|
Logfile nach Wurmentfernung Hallo Leute, erstmal ein grosses Dankeschoen an alle, die sich hier so super um die armen virengeplagten Leute kuemmern, das verdient Respekt ! :daumenhoc Hab hier auch mal mein Hijackthis Logfile gepostet. Ich hatte mir vor einigen Tagen den Wurm "Win32.worm.lexi.a" eingefangen, der staendig meinen Browser umgeleitet hat. Konnte den Wurm zwar killen mit diversen Tools, aber ich weis nicht ob immer noch was da ist. Logfile of HijackThis v1.99.1 Scan saved at 12:38:41, on 19.10.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\AVPersonal\AVGUARD.EXE D:\Program Files\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe D:\WINDOWS\System32\nvsvc32.exe D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\RUNDLL32.EXE D:\Program Files\AVPersonal\AVGNT.EXE D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe D:\Program Files\AVPersonal\INETUPD.EXE D:\WINDOWS\System32\wuauclt.exe D:\Program Files\Azureus\Azureus.exe D:\Program Files\Java\jre1.5.0_05\bin\javaw.exe D:\Documents and Settings\Mr. XY\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*tp://w*ww.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVRTCLK] D:\WINDOWS\System32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [PathNvidiaTV] D:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvC pl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [nTrayFw] D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\nvappfilter.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2B6FE0C5-8BFF-440B-97EE-2FDEB86DFAF1}: NameServer = 192.168.1.1 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe |
Servus, MacGyver! Bei Deinem Nick sollte es für Dich eigentlich kein unlösbares Problem geben... :D Aber im Ernst-zu Deinem Virusfund: Da den offenbar Bitdefender gefunden hat (Dateiname winlogin.exe?) gehe ich vorerst von einer Infektion mit einem Backdoortrojaner aus! Wenn das aber der Fall gewesen ist, würde ein bloßes entfernen der Dateien die Sicherheit Deines Systems nicht garantieren! Hast Du schon alles endgültig gelöscht oder liegt in der Quarantäne Deines Scanners noch etwas herum, was man anschauen könnte. Welche Dateien hast Du gelöscht? Falls nichts mehr da ist, lass´mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an die Anleitung und wähle bei der Spracheinstellung in escan "english" sonst funktioniert die find.bat nicht. Geduld beim Scan, bei richtigen Einstellungen läuft der Scan >1 Stunde und länger. Nachtrag noch zu Schluss: Dass Dein Betriebssystem nicht einmal ein Servicepack1 (geschweige denn SP2) hat, ist heutzutage schon fast grob fahrlässig (und bitte keine Ausreden es funktioniert nicht). stupormundi |
Danke fuer deine schnelle Hilfe ! Oha, mit dem Servicepack haste natuerlich Recht, hab erst vor kurzem Win32 installiert, hatte vorher die 64er Version. Dabei hab ich wohl ETWAS vergessen *huestel*... wie peinlich... werd ich schnell mal nachinstallieren... Den Scan mach ich auch noch gleich. |
So, hab mich nun doch zu einer Neuinstallation entschlossen, musste eh mal sein. Also, hab alles so gemacht, wie auf Cidres Seite beschrieben, aber kaum bin ich fertig und mache mit escan nen Check im abgesicherten Modus --> 18 Viren gefunden !!!! :koch: :koch: :koch: Ich glaub das nicht !! Hier mal der Logfile, hoffe ihr koennt mir helfen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 14:26:12 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (common[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken. Fri Oct 21 14:26:12 2005 => System found infected with whenu.savenow Spyware/Adware (blank[1].htm)! Action taken: No Action Taken. Fri Oct 21 14:43:34 2005 => Scanning Folder: D:\Programme\AVPersonal\INFECTED\*.* Fri Oct 21 15:09:50 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 14:47:25 2005 => File F:\Alter Rechner\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken. Fri Oct 21 14:49:29 2005 => File F:\Downloads\mirc614.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.614. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 14:25:44 2005 => Offending Key found: HKLM\Software\gnu !!! Fri Oct 21 14:26:11 2005 => Offending Key found: HKCU\Software\gnu !!! Fri Oct 21 14:26:12 2005 => Offending file found: C:\DOKUME~1\STEPHA~1\LOKALE~1\Temp\insthelp.dll Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temp\insthelp.dll Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\09296pub\blank[1].htm Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\09296pub\common[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\0nw7k76b\adsend[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\0nw7k76b\common[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\g921ihaf\adswrapper[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\temporary internet files\content.ie5\uladqnq5\blank[1].htm Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\09296pub\blank[1].htm Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\09296pub\common[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\0nw7k76b\adsend[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\0nw7k76b\common[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\g921ihaf\adswrapper[1].js Fri Oct 21 14:26:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Stephan_Godmode\Lokale Einstellungen\Temporary Internet Files\content.ie5\uladqnq5\blank[1].htm ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 15:09:50 2005 => Total Virus(es) Found: 18 Fri Oct 21 15:09:50 2005 => Total Errors: 4 Fri Oct 21 15:09:50 2005 => Time Elapsed: 00:44:38 Fri Oct 21 15:09:50 2005 => Total Objects Scanned: 70882 Fri Oct 21 14:24:48 2005 => Virus Database Date: 2005/10/17 Fri Oct 21 15:09:50 2005 => Virus Database Date: 2005/10/17 Fri Oct 21 15:19:51 2005 => Virus Database Date: 2005/10/17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ Lade das Programm Regseeker und säuber mit diesem Deine Registry. http://www.zdnet.de/downloads/prg/3/c/de0T3C_is-wc.html Lösche die Datei mwav.log im Verzeichnis c:\bases_x. Neuer escan sowie neues HJT-Log. |
Hier einmal Log von Escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 16:32:29 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 16:12:10 2005 => Offending Key found: HKLM\Software\gnu !!! Fri Oct 21 16:16:34 2005 => Offending Key found: HKCU\Software\gnu !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Oct 21 16:32:29 2005 => Total Virus(es) Found: 2 Fri Oct 21 16:32:29 2005 => Total Errors: 6 Fri Oct 21 16:32:29 2005 => Time Elapsed: 00:21:05 Fri Oct 21 16:32:29 2005 => Total Objects Scanned: 37552 Fri Oct 21 16:11:10 2005 => Virus Database Date: 2005/10/17 Fri Oct 21 16:32:29 2005 => Virus Database Date: 2005/10/17 Fri Oct 21 16:33:42 2005 => Virus Database Date: 2005/10/17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Und der aktuelle Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 16:10:39, on 21.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Stephan_Godmode\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nTrayFw] d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe [edit] links entfernt [/edit] |
Was koennten das denn fuer Gesellen sein, und die die jetzt weg sind, waren die schaedlich, d.h. ist mein System wieder kompromittiert worden ?? |
Hat denn nun einer eine Ahnung, was ich tun koennte ?? Felix, Stupormundi ? Keiner ? |
Kann denn keiner mehr was dazu schreiben ? Hab alles gepostet, will doch nur wissen ob jetzt alles sauber ist... |
Servus, macgyver! Zitat:
Zitat:
Zu Deinem escan Zitat:
Ist das HJT-Logfile aus dem abgesicherten Modus? Wenn ja, poste eines aus dem normalen Modus Zu diesen Einträgen Zitat:
http://www.bleepingcomputer.com/files/lspfix.php Sonst kann ich in Deinen Logfiles nichts Aufregendes entdecken! stupormundi |
kurz einmisch: Lspfix bitte nicht anwenden: http://www.spywaredata.com/spyware/m...filter.dll.php dartus |
@dartus: *thx* Danke für den Hinweis :daumenhoc @MacGyver: forget lspfix - habe ich nicht genau genug nachgesehen! stupormundi |
Also, an p2p hab ich nix installiert, komische sache... Hier ein HJT aus dem normalen Modus: Logfile of HijackThis v1.99.1 Scan saved at 13:00:48, on 24.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe D:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\Explorer.EXE D:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wuauclt.exe D:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Stephan_Godmode\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht**tp://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht***tp://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [nTrayFw] d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nTrayFw.exe O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O17 - HKLM\System\CCS\Services\Tcpip\..\{D995CD0D-EDB0-47DF-9686-08659554CE9A}: NameServer = 192.168.1.1 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcAppFlt.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - d:\PROGRA~1\NVIDIA~1\NETWOR~1\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - d:\PROGRA~1\NVIDIA~1\NETWOR~1\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
Ach ja, was die Laufzeit angeht, hab halt nur C: gescannt, da waren ja die Viren drauf, auf den anderen Partitionen war ja nix. Hab auch keine Daten bewegt bisher, daher duerfte das doch ok sein, oder ? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board