (5.13 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (1.61 seconds taken)
NOD32 No viruses found (2.61 seconds taken)
Norman Virus Control No viruses found (3.53 seconds taken)

File: lssas.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (7.14 seconds taken)
Avast No viruses found (5.98 seconds taken)
BitDefender Trojan.Spy.Small.BJ (7.84 seconds taken)
ClamAV Trojan.Startpage-104 (9.54 seconds taken)
Dr.Web Trojan.Gamesas (12.70 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.00 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (14.12 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (6.02 seconds taken)
NOD32 No viruses found (11.52 seconds taken)
Norman Virus Control No viruses found (10.35 seconds taken)

File: mservice.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Small.UV.3 (2.45 seconds taken)
Avast No viruses found (2.42 seconds taken)
BitDefender Trojan.Spy.Small.BJ (7.64 seconds taken)
ClamAV Trojan.Startpage-104 (9.12 seconds taken)
Dr.Web Trojan.Gamesas (12.68 seconds taken)
F-Prot Antivirus W32/Small.P@bd (1.07 seconds taken)
Kaspersky Anti-Virus TrojanSpy.Win32.Small.bj (13.92 seconds taken)
mks_vir Trojan.Trojanspy.Small.Bj (5.71 seconds taken)
NOD32 No viruses found (12.18 seconds taken)
Norman Virus Control No viruses found (10.39 seconds taken)



Gleich werde ich Windows XP und den IE updaten.
Wie soll ich dann vorgehen um den Wurm zu entfernen?
__________________

Alt 30.10.2004, 17:37   #4
*Christian*
Gast
 
easy-search.biz - Standard

easy-search.biz



Kannst du mal eine Datei in ein Archiv packen, mit Passwort versehen und an partytime-germany.ice@web.de schicken?
Danke.


Ich empfehle dir jedoch dies:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Alt 30.10.2004, 19:53   #5
MrRockIt
 
easy-search.biz - Standard

easy-search.biz



Das hört sich aber nicht gut an alles neu zu installieren da ich das erst vor 3 Wochen gemacht habe.......
Gibt es keine andere Möglichkeit den Wurm loszuwerden???
Wozu soll ich dir eine der Dateien schicken??? was ich natürlich machen könnte...


Alt 30.10.2004, 20:10   #6
Haui45
 
easy-search.biz - Standard

easy-search.biz



Wenn du es erst vor drei Wochen neu installierst hast, dann müsste es doch möglich sein dies zu wiederholen und wenn du dich an die Anleitung von *Christian* hältst dürfte es auch das vorerst letzte Mal sein. Neuinstallation wegen dem Wurm Agobot und seinen Backdoorfunktionen.



Zitat:
* Update the malware via HTTP and FTP
* Steal CD keys of game applications
* Execute a file
* Download file via HTTP and FTP
* Open a command shell
* Open files
* Display the driver list
* Get screen capture
* Capture pictures and video clips
* Display NETINFO
* Make the bot join a channel
* Stop and start a thread
* List all running process
* Rename a file
* Generate a random nickname
* Perform different kinds of DDoS (distributed denial of service) attacks
* Retrieve and clear log files
* Terminate the bot
* Disconnect the bot from IRC
* Send a message to the IRC server
* Let the bot perform mode change
* Change bot ID
* Display connection type, local IP address and other NET information
* Log on/log off the user
* Issue ping attack against a target machine
* Log keystrokes
einige Infos was der alles kann, von der von chaosman verlinkten Seite

Du sollst ihm die Datei imo zu Forschungszwecken schicken.

Alt 30.10.2004, 20:21   #7
MrRockIt
 
easy-search.biz - Standard

easy-search.biz



Was der Wurm alles kann ist mir auch klar, darum möchte ich ihn ja möglichst schnell weghaben.

Wenn dies wirklich nur per Neuinstallation machbar ist, so werde ich das wohl tun, habe halt gehofft das es auch ohne geht...

Welche der infizierten Dateien willst du haben *Christian*????

Alle? Eine? Eine bestimmte?

Bitte Beeilung sonst sind se bald gelöscht und aufheben will ich die nicht...

Alt 31.10.2004, 13:44   #8
*Christian*
Gast
 
easy-search.biz - Standard

easy-search.biz



Na irgendeine. Die sind ja alle mit der gleichen Malware infiziert.

Alt 31.10.2004, 18:43   #9
MrRockIt
 
easy-search.biz - Standard

easy-search.biz



Hallo @ all,

macht euch nicht mehr die Mühe zu helfen. Das Problem hat sich in Luft aufgelöst nachdem ich alles neu installiert hatte, weil gar nichts mehr ging...

thanks...

Antwort

Themen zu easy-search.biz
ad-aware, adobe, bho, boot, button, check, dateien, dll, download, explorer, file missing, hijack this, hijackthis, internet, internet explorer, microsoft, nvcpl.dll, office, programme, rundll, seite, software, sun java, system, system32, virus, windows, windows xp



Ähnliche Themen: easy-search.biz


  1. Easy Speed PC und VuuPC
    Plagegeister aller Art und deren Bekämpfung - 01.08.2014 (11)
  2. Easy-Box wird angegriffen!
    Überwachung, Datenschutz und Spam - 06.01.2014 (6)
  3. Search.EasyLifeApp.com bzw. Easy Life entfernen
    Anleitungen, FAQs & Links - 02.12.2013 (2)
  4. Easy Scan Entfernung
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (9)
  5. easy scan/ Otl
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (12)
  6. Problem mit easy-search und Message Boxen
    Log-Analyse und Auswertung - 18.04.2005 (3)
  7. easy-search.biz
    Log-Analyse und Auswertung - 27.03.2005 (9)
  8. easy search
    Log-Analyse und Auswertung - 27.03.2005 (3)
  9. Easy-search.biz
    Log-Analyse und Auswertung - 14.03.2005 (1)
  10. Easy-Search als Startseite
    Log-Analyse und Auswertung - 11.11.2004 (3)
  11. http//easy-search.biz Hilfe!!!
    Log-Analyse und Auswertung - 10.11.2004 (8)
  12. easy-search.biz überschreibt IE Startseite
    Log-Analyse und Auswertung - 25.08.2004 (3)
  13. Wie krieg ich Casino Palazzo weg! Easy search ließ sich wegfixen
    Log-Analyse und Auswertung - 12.08.2004 (8)
  14. easy-search.biz
    Log-Analyse und Auswertung - 23.07.2004 (4)
  15. easy-search.biz u. casino palazzo verseucht
    Plagegeister aller Art und deren Bekämpfung - 16.07.2004 (17)
  16. W32.Aspam + Easy Search
    Log-Analyse und Auswertung - 15.07.2004 (5)
  17. Hijack durch easy-search.biz
    Plagegeister aller Art und deren Bekämpfung - 06.06.2004 (4)

Zum Thema easy-search.biz - Auch ich habe mir diesen Virus eingefangen. Er ändert wie bekannt meine Startseite (ad-aware und co sind machtlos...) außerdem werden meine proxy-einstellungen geändert (auch hier können ad-aware etc nichts tun) - easy-search.biz...
Archiv
Du betrachtest: easy-search.biz auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.