|
Log-Auswertung? Hallo, es wär prima, wenn jemand mal mein log auswerten würde. Hab leider wenig Ahnung von Spyware/Trojaner etc., da es mich nun zum ersten Mal heftiger erwischt hat, fragt sich nur woher. Ich habs schon mit herkömmlichen Spyware-Software versucht, aber vergeblich. Dieser CoolblablaSearch lässt damit nicht entfernen. Und wer weiß was noch alles drauf. Daher versuche ich hier mal Hilfe zu bekommen. Also vielen Dank schon mal für Tipps! Log: Logfile of HijackThis v1.99.1 Scan saved at 10:56:03, on 05.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Audio-Programme\Winamp\Winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\WINDOWS\System32\DTSTA.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\kernels32.exe C:\winstall.exe C:\WINDOWS\System32\symcsvc.exe C:\WINDOWS\System32\vxh8jkdq2.exe D:\Internet-Programme\ZoneAlarm\zonealarm.exe C:\WINDOWS\System32\vxh8jkdq2.exe C:\WINDOWS\System32\vxh8jkdq6.exe C:\WINDOWS\System32\vxh8jkdq7.exe C:\WINDOWS\system32\init32m.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\System-Programme\WinRAR 3\WinRAR.exe C:\DOKUME~1\*\LOKALE~1\Temp\Rar$EX00.337\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [l]h++p://abosearch.com/sp.html[/url] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [l]h++p://abosearch.com/index.html[/url] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [l]h++p://www.manager-magazin.de/[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = []h++p://abosearch.com/sp.html[/url] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [l]h++p://abosearch.com/index.html[/url] R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1 F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik-Programme\Adobe-Reader 6\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [WinampAgent] "D:\Audio-Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe O4 - Global Startup: ZoneAlarm.lnk = D:\Internet-Programme\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 67.19.178.84 O15 - Trusted IP range: 67.19.178.84 (HKLM) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [l]http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab[/url] O17 - HKLM\System\CCS\Services\Tcpip\..\{C33C8E07-5748-4A7A-BBA7-5A2695482BA2}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{EE84D9E5-DC5E-49DA-812C-BA1927B16A0B}: NameServer = 192.168.2.1 O21 - SSODL: System - {412322EA-FE30-41B5-AD4E-AA0FCE765E6B} - vr_sys.dll (file missing) O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Du hast einiges auf dem Rechner. Der Grund ist u.a ein unaktuelles und ungepatchtes System. Logfile of HijackThis v1.99.1 Scan saved at 10:56:03, on 05.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Programm laden und ausführen: http://www.derbilk.de/404.html Danach installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. Lade und update Ad-aware, update Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Anschliessend mache den escan. Poste das mit der find.bat erzeugte Log. http://www.trojaner-board.de/showthread.php?t=17492 |
Hi, danke erstmal für die schnelle Hilfe. Hab soweit alles gemacht, auch wenn es einige Probleme gab. Mit dem escan hat nicht so geklappt wie beschrieben mit dem entpacken und vorallem mit dem Verzeichnis. Aber kein problem. Dann hab ich den escan gemacht unde der hat gut was gefunden. Anschließend find.bat, wo ich erstmal die Pfade anpassen musste, da beim entpacken das verzeichnis c:\base_x oder so nicht angelegt wurde. Aber auch kein Problem denke ich. In der ...alt-Datei (es wurde keine .neu erzeugt) wurde nix gefunden, dann hab sicherheitshalber in der MWAV.LOG selbst gesucht und auch nix gefunden. Wundert mich aber, da escan im Durchlauf einiges gefunden hat. Was mach ich nun? Hab nochmal spybot drüberlaufen lassen und der findet den cool-..... immer noch sowie spy-sheriff. Zu meinem System: Das Windows läuf jetzt schon 3 jahre und deswegen hat sich einiges an Müll angesammelt. Daher wollte ich eigentlich in den nächsten 2 Wochen alles neu aufsetzen und nun passiert mir in den letzten Tagen sowas! Ich hab deswegen keine patches etc. installiert, weil alles immer 1a lief und ich nix ändern wollte. Hatte wie gesagt auch nie noch Probleme mit Spy/Trojaner und so. Soviel dazu. Ich fahr jetzt übers WE weg und kann wohl erst wieder Montag antworten. Nochmal vielen Dank für die Hilfe. |
Hallo Unterhändler, der Ordner "C:\bases_x" wird beim Entpacken nicht angelegt, sondern muss vorher von Dir erstellt werden! Eine Neuinstalltion ist Dir IMHO anzuraten, da sich da zahlreiche Trojan-Downloader tummeln. Wer weiss was die bereits nachgeladen haben. Hier eine empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 dartus |
Wie ´gesagt, werd eh alles in entsprechender Weise neu installieren. Will aber natürlich nicht bis dahin mit diesem Scheiß arbeiten. Mit dem Verzeichnis hat ja geklappt, aber lief halt nicht rund. SO, ich meld mich dann am Montag nochmal. |
Hallo, ich hab nochmal alles durchlaufen lassen und es wurde einiges gefunden. Ich bin echt erstaunt wieviel! Hab aber trotzdem keinerlei Einschränkungen oder sonstwas bemerkt. Bitte um Hilfe diesen Mist wegzubekommen. Hier das Log von escan: => Datei C:\winstall.exe infiziert von "not-virus:Hoax.Win32.Renos.j" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\System32\vxh8jkdq2.exe infiziert von "not-virus:Hoax.Win32.Renos.j" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-50a67b1c-241810a9.zip infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-28222fd8-78baef3c.zip infiziert von "Exploit.Java.ByteVerify" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx1.game infiziert von "Trojan-Dropper.Win32.Small.acg" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx2.game infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx3.game infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx4.game infiziert von "Trojan-Clicker.Win32.Tiny.c" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vxt1.game infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vxt2.game infiziert von "Trojan.Win32.LowZones.y" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JK345O7\latest[1].exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\loader.exe infiziert von "Trojan-Downloader.Win32.Tibs.h" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\msxmidi.exe infiziert von "Trojan.Win32.StartPage.tp" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system\Loader.dll infiziert von "Trojan-Downloader.Win32.Agent.li" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system\svchost.dll infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system\svchosthook.dll infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\abc.exe infiziert von "Trojan-PSW.Win32.LdPinch.os" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\abirvalg32.dll infiziert von "Trojan-Proxy.Win32.Small.cn" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\abc.exe infiziert von "Trojan-PSW.Win32.LdPinch.os" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\abirvalg32.dll infiziert von "Trojan-Proxy.Win32.Small.cn" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\cssrs.exe infiziert von "Trojan-PSW.Win32.PdPinch.gen" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\init32m.exe infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\latest.exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\maxd1.exe infiziert von "Trojan.Win32.Dialer.ht" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgame1.exe infiziert von "Trojan-Dropper.Win32.Small.acg" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgame2.exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgame3.exe infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgame4.exe infiziert von "Trojan-Clicker.Win32.Tiny.c" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgamet1.exe infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxgamet2.exe infiziert von "Trojan.Win32.LowZones.y" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxh8jkdq1.exe infiziert von "Trojan-Downloader.Win32.Small.bdz" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxh8jkdq5.exe infiziert von "Trojan-Downloader.Win32.Small.awa" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxh8jkdq6.exe infiziert von "Trojan-Downloader.Win32.Small.aux" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxh8jkdq7.exe infiziert von "Trojan-Downloader.Win32.Small.atl" Virus. Aktion vorgenommen: No Action Taken. => Datei C:\WINDOWS\system32\vxh8jkdq8.exe infiziert von "Trojan-Downloader.Win32.Small.bdz" Virus. Aktion vorgenommen: No Action Taken. |
Hallo Unterhändler, Zitat:
http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:45 Uhr. |
Copyright ©2000-2025, Trojaner-Board