Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Brauche Hilfe gegen exdl.exe und mqexdl

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2004, 12:32   #1
erwo
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo Ihr!

Ich habe mir die oben genannten Dateien eingefangen, löschen ist kein Problem, aber nach dem Neustart sind die wieder da. Aber was erzähle ich Euch, Ihr wisst es ja....

Kann mir jemand helfen, damit ich den Mist wieder los werde?

Vielen Dank

Logfile of HijackThis v1.98.2
Scan saved at 13:26:07, on 16.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Xenia\OServer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Xenia\Dll\XenoSpool36.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sparkasse-detmold.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zinit32] C:\WINNT\ZInit32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Xenia Server.lnk = C:\Xenia\OServer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://activex.webcam.nl/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{969C0970-7B1D-4F29-9F8B-9EB304247D61}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225

Alt 16.11.2004, 13:19   #2
Shadowdance
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo erwo,

überprüfe bitte mit virusscan.jotti.dhs.org:

C:\Xenia\OServer.exe
C:\Xenia\Dll\XenoSpool36.exe
C:\WINNT\ZInit32.exe

teile uns das Ergebnis mit und sende die Dateien, die infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread.

Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst:

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - h**p://static.topconverting.com/activex/loader2.ocx
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://activex.webcam.nl/AxisCamControl.cab

Boote in den normalen Modus.

Prüfe Deinen Rechner mit dem eScan, laut Anleitung, bitte sehr genau durchlesen. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD
__________________


Alt 16.11.2004, 19:43   #3
erwo
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo, schon mal vielen Dank bis hier hin!!!!

die Dateien
Xenia\OServer.exe
Xenia\DLL\XenoSpool36.exe
Winnt\ZInit32.exe

sind nicht befallen und werden gebraucht. (Xeno Data Karlsruhe, Agenda Software)

Die beiden anderen Zeilen habe ich mit Hijack This entfernt.


Der escan brachte viel Müll hervor:

Hier die Zeilen aus der mwav.log
Tue Nov 16 19:04:33 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

Tue Nov 16 19:20:50 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Tue Nov 16 19:20:50 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR

Tue Nov 16 19:20:50 2004 => File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken.

Tue Nov 16 19:20:51 2004 => File C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by "TrojanDropper.VBS.Balala.b" Virus. Action Taken: No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by "I-Worm.Sober.e" Virus. Action Taken: No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by "Worm.Win32.Lovesan.a" Virus. Action Taken: No Action Taken.

Tue Nov 16 19:38:59 2004 => File C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: No Action Taken.

Tue Nov 16 20:00:20 2004 => C:\WINNT\O possibly infected and removed by background antivirus package!

Tue Nov 16 20:00:20 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

Tue Nov 16 20:05:33 2004 => Total Files Scanned: 80267
Tue Nov 16 20:05:33 2004 => Total Virus(es) Found: 35
Tue Nov 16 20:05:33 2004 => Total Disinfected Files: 0
Tue Nov 16 20:05:33 2004 => Total Files Renamed: 0
Tue Nov 16 20:05:33 2004 => Total Deleted Files: 0
Tue Nov 16 20:05:33 2004 => Total Errors: 90
Tue Nov 16 20:05:33 2004 => Time Elapsed: 01:02:12
Tue Nov 16 20:05:33 2004 => Virus Database Date: 2004/11/16
Tue Nov 16 20:05:33 2004 => Virus Database Count: 109602

Tue Nov 16 20:05:33 2004 => Scan Completed.

Hier die Zeilen aus der mwxface.log
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:45:843 :ModuleName = C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\mwavscan.com
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:45:843 :WARNING!!! "Autokey" Not Found
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :TimeOut : ffffffff
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:46:828 :Priority : NORMAL
[msvLclnt.dll] [0x000001ec] 16/11/2004 19:02:47:234 :VirusCount = 109602 Latest Date = 2004/11/16
[msvLclnt.dll] [0x00000128] 16/11/2004 19:03:49:640 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:04:36:109 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:13:875 :[00000001] File C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:14:140 :[00000001] File C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:14:203 :[00000001] File C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:28:062 :[00000001] File C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:32:203 :[00000001] File C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:05:45:500 :[00000001] File C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:06:01:812 :[00000001] File C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:07:01:156 :[00000001] File C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p
[msvLclnt.dll] [0x00000128] 16/11/2004 19:07:09:296 :[00000001] File C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p
[msvLclnt.dll] [0x00000128] 16/11/2004 19:17:45:015 :[00000001] File C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p
[msvLclnt.dll] [0x00000128] 16/11/2004 19:17:53:890 :[00000001] File C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p
[msvLclnt.dll] [0x00000128] 16/11/2004 19:20:50:953 :[00000001] File C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions
[msvLclnt.dll] [0x00000128] 16/11/2004 19:20:51:046 :[00000001] File C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:359 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 infected by not-a-virus:PornWare.Dialer.ALifeDialer
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:437 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by TrojanDropper.VBS.Balala.b
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:609 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by I-Worm.Sober.e
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:812 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by I-Worm.NetSky.q
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:875 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by Worm.Win32.Lovesan.a
[msvLclnt.dll] [0x00000128] 16/11/2004 19:38:59:953 :[00000001] File C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by TrojanDownloader.Win32.Ladder
[msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:421 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc15.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:546 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc16.srg infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:734 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc18.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:40:52:859 :[00000001] File C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc19.srg infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:54:55:390 :[00000001] File C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:57:42:437 :[00000001] File C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:57:44:078 :[00000001] File C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:57:44:187 :[00000001] File C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:57:58:625 :[00000001] File C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f
[msvLclnt.dll] [0x00000128] 16/11/2004 19:58:02:437 :[00000001] File C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:58:17:218 :[00000001] File C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 19:58:38:000 :[00000001] File C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n
[msvLclnt.dll] [0x00000128] 16/11/2004 20:05:33:453 :VirusCount = 109602 Latest Date = 2004/11/16



Das sieht nach noch viel Arbeit aus.

Bis bald wieder

Erhard
__________________

Alt 16.11.2004, 22:56   #4
Shadowdance
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo erwo,

wenn man weiss wie, ist das garnicht soviel Arbeit:

Tue Nov 16 19:04:33 2004 => File C:\WINNT\O infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken. ---> das sagt mir nichts ;-( Einen "BkCln.Unknown" Virus kenne ich nicht und finde ich nicht ...

Zitat:
Tue Nov 16 20:05:33 2004 => Total Virus(es) Found: 35
Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf - damit müsste dann auch der Inhalt des Ordners C:\Programme\AVPersonal\INFECTED\*.* gelöscht sein:

C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p
C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p
C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\down.cab infected by not-a-virus:AdWare.Wintol.p
C:\Dokumente und Einstellungen\Erhard Wolf\Lokale Einstellungen\Temp\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p


C:\Programme\AVPersonal\INFECTED\ANYZ.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions
C:\Programme\AVPersonal\INFECTED\XSJQHMB.EXE.TMP.VIR infected by not-a-virus:AdWare.180Solutions


C:\Programme\Norton AntiVirus\Quarantine leeren:

C:\Programme\Norton AntiVirus\Quarantine\0EAB13A6 infected by not-a-virus:PornWare.Dialer.ALifeDialer
C:\Programme\Norton AntiVirus\Quarantine\1DF1344F.htm infected by TrojanDropper.VBS.Balala.b
C:\Programme\Norton AntiVirus\Quarantine\4359334E infected by I-Worm.Sober.e
C:\Programme\Norton AntiVirus\Quarantine\45C741CB infected by I-Worm.NetSky.q
C:\Programme\Norton AntiVirus\Quarantine\527037A0 infected by Worm.Win32.Lovesan.a
C:\Programme\Norton AntiVirus\Quarantine\7763233B infected by TrojanDownloader.Win32.Ladder


C:\RECYCLER - leeren:

C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc15.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc16.srg infected by not-a-virus:AdWare.BargainBuddy.n
C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc18.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\RECYCLER\S-1-5-21-1993962763-1383384898-839522115-1000\Dc19.srg infected by not-a-virus:AdWare.BargainBuddy.n


--> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen:" (Cidre)

C:\WINNT\system32\angelex.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\exdl.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\exul.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\exul1.exe infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\instsrv.exe infected by not-a-virus:RiskWare.Tool.ServiceRunner.f
C:\WINNT\system32\javexulm.vxd infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\mqexdlm.srg infected by not-a-virus:AdWare.BargainBuddy.n
C:\WINNT\system32\netut80ex.vxd infected by not-a-virus:AdWare.BargainBuddy.n


Einträge unter "not-a-virus:Tool.Win32.Reboot." brauchen nicht gelöscht zu werden.

Erstelle ein neues Hijack This Logfile und poste es.

SD

Alt 17.11.2004, 09:45   #5
erwo
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo und Danke!

Ich glaube ich bin alles los.

Nach einem Neustart und einem erneuten scan mit escan war nur noch die Meldung C:\winnt\O . Die habe ich dann selbst gelöscht.
Nun kommt nur noch die Meldung 85 Errors, da versucht er wohl auf nicht mehr vorhandene Dateien zuzugreifen (vielleicht noch in der Registry?).

Was mache ich nun in der Zukunft?
Vor knapp zwei Jahren habe ich Norton Anti Virus gekauft, da läuft im Dezember das Abo für die Updates ab. Das Programm fragt schon immer nach einer Verlängerung.

AntiVir Guard habe ich aus dem Internet geladen. Dieser hat noch Bedrohungen gefunden, die Norton nicht feststellte. Soll ich damit in Zukunft arbeiten?

Soll ich sonst lieber regelmäßig einen escan machen.
Spybot S & D nutze ich schon länger.

Und hier noch die Log.File
Logfile of HijackThis v1.98.2
Scan saved at 10:12:29, on 17.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Xenia\OServer.exe
C:\Xenia\Dll\XenoSpool36.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Download\hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sparkasse-detmold.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zinit32] C:\WINNT\ZInit32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ERHARD~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Xenia Server.lnk = C:\Xenia\OServer.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{969C0970-7B1D-4F29-9F8B-9EB304247D61}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2217B048-BF82-4908-9965-75137C720D10}: NameServer = 217.237.149.161 217.237.151.225

Wie kommt es, dass Du Dich so gut auskennst und Deine Zeit nutzt, solchen wir mir zu helfen?

Vielen, vielen Dank.

Erhard


Alt 17.11.2004, 12:57   #6
Shadowdance
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Hallo erwo,

bitte überprüfe diese Dateien trotzdem Du sie kennst und brauchst mit virusscan.jotti.dhs.org:

C:\WINNT\ZInit32.exe
C:\Xenia\Dll\XenoSpool36.exe
C:\Xenia\OServer.exe

teile uns das Ergebnis der Überprüfung mit und sende bitte diese Dateien, wenn sie infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - warte bitte das Ergebnis ab.

Zitat:
Was mache ich nun in der Zukunft?
Vor knapp zwei Jahren habe ich Norton Anti Virus gekauft, da läuft im Dezember das Abo für die Updates ab. Das Programm fragt schon immer nach einer Verlängerung.
Auf der Seite PC-Sicherheit findest Du einige gute AV-Programme.

Zitat:
Soll ich sonst lieber regelmäßig einen escan machen.
Das ist sicher nicht verkehrt, aber vergiss nicht, den eScan vorher zu updaten. Der eScan allein reicht aber nicht unbedingt als AntiVirenprogramm aus, da er keine Wächterfunktion hat. Er dient mehr als eine Art Generalprüfung des Rechners.

Zitat:
Spybot S & D nutze ich schon länger.
Lade Dir noch zusätzlich andere Tools zur Hijacker-Entfernung runter: "Ad-Aware 6 Personal" und ergreife weitere Vorbeugende Maßnahmen, als da wären ein Browser-Wechsel und "SpywareBlaster".

Lies Dich hier ein:

- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de

Zitat:
Wie kommt es, dass Du Dich so gut auskennst und Deine Zeit nutzt, solchen wir mir zu helfen?
Internet-Security ist eines meiner Hobby's. Alles was man gern tut, versucht man gründlich und gut zu machen. Wir sind hier eine Gruppe von Idealisten, denen es Spass macht, zu lernen und anderen zu helfen.

Viel Erfolg weiterhin und lieben Gruss
Shadowdance

Alt 17.11.2004, 13:18   #7
erwo
 
Brauche Hilfe gegen exdl.exe und mqexdl - Standard

Brauche Hilfe gegen exdl.exe und mqexdl



Habe alle drei Dateien prüfen lassen, die sind OK und Packer detected: none!

Vielen Dank auch für den Rest.

Wenn es meine Zeit erlaubt, werde ich mir alle angesprochen Seiten anschauen und somit hoffentlich auch mehr Sicherheit bekommen.

Ein großes Lob nochmals.

Das trojander-board werde ich bestimmt noch häufiger besuchen, auch wenn nichts aktuell schief gegangen ist.
Ich habe nun eine Menge gelernt und es ist bestimmt interessant, mal den ein oder anderen Bericht zu lesen, auch wenn vieles noch unbekannt ist.

Viele Grüße

Erhard

Antwort

Themen zu Brauche Hilfe gegen exdl.exe und mqexdl
adobe, antivirus, bho, brauche hilfe, dateien, dll, download, excel, explorer, fritz!, google, hijack, hijackthis, hilfe, internet, internet explorer, löschen, microsoft, neustart, outlook express, problem, programme, security, security center, software, symantec, system, tcpip, windows



Ähnliche Themen: Brauche Hilfe gegen exdl.exe und mqexdl


  1. Vermute Fremdzugriff, brauche Hilfe ! Wie sichere ich mich gegen Hacker sicher ab und wie finde ich restlos alle Viren ?
    Plagegeister aller Art und deren Bekämpfung - 30.01.2013 (3)
  2. Hilfe! GVU/BKA Trojaner eingefangen, ich brauche Hilfe dabei den Mist von meinem Lappi runter zu bekommen!
    Log-Analyse und Auswertung - 27.11.2012 (1)
  3. brauche hilfe gegen bundestrojaner.....
    Log-Analyse und Auswertung - 24.06.2012 (2)
  4. Brauche Hilfe gegen scvhost.exe
    Log-Analyse und Auswertung - 23.01.2008 (7)
  5. Brauche Hilfe gegen Win32.Trojan-PSW.Lineage
    Plagegeister aller Art und deren Bekämpfung - 16.01.2008 (11)
  6. Brauche Hilfe gegen Adware (popups etc)
    Plagegeister aller Art und deren Bekämpfung - 11.11.2007 (2)
  7. Brauche Hilfe gegen Trojan.KillAV
    Plagegeister aller Art und deren Bekämpfung - 07.10.2007 (18)
  8. hilfe!! trojaner.w32.looksky brauche hilfe
    Mülltonne - 03.10.2007 (0)
  9. Hilfe! EXP/Agent.B Brauche dringent Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 02.12.2006 (8)
  10. Brauche Hilfe gegen einen Trojaner (VirusBursters)
    Log-Analyse und Auswertung - 15.11.2006 (4)
  11. Brauche Hilfe gegen "Virusburst"
    Log-Analyse und Auswertung - 05.09.2006 (4)
  12. Brauche hilfe gegen HIJackers !
    Log-Analyse und Auswertung - 27.05.2006 (3)
  13. Brauche gutes Programm gegen Trojaner
    Antiviren-, Firewall- und andere Schutzprogramme - 09.01.2006 (6)
  14. Brauche hilfe gegen den tr/drop.small.vy.1
    Plagegeister aller Art und deren Bekämpfung - 29.05.2005 (1)
  15. Hilfe Rechner voll Spyware!! Brauche dringend HILFE!!!
    Log-Analyse und Auswertung - 03.03.2005 (1)
  16. Bitte Hilfe bei exdl.exe!
    Log-Analyse und Auswertung - 03.02.2005 (6)
  17. Brauche Hilfe im Kampf gegen coolsearch.biz!
    Log-Analyse und Auswertung - 23.11.2004 (2)

Zum Thema Brauche Hilfe gegen exdl.exe und mqexdl - Hallo Ihr! Ich habe mir die oben genannten Dateien eingefangen, löschen ist kein Problem, aber nach dem Neustart sind die wieder da. Aber was erzähle ich Euch, Ihr wisst es - Brauche Hilfe gegen exdl.exe und mqexdl...
Archiv
Du betrachtest: Brauche Hilfe gegen exdl.exe und mqexdl auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.