Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hilfe bei virus w32... (https://www.trojaner-board.de/38838-hilfe-virus-w32.html)

Jillian 12.05.2007 10:54
hilfe bei virus w32...
 
hallo

ich habe seit gestern so einen komischen virus auf dem pc, das gelbe dreieck unten rechts blinkt und so ein roter kreis, der sich ein ein fragezeichen verwandelt. dazu dauernd meldungen...

ein kollege hat mir geholfen, nun weiss aber auch er nicht mehr weiter. was kann ich denn hier noch löschen, damit der virus weggeht?

Logfile of HijackThis v1.99.1
Scan saved at 11:33:40, on 12.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Hewlett-Packard\HP Notebook Utilities\hptasks.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Protection Bar - {31615D5C-5126-448A-818A-A7CDFEE85A9B} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [HP Display Settings] C:\Programme\Hewlett-Packard\HP Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141820968795
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

muss dazusagen, dass ich von pc's echt keine ahnung habe... :-(

vielen lieben dank für eure hilfe!
jillian

myrtille 12.05.2007 11:06
Was hat dein Freund denn bisher gemacht?


So direkt sehe ich das Übel jetzt nicht, aber es laufen definitiv einige suspekte Sachen auf deinem Rechner.
Lade bitte mal diese Dateien:
Zitat:
C:\Programme\Symantec\LiveUpdate\AUPDATE.EXE
C:\Programme\Symantec\LiveUpdate\LuCallbackProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll
Bei virustotal auswerten und poste die Ergebnisse mit Größe und allen anderen Informationen hier.

lg myrtille

Speedyweb 12.05.2007 11:12
hi

verwende den smitfraudfix remover nach dieser anleitung (und download), poste nach jedem scan das logfile

Zitat:
dein adobe reaader ist nicht aktuell, deinstalliere die alte version über
start->programmzugriff und standards->programme ändern oder deinstallieren
adobe reader X.0
lösche nun folgende ordner und leere den mistkübel, sofern sie noch vorhanden sind
  • C:\Programme\Adobe
  • C:\Windows\Adobe
  • C:\Dokumente und Einstellungen\*Profil1*\Anwendungsdaten\Adobe
  • C:\Dokumente und Einstellungen\*Profil2*\Anwendungsdaten\Adobe
  • C:\Users\Profil\AppData\Local\Adobe
  • C:\Benutzer\Profil\AppData\Local\Adobe
download nun den adobe reader, installieren.
  • lege folgenden ordner an c:\programm_download\ccleaner
  • download die aktuelle version des ccleaners in diesen ordner
  • erstelle bei windows me, xp oder vista einen neuen systemwiederherstellungspunkt
  • installieren den ccleaner durch einen doppelklick auf die heruntergeladene datei (die yahoo toolbar musst du nicht mitinstallieren)
  • starte nun den ccleaner und wähle unter options settings "german"
  • bereinige nun damit dein system (windows temp. ordner, prefetch ordner , applications, registry) (germanversion)
    (quick-tour und screenshots)
  • wechsle im ccleaner nach extras -> programme deinstallieren -> als textdatei speichern -> poste auch dieses logfile (schreib dazu, wozu du jedes einzelne programm benötigst)
.

Zitat:
hijackthis löschen, download HijackThis-selfinstall, installieren, dann sieht das so aus C:\Programme\Hijackthis\1_99_1 , starte das programm und erstelle ein logfile, poste den inhalt.
  • download von filelist.zip auf deinen desktop.
  • entpacke hier die zip datei
  • starte nun durch einen doppelklick auf die datei filelist.bat das stapelverarbeitungsprogramm
  • dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
  • markiere den inhalt und füge in hier im forum in deinem beitrag ein.
  • formatiere nun deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.
  • das sind alle verzeichnisse, die mit dieser filelist.bat ausgelesen werden.
    1. Verzeichnis von C:\
    2. Verzeichnis von C:\WINDOWS
    3. Verzeichnis von C:\WINDOWS\system
    4. Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
    5. Verzeichnis von C:\WINDOWS\Prefetch
    6. Verzeichnis von C:\WINDOWS\tasks
    7. Verzeichnis von C:\WINDOWS\Temp
    8. Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

myrtille 12.05.2007 11:17
Zitat:
Zitat von Speedyweb (Beitrag 268282)
  • wichtig: logfile im tag [code] posten
Tu das bitte bitte nicht, das wird absolut unlesbar. :(

Jillian 12.05.2007 11:22
bin total überfordert....ahhh!

Jillian 12.05.2007 11:24
Complete scanning result of "AUPDATE.EXE", processed in VirusTotal at
05/12/2007 12:22:00 (CET).

[ file data ]
* name: AUPDATE.EXE
* size: 624248
* md5.: 4c2b02d3fd545ab4a80918bde120dbc6
* sha1: 8bdd8c85daea14986800278e5bbb5d887a928f5e

[ scan result ]
AhnLab-V3 2007.5.10.0/20070511 found nothing
AntiVir 7.4.0.15/20070511 found nothing
Authentium 4.93.8/20070511 found nothing
Avast 4.7.997.0/20070511 found nothing
AVG 7.5.0.467/20070511 found nothing
BitDefender 7.2/20070512 found nothing
CAT-QuickHeal 9.00/20070512 found nothing
ClamAV devel-20070416/20070512 found nothing
DrWeb 4.33/20070512 found nothing
eSafe 7.0.15.0/20070508 found nothing
eTrust-Vet 30.7.3628/20070511 found nothing
Ewido 4.0/20070511 found nothing
F-Prot 4.3.2.48/20070511 found nothing
F-Secure 6.70.13030.0/20070511 found nothing
FileAdvisor 1/20070512 found [Not analyzed yet]
Fortinet 2.85.0.0/20070512 found nothing
Ikarus T3.1.1.7/20070512 found nothing
Kaspersky 4.0.2.24/20070512 found nothing
McAfee 5029/20070511 found nothing
Microsoft 1.2503/20070512 found nothing
NOD32v2 2262/20070512 found nothing
Norman 5.80.02/20070511 found nothing
Panda 9.0.0.4/20070511 found nothing
Prevx1 V2/20070512 found nothing
Sophos 4.17.0/20070511 found nothing
Sunbelt 2.2.907.0/20070512 found nothing
Symantec 10/20070512 found nothing
TheHacker 6.1.6.114/20070512 found nothing
VBA32 3.12.0/20070511 found nothing
VirusBuster 4.3.7:9/20070511 found nothing
Webwasher-Gateway 6.0.1/20070511 found nothing

Speedyweb 12.05.2007 11:25
Zitat:
Zitat von Jillian (Beitrag 268286)
bin total überfordert....ahhh!
wobei bist du überfordert ?

Jillian 12.05.2007 11:30
na mit dem ganzen pc-zeugs! könnte ich den virus auch einfach drauflassen?

pc flicken is nix für frauen, hä hä hä

Speedyweb 12.05.2007 11:34
Zitat:
Zitat von Jillian (Beitrag 268291)
na mit dem ganzen pc-zeugs! könnte ich den virus auch einfach drauflassen?

pc flicken is nix für frauen, hä hä hä
hi, nirgends steht, das du eine datei umstricken musst, und frau = nicht gleich dumm, außer du stellst dich selber in diese ecke. :rolleyes:

wenn du mit dem smitfraudremover beginnst, wirst du eine veränderung des systen erkennen, der rest dient der kontrolle und systemabsicherung.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130