|
System Infiziert? Hallo liebe Leute.:) Ich habe den Verdacht das mein PC Infiziert ist. Der PC ist auch schon ein paar mal abgestürzt. Ich weiß das das kein Grund ist auf einen Virus zu Tipen aber ich bin in sachen Trojaner und Co. nunmal ziemlich Vorsichtig. Da ich leider ein Laie in sachen PC bin:o habe ich die bitte das ihr euch mal mein HJT-Log File anschaut. Ich wäre euch sehr dankbar. mfg euer "neuer" cartman123:daumenhoc |
Logfile of HijackThis v1.99.1 Scan saved at 21:18:12, on 05.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ATKKBService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Yahoo!\Search Protection\SearchProtection.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\***\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinSweep Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A31ECC3C-C1F3-4F22-8E83-7246A5624733}: NameServer = 208.67.220.220,208.67.222.222 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe |
Ich hab noch was vergessen zu erwähnen. Bei meinem Kaspersky Internet Securety Programm wurde schon ziemlich oft der selbst schutz mechanismus ausgelöst. Ich weiß nicht ob das was zu bedeuten hat... |
Kann mir keiner helfen????:heulen: |
DEin Log ist soweit sauber. Was ist denn die genaue Meldung von Kapersky? lg myritlle |
Die weiß ich leider nicht mehr:o, aber es meldet das ein fremder Prozess versucht in Kaspersky Internet Security einzudringen. Mehr weiß ich leider nicht. Danke das du mein Log File geprüft hast.:) Thx cartman123 |
Ganz ruhig , wir helfen dir ja. Du musst verstehen das die richtigen Profis hier (in bin eine Anfängerin) auch Familie , Hobbys und andere Intressen haben. Ich werde mal dein Log online auswerten lassen [ohne etwas zu löschen] und dann mal gucken welche Dateien man zu VirusTotal schicken könnte , das würde uns schon helfen damit wir wissen mit welchen Schädling wir es zu tun haben... LG , Usagi |
Hallo! Die mal bei Virustotal.com prüfen lassen: C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe Mehr weiß ich noch nicht. Tipp: ich empfehle Dir die HiJackThis.exe in einen eigenen order zu schieben und dann in ABC.com umzubenennen und nochmal einen Systemscan machen...Manche Malware versteckt sich nämlich wenn die Anwendung HiJackThis.exe heißt.... Zitat von HiJackThis: Bedenken Sie, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exeE |
Danke Usagi werd ich machen. Und danke das du so schnell geantwortet hast. |
Der Check bei Virustotal ist negativ ausgegangen.:Boogie: Jetzt bin ich erleichtert und kann beruhigt sein das keine Viren im meinem System sind.:) Danke myrtille und Usagi:daumenhoc |
Von wegen! Du könntest auch andere Dateien drauf haben die infieziert sind...wir sind noch nicht fertig! Außerdem möchte ich die Ergebnisse sehen die Virustotal.com ausgespukt hat!!! Usagi |
Usagi du bist ja Vorsichtiger als ich;). Hier das ergebniss von Virustotal: Datei nSvcLog.exe empfangen 2008.02.25 00:11:57 (CET) Status: Beendet Ergebnis: 0/32 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.22 - AntiVir 7.6.0.67 2008.02.24 - Authentium 4.93.8 2008.02.24 - Avast 4.7.1098.0 2008.02.24 - AVG 7.5.0.516 2008.02.24 - BitDefender 7.2 2008.02.24 - CAT-QuickHeal 9.50 2008.02.22 - ClamAV 0.92.1 2008.02.24 - DrWeb 4.44.0.09170 2008.02.24 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5557 2008.02.23 - Ewido 4.0 2008.02.24 - FileAdvisor 1 2008.02.25 - Fortinet 3.14.0.0 2008.02.24 - F-Prot 4.4.2.54 2008.02.24 - F-Secure 6.70.13260.0 2008.02.23 - Ikarus T3.1.1.20 2008.02.24 - Kaspersky 7.0.0.125 2008.02.24 - McAfee 5236 2008.02.22 - Microsoft 1.3204 2008.02.24 - NOD32v2 2898 2008.02.23 - Norman 5.80.02 2008.02.22 - Panda 9.0.0.4 2008.02.24 - Prevx1 V2 2008.02.25 - Rising 20.32.62.00 2008.02.24 - Sophos 4.26.0 2008.02.24 - Sunbelt 3.0.893.0 2008.02.23 - Symantec 10 2008.02.24 - TheHacker 6.2.9.228 2008.02.23 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.24 - Webwasher-Gateway 6.6.2 2008.02.24 - weitere Informationen File size: 65599 bytes MD5: ee0f4d3e3fd2b5dacf7eedddbb243973 SHA1: 92812d1b895a76283af906ae43f530a6c2486bb2 PEiD: - Datei nSvcIp.exe empfangen 2008.02.25 00:15:39 (CET) Status: Beendet Ergebnis: 0/32 (0.00%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.22.0 2008.02.22 - AntiVir 7.6.0.67 2008.02.24 - Authentium 4.93.8 2008.02.24 - Avast 4.7.1098.0 2008.02.24 - AVG 7.5.0.516 2008.02.24 - BitDefender 7.2 2008.02.24 - CAT-QuickHeal 9.50 2008.02.22 - ClamAV 0.92.1 2008.02.25 - DrWeb 4.44.0.09170 2008.02.24 - eSafe 7.0.15.0 2008.02.21 - eTrust-Vet 31.3.5557 2008.02.23 - Ewido 4.0 2008.02.24 - FileAdvisor 1 2008.02.25 - Fortinet 3.14.0.0 2008.02.24 - F-Prot 4.4.2.54 2008.02.24 - F-Secure 6.70.13260.0 2008.02.23 - Ikarus T3.1.1.20 2008.02.24 - Kaspersky 7.0.0.125 2008.02.25 - McAfee 5236 2008.02.22 - Microsoft 1.3204 2008.02.24 - NOD32v2 2898 2008.02.23 - Norman 5.80.02 2008.02.22 - Panda 9.0.0.4 2008.02.24 - Prevx1 V2 2008.02.25 - Rising 20.32.62.00 2008.02.24 - Sophos 4.26.0 2008.02.24 - Sunbelt 3.0.893.0 2008.02.23 - Symantec 10 2008.02.24 - TheHacker 6.2.9.228 2008.02.23 - VBA32 3.12.6.1 2008.02.21 - VirusBuster 4.3.26:9 2008.02.24 - Webwasher-Gateway 6.6.2 2008.02.24 - weitere Informationen File size: 131131 bytes MD5: adc2d25754f8ca371aff9644b8eaa681 SHA1: b9a319cb6a7ffddc61d524b2fd4fe17fa7e117a8 PEiD: - ist das so richtig?:confused: |
Jup :) Was ist mit dem neuen HiJackThis-Log nach meiner Anleitung? Ich bin so vorsichtig , an mir kommt kein Fussel ohne Inspektion vorbei :) |
Hab HijackThis in einen eigenen Ordner auf dem Desktop verschoben. Und hier mein neuer Log-File: Logfile of HijackThis v1.99.1 Scan saved at 19:57:21, on 06.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PSIService.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Yahoo!\Search Protection\SearchProtection.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\ABC.com\HJT-Log File.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinSweep Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A31ECC3C-C1F3-4F22-8E83-7246A5624733}: NameServer = 208.67.220.220,208.67.222.222 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe |
Ach und mit meinem Taskmanager stimmt was nicht. Der sieht ein ziemlich komisch aus.:pfui: Ich kann bei dem Taskmanager nur die Tasks anzeigen lassen keine Prozesse.:balla: |
Da hast Du recht. Ich werde mal deine Prozesse unter die Lupe nehmen. |
Thx.:) Weißt du wei ich mein Tasmanager wieder normal machen kann? Denn wenn ich den geöffnet hab kann ich den auch nicht mehr schliessen. mfg cartman123 |
Hey! Alles klar ...die Prozesse sind alle für gute Zwecke! Irgend ein Progi das deine CPU auf 100 % bringt ? |
Was hat das zu bedeuten?:balla: Das ist aus der Virensuche von Kaspersky. 06.03.2008 19:28:01 Datei: C:\WINDOWS\bad_kitty.exe gepackte Datei Swf2Exe |
Zitat:
|
Zitat:
Ich depp...:o |
War das alles was Kapersky gefunden hat ? bad_kitty.exe ....Hört sich nicht gut an! Ich suche mal nach Informationen....Die .exe steht auf jedenfall nicht in deinen Taskmananger! Mit welchen Recht bist du angemeldet ? Kein Screensaver hat eine .exe! Woher hast Du den Screensaver ? Ich hab gelesen die bad_kitty.exe ist ein Virus aus Portugal :) Und Kapersky meldet das nicht umsonst :( |
Zitat:
Was hat das zu bedeuten? Das ist aus der Virensuche von Kaspersky. 06.03.2008 19:28:06 Datei: C:\WINDOWS\Happy Holidays from South Park.exe gepackte Datei Swf2Exe 06.03.2008 19:28:06 Datei: C:\WINDOWS\Happy Holidays from South Park.exe gepackte Datei Swf2Exe 06.03.2008 19:28:02 Datei: C:\WINDOWS\Cartman German Dance Screensave.exe gepackte Datei Swf2Exe 06.03.2008 19:28:06 Datei: C:\WINDOWS\Happy Holidays from South Park.exe gepackte Datei Swf2Exe 06.03.2008 19:28:09 Datei: C:\WINDOWS\TASKMAN.EXE ok untersucht Hmm... Taskmanager und .exe???:confused: |
Zitat:
|
Verzweifle nicht. Wo hast Du die Screensaver usw. her ? |
Zitat:
|
*räusper* Welche Sprache hatte diese Seite ??? Ich würden an deiner Stelle die Screensaver löschen->leider weiß ich nicht was die .exe ausführt .. |
Ok. ich Lösche es sofort.Die Southpark Seite ist eine Deutschsprachige. Hier der Link: h**p://www.south-park-total.de/Screensaver.html |
Mehr können wir im Moment nicht tun .....könntest Du mir nach dem löschen nochmal ein neues HJT-Log schicken ? |
Ja kann ich. Aber von einem "Bildschirmschoner" existiert auch eine .dll Datei. Soll die auch weg? |
weg mit dem müll , pc neu starten->neues hjt-log->dann schauen wir mal ob du erfolgreich gelöscht hast |
Ok. Nach dem Neustart setz ich sofort das Log-File rein. |
Logfile of HijackThis v1.99.1 Scan saved at 21:05:59, on 06.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\Explorer.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\BillP Studios\WinPatrol\winpatrol.exe C:\Programme\Yahoo!\Search Protection\SearchProtection.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\***\Desktop\ABC.com\HJT-Log File.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [WinSweep Popupblocker] C:\Programme\WinSweep\WSPopup.Exe /STEP1 /SOUND O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20080128-1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A31ECC3C-C1F3-4F22-8E83-7246A5624733}: NameServer = 208.67.220.220,208.67.222.222 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing) O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe |
also ich seh die .exe nicht mehr :) |
:Boogie::Boogie::Boogie:Sehr gut. War wohl doch kein Virus oder? Sonst wär es bestimmt nicht so leicht gewesen den los zu werden. Soll ich noch irgendetwas Checken, Beseitigen etc.? Wenn nicht dann wär das Thema Virus wohl erst mal erledigt.:) |
:eek::confused:Was ist das? Kann mir jemand sagen was das ist oder wie ich es gegebenenfalls wieder löschen kann??? Datei SearchProtection.exe empfangen 2007.09.12 08:14:20 (CET) Status: Beendet Ergebnis: 1/32 (3.12%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - Heuristic: Suspicious File With Bad Parent Associations Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 0cfd137da0bd428fc3fee5fec8a72ad1 SHA1: 20669939755fdb9affc24fb87153369a58b9344d SHA256: fabb9f29930065c2060fc5cbca14b72493cbf07782d71755a5a1d498a5c8176a SHA512: 6e62d1a2e84b7dcd1b8ab75c51dd667827c9127c08419385eea09aa9a037a890 4d2901de89fbadf485e0aa324a7414b2d571f13d6300e63af044def16adf255f |
Ist das der selbe?:confused: Datei winpatrol.exe empfangen 2007.10.27 00:25:52 (CET) Status: Beendet Ergebnis: 1/32 (3.12%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 - - - AntiVir - - - Authentium - - - Avast - - - AVG - - - BitDefender - - - CAT-QuickHeal - - - ClamAV - - - DrWeb - - - eSafe - - - eTrust-Vet - - - Ewido - - - FileAdvisor - - - Fortinet - - - F-Prot - - - F-Secure - - - Ikarus - - - Kaspersky - - - McAfee - - - Microsoft - - - NOD32v2 - - - Norman - - - Panda - - - Prevx1 - - Heuristic: Suspicious Hijacker Rising - - - Sophos - - - Sunbelt - - - Symantec - - - TheHacker - - - VBA32 - - - VirusBuster - - - Webwasher-Gateway - - - weitere Informationen MD5: 91220abc5f9a3c41d47a9ede7d1197f3 SHA1: 925714995d27c72a695514369b3ceef39992e5de SHA256: 38a04d9fb5fe788d97dfd064697b237bd78cc79ef5984f24fd32cfbc2d02233c SHA512: c010c65068655afbc45b8def6cc4c99b37edbc9945d5053972e6815af2c65119 9fc4f7cabb9e69eb78efe32b7c7dd635fbbf293bb061803fb2e212d2407c43db |
Datei CTFMON.EXE empfangen 2008.03.05 20:23:39 (CET) Status: Beendet Ergebnis: 1/32 (3.12%) Filter Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.05 - AntiVir 7.6.0.73 2008.03.05 - Authentium 4.93.8 2008.03.04 - Avast 4.7.1098.0 2008.03.05 - AVG 7.5.0.516 2008.03.05 - BitDefender 7.2 2008.03.05 - CAT-QuickHeal 9.50 2008.03.05 - ClamAV 0.92.1 2008.03.05 - DrWeb 4.44.0.09170 2008.03.05 - eSafe 7.0.15.0 2008.02.28 Win32.Agent.dgo eTrust-Vet 31.3.5590 2008.03.05 - Ewido 4.0 2008.03.05 - FileAdvisor 1 2008.03.05 - Fortinet 3.14.0.0 2008.03.05 - F-Prot 4.4.2.54 2008.03.04 - F-Secure 6.70.13260.0 2008.03.05 - Ikarus T3.1.1.20 2008.03.05 - Kaspersky 7.0.0.125 2008.03.05 - McAfee 5245 2008.03.05 - Microsoft 1.3301 2008.03.05 - NOD32v2 2924 2008.03.05 - Norman 5.80.02 2008.03.05 - Panda 9.0.0.4 2008.03.05 - Prevx1 V2 2008.03.05 - Rising 20.34.22.00 2008.03.05 - Sophos 4.27.0 2008.03.05 - Sunbelt 3.0.930.0 2008.03.05 - Symantec 10 2008.03.05 - TheHacker 6.2.92.233 2008.03.04 - VBA32 3.12.6.2 2008.03.05 - VirusBuster 4.3.26:9 2008.03.05 - Webwasher-Gateway 6.6.2 2008.03.05 - weitere Informationen File size: 15360 bytes MD5: 7ce20569925df6789c31799f0c538f29 SHA1: fdf70fcac4bb0c39bc0e2c8faaf81d4742f1fdde PEiD: - :heulen::heulen:Wie geht de wieder weg? |
eSafe 7.0.15.0 2008.02.28 Win32.Agent.dgo |
Wo hast du die Dateien denn her? :D Bei den beiden Treffern mit "heuristic" davor würde ich klar auf Fehlerkennungen durch PrevX plädieren. Bei der ctfmon behalte ich mir ein Urteil vor, bis ich weiß wo die Datei liegt. :D Lg myrtille |
Zitat:
C:\Programme\Gemeinsame Dateien\Symantec Shared\SEVINST.EXE Kaspersky sagt der Prozess versucht die Kontrolle über mein System zu erhalten:heulen: |
Nein, ich meinte wieso hast du diese Dateien überprüft? Die Datei SearchDingens gehört wahrscheinlich zu Yahoo, die Datei winpatrol.exe zu deinem Sicherheitskonzept und ctfmon.exe aller wahrscheinlichkeit nach zu office. Die sind nicht gefährlich. (außer sie liegen nicht dort, wo sie sein sollten, daher bräuchte ich die pfade ;)) Symantec als dein Antivirenprogtram sollte auch die Kontrolle über deinen Rechner haben. Alles andere wäre ungesund. Ungesund ist auch 2 Antivirenprogramme (etwa Kaspersky und Symantec) auf einem Rechner zu installieren! Wähle eins von beiden und deinstalliere das andere, ansonsten kannst du ernste Probleme kriegen! lg myritlle |
Ich würde ja nachschauen wo der Pfad liedt aber da mein Rechner grade verreckt ist kann ich leider nicht nachschauen. Irgendwas mit Registry Wert gelöscht oder so.:schmoll: Ich schreibe gerade vom PC meines Bruders. Aber wenn du noch was wissen willst (ausser den Pfad) sage ich es dir gerne. Falls du mir helfen kannst.:) @myrtille mfg cartman123 |
Zitat:
|
Naja, ich würde davon ausgehen, dass dein Rechner verreckt ist, weil du 2 Antivirenprogramme installiert hast. Das geht schnell und ist leider eine recht zuverlässige Vorhersage. Die Frage, die mich interessiert ist: Welchen Virus wolltest du löschen? Wieso hast du gerade DIE Dateien bei virustotal hochgeladen, die du hochgeladen hast? Hast du zb ein Kasperskylog oder Ähnliches, das man sich ansehen könnte? Versuch mal in den abgesicherten Modus zu kommen und von dort aus Norton wieder zu deinstallieren, vielleicht startet dein System dann wieder. lg myrtille |
Zitat:
|
|
OK. Es geht wieder. Symantec ist runter aber der Trojaner bleibt. Würde es helfen wenn ich mein HJT-Log File reinstellen würde? Thx für den Tip mit den Abgesicherten Modus!:) |
Das HJT-Logfile wird sich nicht geändert haben und ist sauber. Aber ein Kaperskylogfile würde ich nehmen :D Bzw die genauen Befallmeldungen und Dateien Außerdem noch folgende Logs: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScan (bitte deutsch als Sprache auswählen und statt der runterzuladenden find.bat bitte folgende benutzen: klick )Und mach bitte ein Filelist: 1. Lade das filelist.zip auf deinen Desktop herunter. |
Erstmal das System32. Ähm, Kaspersky Log File?? Wie kann ich das machen? Sind das sie Ereignisse oder die Datein die Kaspersky als Virus abgetan hat oder beides??:) ----- System32 ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\WINDOWS\system32 06.03.2008 23:31 0 nmp.log 06.03.2008 22:36 60.808 S32EVNT1.DLL 05.03.2008 23:12 107.832 PnkBstrB.exe 05.03.2008 17:51 13.646 wpa.dbl 02.03.2008 13:30 95.072 FNTCACHE.DAT 01.03.2008 11:50 432.992 perfh009.dat 01.03.2008 11:50 449.248 perfh007.dat 01.03.2008 11:50 67.696 perfc009.dat 01.03.2008 11:50 80.468 perfc007.dat 01.03.2008 11:50 1.038.646 PerfStringBackup.INI 17.02.2008 23:22 66.872 PnkBstrA.exe 17.02.2008 03:02 107.888 CmdLineExt.dll 17.02.2008 03:01 418.480 wrap_oal.dll 17.02.2008 03:01 115.432 OpenAL32.dll 07.02.2008 15:36 127.254 nvapps.xml 05.02.2008 00:09 18.214.008 MRT.exe |
Mehr ist von Prefetch nicht vorhanden. ----- Prefetch ------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\WINDOWS\Prefetch 06.03.2008 23:50 12.068 FIND.EXE-0EC32F1E.pf 06.03.2008 23:50 12.252 CMD.EXE-087B4001.pf 06.03.2008 23:50 24.852 EXPLORER.EXE-082F38A9.pf 06.03.2008 23:50 17.104 VERCLSID.EXE-3667BD89.pf 06.03.2008 23:40 64.694 RUNDLL32.EXE-1BC55A4F.pf 06.03.2008 23:38 48.606 LUCOMSERVER_3_4.EXE-34438721.pf 06.03.2008 23:37 63.168 MSIEXEC.EXE-2F8A8CAE.pf 06.03.2008 23:37 22.998 WUAUCLT.EXE-399A8E72.pf 06.03.2008 23:32 74.500 AVP.EXE-26658326.pf 06.03.2008 23:32 67.080 WMIPRVSE.EXE-28F301A9.pf 06.03.2008 23:32 103.404 IEXPLORE.EXE-2CA9778D.pf 06.03.2008 23:32 20.118 REALPLAY.EXE-39F79CBD.pf 06.03.2008 23:32 1.266.626 NTOSBOOT-B00DFAAD.pf 06.03.2008 22:37 13.224 SYMLCSVC.EXE-04DC2DC5.pf 06.03.2008 22:37 19.334 SYMLCSVC.EXE-330F5F72.pf 06.03.2008 22:37 12.222 RUNONCE.EXE-2803F297.pf 06.03.2008 22:36 19.494 SEVINST.EXE-02E7491A.pf 06.03.2008 22:36 26.386 CCSVCHST.EXE-33FAFF2F.pf 06.03.2008 22:36 8.738 MSID1.TMP-0245D5C5.pf 06.03.2008 22:35 24.124 RUNDLL32.EXE-44A1E5B2.pf 06.03.2008 22:35 22.942 SEVINST.EXE-35F71423.pf 06.03.2008 22:29 64.698 NSS.EXE-007FA524.pf 06.03.2008 22:27 38.310 SETUP.EXE-393E66AE.pf 06.03.2008 22:27 37.472 STUB.EXE-0E687ACF.pf 06.03.2008 22:27 10.456 CDSTART.EXE-1812A523.pf 06.03.2008 22:22 24.892 IMAPI.EXE-0BF740A4.pf 06.03.2008 22:22 16.480 RUNDLL32.EXE-451FC2C0.pf 06.03.2008 22:19 21.286 NOTEPAD.EXE-336351A9.pf 06.03.2008 22:17 63.786 SDUPDATE.EXE-30CF90C0.pf 06.03.2008 21:58 25.020 RUNDLL32.EXE-40DF207C.pf 06.03.2008 21:58 19.082 SVCHOST.EXE-3530F672.pf 06.03.2008 21:55 89.216 SPYBOTSD.EXE-1D495A65.pf 06.03.2008 21:06 54.046 HJT-LOG FILE.EXE-1237E55A.pf 06.03.2008 21:04 19.902 LOGONUI.EXE-0AF22957.pf 06.03.2008 20:59 70.836 WMPLAYER.EXE-0996933A.pf 06.03.2008 20:59 8.146 NTVDM.EXE-1A10A423.pf 06.03.2008 20:56 10.876 TASKMAN.EXE-238C0E0E.pf 06.03.2008 20:55 19.932 RUNDLL32.EXE-33B44CC3.pf 06.03.2008 20:55 16.742 IT.EXE-0A95C43C.pf 06.03.2008 20:22 19.434 TASKMGR.EXE-20256C55.pf 06.03.2008 19:57 50.806 HJT-LOG FILE.EXE-29DE282F.pf 06.03.2008 19:08 49.256 HJT-LOG FILE.EXE-05EDB5F9.pf 06.03.2008 18:45 25.398 RUNDLL32.EXE-2E5AF1D7.pf 06.03.2008 18:43 62.316 GAMEOVERLAYUI.EXE-03CBAF9C.pf 06.03.2008 18:42 70.782 HL2.EXE-3418F2EF.pf 06.03.2008 18:40 55.710 STEAM.EXE-25824B4E.pf 06.03.2008 18:31 91.476 ICQ.EXE-3425F561.pf 06.03.2008 18:27 16.574 REALSCHED.EXE-0A2A7558.pf 06.03.2008 02:15 10.854 WSCNTFY.EXE-1B24F5EB.pf 06.03.2008 00:27 38.278 DRAWNT~1.SCR-37D3C2AC.pf 05.03.2008 23:41 54.530 DFRGNTFS.EXE-269967DF.pf 05.03.2008 23:41 16.552 DEFRAG.EXE-273F131E.pf 05.03.2008 23:37 479.066 Layout.ini 05.03.2008 23:12 84.128 PNKBSTRB.EXE-21412697.pf 05.03.2008 23:12 68.902 IW3MP.EXE-002B9A86.pf 05.03.2008 22:46 21.040 SPYBOTSD152.EXE-28356C6D.pf 05.03.2008 22:46 18.344 SPYBOTSD152.TMP-0870FF10.pf 05.03.2008 22:31 25.034 RUNDLL32.EXE-4C0F5795.pf 05.03.2008 22:29 60.126 TEATIMER.EXE-38E505A8.pf 05.03.2008 22:29 26.144 SPYBOTSD_INCLUDES.EXE-29E09C41.pf 05.03.2008 22:28 25.862 SPYBOTSD152.TMP-09897BB1.pf 05.03.2008 21:18 49.614 HIJACKTHIS.EXE-04B71A1D.pf 05.03.2008 21:17 15.394 HIJACKTHIS.EXE-0839860E.pf 05.03.2008 21:17 18.890 HIJACKTHIS.EXE-2325978C.pf 05.03.2008 20:46 48.238 RECORDINGMANAGER.EXE-142030A2.pf 05.03.2008 20:23 14.672 FSBL[1].EXE-2B512A00.pf 05.03.2008 20:08 41.692 YPSR.EXE-36F3C056.pf 05.03.2008 19:55 25.294 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf 05.03.2008 19:41 84.708 WMPLAYER.EXE-09969333.pf 05.03.2008 18:39 60.752 RELICCOH.EXE-13007324.pf 05.03.2008 18:39 52.162 WIC_ONLINE.EXE-1ABB4ED2.pf 05.03.2008 17:53 50.642 DRWTSN32.EXE-2B4B52AC.pf 04.03.2008 20:49 20.458 RUNDLL32.EXE-3B120BAC.pf 04.03.2008 20:49 15.876 SNDVOL32.EXE-383480B7.pf 04.03.2008 20:46 23.864 RUNDLL32.EXE-3D3CFEB1.pf 04.03.2008 20:07 55.758 WIC_UPDATE_DE_1000_1007.EXE-3180A803.pf 04.03.2008 20:04 34.682 _ISA.EXE-22A5024B.pf 04.03.2008 20:04 21.918 SETUP.EXE-3072FCFC.pf 04.03.2008 00:11 71.826 MSCORSVW.EXE-1BF30400.pf 03.03.2008 22:46 31.152 ICQUPDATER.EXE-1DA15CE8.pf 03.03.2008 22:28 20.568 RUNDLL32.EXE-24DBE541.pf 03.03.2008 20:19 15.386 NGEN.EXE-38021CCC.pf 03.03.2008 20:18 39.236 NETFX30-KB932471-X86.EXE-1571C6C3.pf 03.03.2008 20:17 23.348 WUPDMGR.EXE-2F30BEAB.pf 03.03.2008 20:11 48.062 DOWNLOAD.EXE-2ABD4045.pf 03.03.2008 20:11 15.704 INSTALL.EXE-10ADD043.pf 03.03.2008 20:11 34.492 MSW17.TMP-0C674C24.pf 03.03.2008 20:04 7.462 WMPLAYER.EXE-0996933C.pf 03.03.2008 19:09 16.408 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf 03.03.2008 19:09 22.660 RPHELPERAPP.EXE-1A0D7CAC.pf 02.03.2008 18:12 30.076 RUNDLL32.EXE-44A0B4BC.pf 02.03.2008 18:06 30.572 SETUP_WM.EXE-19AC5A9B.pf 02.03.2008 17:28 50.214 WIC.EXE-1647D50B.pf 02.03.2008 17:24 55.782 WIC_UPDATE_DE_1000_1006.EXE-1D7E35AF.pf 02.03.2008 17:19 15.692 AUTORUN.EXE-055703AF.pf 02.03.2008 17:18 59.740 DWWIN.EXE-30875ADC.pf 02.03.2008 17:18 19.076 BUGREPORT.EXE-01DA5C64.pf 02.03.2008 17:17 162.492 DUMPREP.EXE-1B46F901.pf 02.03.2008 17:16 19.606 RUNDLL32.EXE-3BDE4392.pf 02.03.2008 17:12 153.390 HELPSVC.EXE-2878DDA2.pf 02.03.2008 17:12 70.790 HELPCTR.EXE-3862B6F5.pf 02.03.2008 17:11 21.358 MSINFO32.EXE-20B2F2A1.pf 02.03.2008 14:05 59.774 BLACKSITE.EXE-096D7ADE.pf 02.03.2008 02:10 26.058 RUNDLL32.EXE-2A94BB85.pf 02.03.2008 00:48 27.156 LODCTR.EXE-1009C3B4.pf 105 Datei(en) 5.708.418 Bytes 0 Verzeichnis(se), 56.117.489.664 Bytes fre |
----- Windows -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\WINDOWS 06.03.2008 23:41 1.196.484 WindowsUpdate.log 06.03.2008 23:31 0 0.log 06.03.2008 23:31 2.048 bootstat.dat 06.03.2008 22:37 236.317 setupapi.log 06.03.2008 21:57 159 wiadebug.log 06.03.2008 21:57 50 wiaservc.log 06.03.2008 21:04 32.600 SchedLgU.Txt 06.03.2008 20:59 135 NeroDigital.ini 02.03.2008 18:06 11.172 wmsetup.log 02.03.2008 02:05 278 system.ini 02.03.2008 00:46 13.868 XpsEPSC.log 02.03.2008 00:46 7.465 XPSEPSCLP.log 01.03.2008 11:51 17.476 ntdtcsetup.log 01.03.2008 11:51 13.995 iis6.log 01.03.2008 11:51 28.833 comsetup.log 01.03.2008 11:51 1.355 imsins.log 01.03.2008 11:51 33.026 tsoc.log 01.03.2008 11:51 4.788 ocmsn.log 01.03.2008 11:51 4.326 msgsocm.log 01.03.2008 11:51 40.824 ocgen.log 01.03.2008 11:51 86.557 FaxSetup.log 01.03.2008 11:46 1.355 imsins.BAK 01.03.2008 11:46 6.250 WIC.log 01.03.2008 11:46 16.701 KB925876.log 01.03.2008 11:45 3.435 basecsp.log 01.03.2008 10:22 109.320 ntbtlog.txt 27.02.2008 12:43 216.016 DirectX.log 22.02.2008 23:45 67 cdplayer.ini 13.02.2008 13:05 20.281 KB946026.log 13.02.2008 13:05 26.326 KB944533-IE7.log 13.02.2008 13:05 7.592 updspapi.log 13.02.2008 13:04 14.134 KB943055.log 08.02.2008 06:52 311 game.ini |
Von Tasks war das auch alles. ----- Tasks ---------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\WINDOWS\tasks 06.03.2008 23:31 6 SA.DAT 29.02.2008 15:15 396 Norton Security Scan.job 28.02.2006 13:00 65 desktop.ini 3 Datei(en) 467 Bytes 0 Verzeichnis(se), 56.117.493.760 Bytes frei |
----- Wintemp -------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\WINDOWS\temp 06.03.2008 22:37 8.192 cch~4a8a49ab7.htp 06.03.2008 22:37 8.192 cch~4a8a4975e.htp 29.02.2008 15:01 8.192 cch~16ac44ece.htp 29.02.2008 15:01 8.192 cch~16ac76419.htp 25.02.2008 20:25 8.192 cch~2b5f1f56b.htp 25.02.2008 20:25 8.192 cch~2b5f1fd38.htp 25.02.2008 20:25 8.192 cch~2b5f0d10b.htp 25.02.2008 20:25 8.192 cch~2b5f0d7f7.htp 25.02.2008 20:25 8.192 cch~2b5f03406.htp 25.02.2008 20:25 8.192 cch~2b5effc6d.htp 25.02.2008 20:25 8.192 cch~2b5ef5bf1.htp 25.02.2008 20:25 8.192 cch~2b5ef6957.htp 25.02.2008 20:25 8.192 cch~2b5eef978.htp 25.02.2008 20:25 8.192 cch~2b5ef01bb.htp 25.02.2008 20:25 8.192 cch~2b5ee2ccb.htp 25.02.2008 20:25 8.192 cch~2b5ee2628.htp 25.02.2008 20:25 8.192 cch~2b5e71a40.htp 25.02.2008 20:25 8.192 cch~2b5e72813.htp 23.02.2008 23:40 797.676 IMT50.xml 23.02.2008 23:40 426 IMT4F.xml 23.02.2008 23:40 2.036 IMT4E.xml 23.02.2008 02:28 87.425.024 PRBA.tmp 23.02.2008 02:28 165.609.472 PRB6.tmp 23.02.2008 02:28 145.129.472 PRB4.tmp 16.02.2008 23:04 8.192 cch~248e032858.htp 16.02.2008 23:04 8.192 cch~248e0331f6.htp 15.02.2008 16:53 32.768 PRB3.tmp 15.02.2008 16:53 4.194.304 PRB2.tmp 15.02.2008 16:53 32.768 PRB1.tmp 15.02.2008 16:53 163.840 PRB0.tmp 15.02.2008 16:52 32.768 PRA6.tmp 15.02.2008 16:52 32.768 PRA5.tmp 15.02.2008 16:52 327.680 PRA4.tmp 15.02.2008 16:52 32.768 PRA2.tmp 15.02.2008 16:52 28.180.480 PRA1.tmp 15.02.2008 16:52 28.213.248 PR9F.tmp 15.02.2008 16:51 32.768 PR9E.tmp 15.02.2008 16:51 32.768 PR9B.tmp 15.02.2008 16:51 35.422.208 PR97.tmp 15.02.2008 16:51 32.768 PR85.tmp 15.02.2008 16:51 65.536 PR84.tmp 15.02.2008 16:51 32.768 PR82.tmp 15.02.2008 16:51 917.504 PR79.tmp 15.02.2008 16:51 1.376.256 PR77.tmp 15.02.2008 16:51 32.768 PR76.tmp 15.02.2008 16:51 43.646.976 PR73.tmp 15.02.2008 16:51 42.270.720 PR70.tmp 15.02.2008 16:51 32.768 PR6F.tmp 15.02.2008 16:51 32.768 PR59.tmp 15.02.2008 16:51 589.824 PR58.tmp 15.02.2008 16:51 43.024.384 PR55.tmp 15.02.2008 16:51 1.376.256 PR53.tmp 15.02.2008 16:51 819.200 PR51.tmp 15.02.2008 16:50 16.416.768 PR50.tmp 15.02.2008 16:50 56.918.016 PR4E.tmp 15.02.2008 16:50 5.046.272 PR4D.tmp 15.02.2008 16:50 5.177.344 PR4C.tmp 15.02.2008 16:49 7.471.104 PR43.tmp 15.02.2008 16:49 7.471.104 PR42.tmp 15.02.2008 16:49 7.471.104 PR3F.tmp 15.02.2008 16:49 7.471.104 PR3E.tmp 15.02.2008 16:49 7.471.104 PR3D.tmp 15.02.2008 16:48 3.670.016 PR3B.tmp 15.02.2008 16:48 7.471.104 PR3A.tmp 15.02.2008 16:48 7.471.104 PR39.tmp 15.02.2008 16:48 7.471.104 PR38.tmp 15.02.2008 16:47 1.343.488 PR2C.tmp 15.02.2008 16:46 8.912.896 PR2B.tmp 15.02.2008 16:46 5.832.704 PR29.tmp 15.02.2008 16:46 5.865.472 PR28.tmp 15.02.2008 16:46 2.162.688 PR27.tmp 15.02.2008 16:46 7.208.960 PR26.tmp 15.02.2008 16:46 48.201.728 PR25.tmp 15.02.2008 16:45 84.901.888 PR21.tmp 15.02.2008 16:45 431.259.648 PR20.tmp 15.02.2008 16:44 32.768 PR1B.tmp 15.02.2008 16:44 32.768 PR19.tmp 15.02.2008 16:38 497.876.992 PR10.tmp 13.02.2008 15:41 8.192 cch~5d132f29.htp 13.02.2008 15:41 8.192 cch~5d12ced0.htp 13.02.2008 15:41 8.192 cch~5d1336a5.htp 13.02.2008 15:41 8.192 cch~5d12c543.htp 13.02.2008 15:41 8.192 cch~5d11c5b4.htp 13.02.2008 15:41 8.192 cch~5d122d71.htp 13.02.2008 15:41 8.192 cch~5d12476d.htp 13.02.2008 15:41 8.192 cch~5d11e8dc.htp 13.02.2008 14:23 32.768 PR95.tmp 13.02.2008 14:23 32.768 PR94.tmp 13.02.2008 14:23 32.768 PR93.tmp 13.02.2008 14:23 65.536 PR92.tmp 13.02.2008 14:23 32.768 PR91.tmp 13.02.2008 14:23 32.768 PR90.tmp 13.02.2008 14:23 32.768 PR8F.tmp 13.02.2008 14:23 32.768 PR8E.tmp 13.02.2008 14:23 32.768 PR8D.tmp 13.02.2008 14:23 65.536 PR8C.tmp 13.02.2008 14:23 65.536 PR8B.tmp 13.02.2008 14:23 229.376 PR8A.tmp 13.02.2008 14:23 1.409.024 PR89.tmp 13.02.2008 14:22 1.802.240 PR87.tmp 13.02.2008 14:22 48.201.728 PR86.tmp 13.02.2008 14:21 129.957.888 PR83.tmp 13.02.2008 14:19 62.324.736 PR71.tmp 13.02.2008 14:15 63.111.168 PR6E.tmp 13.02.2008 14:15 63.111.168 PR6D.tmp 13.02.2008 14:15 63.111.168 PR6C.tmp 13.02.2008 14:15 63.111.168 PR6B.tmp 13.02.2008 14:15 63.111.168 PR6A.tmp 13.02.2008 14:15 63.111.168 PR69.tmp 13.02.2008 14:15 81.264.640 PR68.tmp 13.02.2008 14:15 70.549.504 PR66.tmp 13.02.2008 14:15 70.549.504 PR65.tmp 13.02.2008 14:15 70.549.504 PR64.tmp 13.02.2008 14:15 70.549.504 PR63.tmp 13.02.2008 14:15 70.549.504 PR62.tmp 13.02.2008 14:15 70.549.504 PR61.tmp 11.02.2008 16:32 65.536 PR115.tmp 11.02.2008 16:32 4.784.128 PR114.tmp 11.02.2008 16:31 65.536 PR111.tmp 11.02.2008 16:30 31.096.832 PR10E.tmp 11.02.2008 16:29 65.536 PR10B.tmp 11.02.2008 16:29 75.464.704 PR104.tmp 11.02.2008 16:28 31.752.192 PRF6.tmp 11.02.2008 16:27 95.518.720 PRE1.tmp 11.02.2008 16:25 160.038.912 PRD8.tmp 11.02.2008 16:24 173.539.328 PRD5.tmp 11.02.2008 16:24 155.189.248 PRD1.tmp 11.02.2008 16:24 111.607.808 PRD0.tmp 11.02.2008 16:23 307.036.160 PRCC.tmp 11.02.2008 16:23 111.607.808 PRCA.tmp 11.02.2008 16:20 441.352.192 PRBB.tmp 11.02.2008 16:20 428.736.512 PRB9.tmp 11.02.2008 16:19 90.406.912 PRB8.tmp 11.02.2008 16:19 366.280.704 PRB7.tmp 11.02.2008 16:19 356.646.912 PRAB.tmp 11.02.2008 16:19 65.536 PRAA.tmp 11.02.2008 16:17 623.116.288 PR98.tmp 11.02.2008 16:12 614.891.520 PR7F.tmp 11.02.2008 16:12 32.768 PR7E.tmp 11.02.2008 16:12 614.891.520 PR7C.tmp 11.02.2008 16:12 32.768 PR7B.tmp 11.02.2008 16:11 623.116.288 PR7A.tmp 11.02.2008 16:10 623.116.288 PR78.tmp 11.02.2008 15:50 709.459.968 PR41.tmp 11.02.2008 15:50 65.536 PR40.tmp 11.02.2008 15:47 770.932.736 PR32.tmp 11.02.2008 15:44 771.031.040 PR2A.tmp 11.02.2008 15:44 8.192 cch~80e2c9440.htp 11.02.2008 15:44 8.192 cch~80e2c9b83.htp 11.02.2008 15:44 8.192 cch~80e1a0079.htp 11.02.2008 15:44 8.192 cch~80e19f92e.htp 11.02.2008 15:44 8.192 cch~80e156f69.htp 11.02.2008 15:44 8.192 cch~80e15682d.htp 11.02.2008 15:44 8.192 cch~80e034fc7.htp 11.02.2008 15:44 8.192 cch~80e031504.htp 11.02.2008 15:44 8.192 cch~80e00f593.htp 11.02.2008 15:44 8.192 cch~80e01007a.htp 11.02.2008 15:44 8.192 cch~80ded7841.htp 11.02.2008 15:44 8.192 cch~80ded6fc0.htp 11.02.2008 15:44 8.192 cch~80dd96132.htp 11.02.2008 15:44 8.192 cch~80dd95a3d.htp 11.02.2008 15:44 8.192 cch~80dd43da4.htp 11.02.2008 15:44 8.192 cch~80dd43608.htp 11.02.2008 15:44 8.192 cch~80dca6bd7.htp 11.02.2008 15:44 8.192 cch~80dca6420.htp 11.02.2008 15:44 8.192 cch~80bbd9c73.htp 11.02.2008 15:44 8.192 cch~80bbda362.htp 11.02.2008 15:10 48.201.728 PR1F.tmp 11.02.2008 15:09 8.192 cch~64c69d643.htp 11.02.2008 15:09 8.192 cch~64c69c85e.htp 11.02.2008 15:04 771.031.040 PR17.tmp 11.02.2008 15:04 8.192 cch~604786f29.htp 11.02.2008 15:04 8.192 cch~6047868ad.htp 10.02.2008 21:50 41.934 PR5A.tmp 10.02.2008 21:03 1.179.648 PR5F.tmp 10.02.2008 21:03 1.179.648 PR5E.tmp 10.02.2008 21:03 2.162.688 PR5C.tmp 10.02.2008 21:03 2.162.688 PR5D.tmp 10.02.2008 17:43 62 PR5B.tmp 07.02.2008 17:53 8.192 cch~1883000b.htp 07.02.2008 17:53 8.192 cch~1882ef1a.htp 07.02.2008 17:52 8.192 cch~16306079.htp 07.02.2008 17:52 8.192 cch~1630575d.htp 07.02.2008 17:50 8.192 cch~efb655f.htp 07.02.2008 17:50 8.192 cch~efb5e5d.htp 03.02.2008 23:04 33.357.824 PR18.tmp |
Das wär alles.:) ----- Temp ----------------------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 389C-E8EC Verzeichnis von C:\DOKUME~1\Mueller\LOKALE~1\Temp 06.03.2008 23:50 127.603 filelist.txt 06.03.2008 23:32 16.384 ~DFC173.tmp 06.03.2008 22:38 5.652.246 Norton Internet Security 2008 3-6-2008 22h27m43s.log 06.03.2008 22:37 868 symcprop.dat 06.03.2008 22:37 172 FW_Register_Plugin_Action.dat 06.03.2008 22:37 172 CF_Register_Action.dat 06.03.2008 22:37 78.454 Norton Setup 15,0,0 3-6-2008 22h27m41s.log 06.03.2008 22:36 17.623 SYMEVENT.LOG 06.03.2008 22:34 65.536 ~DF8ABB.tmp 06.03.2008 22:31 5.174 PreScan.log 06.03.2008 22:27 5.700 instopts.dat 06.03.2008 22:27 8.656 Norton Stub 4,0,0 3-6-2008 22h27m33s.log 06.03.2008 22:26 41.572 Norton Setup 15,0,0 3-6-2008 22h22m55s.log 06.03.2008 22:22 9.314 Norton Stub 4,0,0 3-6-2008 22h22m15s.log 06.03.2008 21:05 16.384 ~DFEBAD.tmp 06.03.2008 21:00 1.428 wmplog00.sqm 05.03.2008 18:39 212.992 drm_dyndata_7330014.dll 03.03.2008 23:54 16.384 ~DF6F00.tmp 02.03.2008 18:23 16.384 ~DFAB5.tmp 02.03.2008 17:28 13.592 temp.ani 02.03.2008 14:05 65.536 drm_dialogs.dll 02.03.2008 14:05 208.896 drm_dyndata_7340014.dll 02.03.2008 01:15 797.676 IMT169.xml 02.03.2008 01:15 426 IMT168.xml 02.03.2008 01:15 2.036 IMT167.xml 02.03.2008 01:15 797.676 IMT15D.xml 02.03.2008 01:15 426 IMT15C.xml 02.03.2008 01:15 2.036 IMT15B.xml 02.03.2008 01:15 797.676 IMT158.xml 02.03.2008 01:15 426 IMT157.xml 02.03.2008 01:15 2.036 IMT156.xml 02.03.2008 01:15 797.676 IMT145.xml 02.03.2008 01:15 426 IMT144.xml 02.03.2008 01:15 2.036 IMT143.xml 02.03.2008 01:14 797.676 IMT13F.xml 02.03.2008 01:14 426 IMT13E.xml 02.03.2008 01:14 2.036 IMT13D.xml 02.03.2008 01:14 797.676 IMT132.xml 02.03.2008 01:14 426 IMT131.xml 02.03.2008 01:14 2.036 IMT130.xml 02.03.2008 01:14 797.676 IMT124.xml 02.03.2008 01:14 426 IMT123.xml 02.03.2008 01:14 2.036 IMT122.xml 02.03.2008 01:13 1.022 IMTF9.dtd 02.03.2008 01:13 2.794.308 IMTF8.xml 02.03.2008 01:13 797.676 IMTF7.xml 02.03.2008 01:13 426 IMTF6.xml 02.03.2008 01:13 2.036 IMTF5.xml 02.03.2008 01:12 797.676 IMTCD.xml 02.03.2008 01:12 426 IMTCC.xml 02.03.2008 01:12 2.036 IMTCB.xml 02.03.2008 00:48 74.512 dd_dotnetfx30install.txt 02.03.2008 00:48 17.364 uxeventlog.txt 02.03.2008 00:48 4.136.152 dd_NET_Framework30_Setup0BF3.txt 02.03.2008 00:47 3.931 dd_wcf_retCA4257.txt 02.03.2008 00:46 29.491 dd_depcheck_NETFX30_EXP_35.txt 02.03.2008 00:46 2 dd_dotnetfx30error.txt 02.03.2008 00:11 16.384 ~DF6ED2.tmp 01.03.2008 21:39 16.384 ~DF9F73.tmp 01.03.2008 11:51 63.632 dd_dotnetfx3lpinstall.txt 01.03.2008 11:51 233.347 dd_depcheckdotnetfx30.txt 01.03.2008 11:51 3.527 dd_XPS_langpack.txt 01.03.2008 11:51 133.480 dd_WF_Langpack_x86_msi3A78.txt 01.03.2008 11:51 296.518 dd_wcf_langpack_msi3A61.txt 01.03.2008 11:51 299.056 dd_wpf_langpack_msi3A40.txt 01.03.2008 11:50 74.944 dd_dotnetfx3install.txt 01.03.2008 11:50 239.748 dd_WF_3.0_x86retMSI392E.txt 01.03.2008 11:49 733.732 dd_wpf_retMSI37F1.txt 01.03.2008 11:48 772.984 dd_wcf_retMSI3762.txt 01.03.2008 11:47 7.452 dd_wcf_retCA6D11.txt 01.03.2008 11:47 134.958 dd_rgb_retMSI3758.txt 01.03.2008 11:45 12.686 dd_netfxLP20UI35D0.txt 01.03.2008 11:45 807.512 dd_netfxLP20MSI35D0.txt 29.02.2008 22:36 29.190 5e09_appcompat.txt 29.02.2008 20:50 117 r2h1A.tmp 29.02.2008 20:50 0 h2r1B.tmp 29.02.2008 15:01 32.768 ~DFA0C7.tmp 29.02.2008 14:37 0 JET66E9.tmp 29.02.2008 13:37 16.384 ~DF6330.tmp 28.02.2008 23:12 72.192 ~e5.0001 27.02.2008 12:42 1.609.639 APR2007_d3dx9_33_x86.cab 27.02.2008 12:42 699.465 APR2007_d3dx10_33_x86.cab 27.02.2008 12:42 1.673.576 dsetup32.dll 27.02.2008 12:42 85.881 dxupdate.cab 27.02.2008 12:42 503.144 DXSETUP.exe 27.02.2008 12:42 45.305 dxdllreg_x86.cab 27.02.2008 12:42 77.160 DSETUP.dll 27.02.2008 12:42 154.825 APR2007_XACT_x86.cab 27.02.2008 12:42 56.902 APR2007_xinput_x86.cab 26.02.2008 15:57 16.384 ~DF388C.tmp 26.02.2008 12:21 16.384 ~DFCA82.tmp 26.02.2008 12:13 16.384 ~DF5597.tmp 25.02.2008 20:21 4.286 xprt6592.ico 25.02.2008 20:10 4.286 xprt010a.ico 25.02.2008 20:10 4.286 xprt6836.ico 25.02.2008 19:55 0 JETF093.tmp 22.02.2008 20:09 16.384 ~DF53BB.tmp 22.02.2008 15:00 65.536 ~DF6E1F.tmp 22.02.2008 12:41 4.286 xprt0282.ico 22.02.2008 12:40 4.286 xprt70ec.ico 22.02.2008 12:37 4.286 xprt5b68.ico 22.02.2008 12:35 4.286 xprt68aa.ico 21.02.2008 17:15 23.275.812 Arialuni.ttf 21.02.2008 16:02 16.384 ~DFA91E.tmp 16.02.2008 23:48 209.920 ~32.tmp 16.02.2008 23:14 16.384 ~DF478.tmp 16.02.2008 22:59 16.384 ~DF9785.tmp 15.02.2008 16:42 65.536 ~DF648B.tmp 15.02.2008 16:42 209.920 ~13.tmp 15.02.2008 15:53 0 JET75D9.tmp 15.02.2008 15:42 16.384 ~DF42E6.tmp 15.02.2008 15:00 65.536 ~DFA5C6.tmp 14.02.2008 21:36 224.108 Google_Earth_4.2.0198.2451_beta_080214-213621_1.dmp 14.02.2008 21:03 2.565.248 ypsr_01.14.00_de_setup_.exe 13.02.2008 15:37 0 JET3C7D.tmp 13.02.2008 15:37 209.920 ~6.tmp 13.02.2008 15:29 209.920 ~16.tmp 13.02.2008 14:06 16.384 ~DF8540.tmp 13.02.2008 14:01 65.536 ~DF9A56.tmp 13.02.2008 13:17 278.528 6825.rra 13.02.2008 13:17 0 JETB052.tmp 13.02.2008 12:59 14.407.936 a33862619be9df63b31d98578d05b01f 12.02.2008 14:31 209.920 ~2C.tmp 12.02.2008 14:05 16.384 ~DFED84.tmp 12.02.2008 12:32 0 JETA14C.tmp 11.02.2008 16:30 54.192 MSI10F.tmp 11.02.2008 15:58 16.384 ~DF56B.tmp 10.02.2008 21:44 16.384 ~DF966C.tmp 10.02.2008 20:54 16.384 ~DFB1C6.tmp 09.02.2008 01:35 65.536 ~DFEAB9.tmp 09.02.2008 01:29 49.152 ~DF2CFD.tmp 09.02.2008 01:28 16.384 ~DF17D1.tmp 08.02.2008 23:45 4.286 xprt6c48.ico 08.02.2008 23:39 4.286 xprt4e15.ico 08.02.2008 23:38 4.286 xprt76fa.ico 08.02.2008 23:37 4.286 xprt385f.ico 08.02.2008 23:29 4.286 xprt2ca2.ico 08.02.2008 23:29 4.286 xprt7cc0.ico 08.02.2008 23:28 4.286 xprt51d2.ico 08.02.2008 23:21 4.286 xprt1a0c.ico 08.02.2008 23:20 4.286 xprt6fba.ico 08.02.2008 23:20 4.286 xprt7895.ico 08.02.2008 23:16 4.286 xprt78f5.ico 08.02.2008 23:12 4.286 xprt6b47.ico 08.02.2008 05:27 25.214 dat9.tmp 08.02.2008 05:11 6.247 bioshockpatch.txt 08.02.2008 00:53 212.992 drm_dyndata_7340007.dll 07.02.2008 18:20 3.253.720 vcredist_x86.log 07.02.2008 15:30 213.504 99bc8.mst 07.02.2008 02:21 2.238 xprt60b1.ico 07.02.2008 01:34 2.238 xprt4965.ico 06.02.2008 19:25 2.238 xprt31c0.ico 06.02.2008 01:18 2.238 xprt7c77.ico 06.02.2008 01:15 2.238 xprt319c.ico 06.02.2008 01:01 2.238 xprt315a.ico 06.02.2008 00:46 2.238 xprt73b5.ico 06.02.2008 00:35 2.238 xprt3c13.ico 06.02.2008 00:34 2.238 xprt5210.ico 06.02.2008 00:34 2.238 xprt680b.ico 06.02.2008 00:25 2.238 xprt68ba.ico 06.02.2008 00:25 2.238 xprt4c85.ico |
Äh, das weiß ich jetzt ehrlich gesagt auch nicht. Aber Kaspersky schreibt sicherlich sämtliche Scans und Befunde auf. Da musst du mal selber schauen. Ich werd mal bei google gucken. lg myrtille |
Ähm die Ereignisse kann ich nich Posten weil: Der Text, den Sie eingegeben haben, besteht aus 288983 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen. :) Selbst wenn ich das Unötige herausnehme hat der Text noch um die 222000 Zeichen. |
Aber hier ist die Liste von Kaspersky mit den schädlichen Objekten. gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\Programme\Steam\Steam.exe gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\Programme\ICQ6\ICQ.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\{3F882060-2F7E-4564-9484-E943D8583D0A}\uninstall.exe gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\programme\steam\steam.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\Steam\steamapps\***\counter-strike source\hl2.exe gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\Programme\Internet Explorer\iexplore.exe gefunden: potentiell gefährliche Software Invader Prozess: C:\Programme\Steam\steamapps\common\conflict denied ops demo\ConflictDeniedOps.exe gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe gefunden: schädliches Programm Exploit.JS.RealPlr.am Skript: ONLINEWELTEN - News: BlackSite - Creative-Director nimmt seinen Hut nach Blacksite-Fiasko[10] gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3O5J610Z\fsbl[1].exe gefunden: Virus Heur.Invader (Modifikation) URL: http://download.bleepingcomputer.com.../catchme.cfexe gefunden: potentiell gefährliche Software Hidden data sending Prozess: C:\WINDOWS\Explorer.EXE gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SymLCSVC.EXE gefunden: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\***\Desktop\fsbl.exe |
Hhmm... Da ist was dazu gekommen.:( [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] |
Hmmm, also ich denk die Meldungen sind in Ordnung. Die Meldung ist ja "potentiell gefährlich", ich hab jetzt einige der Prüfungen überprüft: Bei steam, fsbl.exe, helpctr.exe, ICQ.exe und catchme ist das normal (Hast du in letzter Zeit Combofix ausgeführt? Wenn ja wieso? Und kann ich das Log sehen?): Die Dateien tauschen Informationen mit dem Internet aus um ihre Arbeit zu verrichten. Weniger eindeutig ist das bei explorer.exe und iexplore.exe, daher hätte ich gern die weiteren Logs: eScan, Blacklight und noch ein Log von der filelist, oder wurde unter C:\ im letzten Monat nichts erstellt? lg myrtille |
Code: gefunden: Virus Heur.Invader (Modifikation) URL: http://download.bleepingcomputer.com.../catchme.cfexe |
Was mir mehr sorgen macht , das vielleicht sich ein Virus sich in der CTFMON.Exe eingeschlichen hat. Es könnte eine Kopie sein , aber vielleicht ist die Windows-Anwendung verseucht... |
[QUOTE=myrtille;326538]Hast du in letzter Zeit Combofix ausgeführt? Wenn ja wieso? Und kann ich das Log sehen?QUOTE] :eek:Ähm, was ist den Combofix?? Und wie kann ich die ergebnisse von Blacklight Kopieren?:confused: mfg cartman123 |
Zitat:
|
Zitat:
Kann es möglich sein (ich hoffe ich blamiere mich nicht), das der Trojaner Kasperskys selbstschutz irgendwie geknackt hat und mir nun sagt das Tools die ihn gefährlich sein könnten, schädlich für mich sind????:confused: |
Zitat:
mfg cartman123 |
Hhmm... Noch eine Frage: Warum sagt Kaspersky potenziell gefährdete Software? Das ist doch offensichtlich ein Trojaner. Oder?:( gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SymLCSVC.EXE |
Ratsam wäre, du entschärfst die Scaneinstellungen/ resp. den "proaktiven Schutz" von Kaspersky + schaust ins Handbuch zu Kaspersky, was "potentiell"/"Invader" heißt :rolleyes: bzw. nutzt ein AVP, dessen Meldungen du verstehst. So bringt das null. Alles was Kaspersky angemeckert hat, sind Prozesse, die ein mit Malware vglb. Verhalten an den Tag legen, d.h. aber nicht, dass es sich um malware handelt. Bei den "Funden" im Kaspersky-log handelt es sich um bekannte Prozesse, allesamt ungefährlich. Grüße |
Zitat:
Datei ctfmon.exe empfangen 2008.03.07 18:21:16 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/32 (3.13%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 13. Geschätzte Startzeit is zwischen 80 und 115 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.07 - AntiVir 7.6.0.73 2008.03.07 - Authentium 4.93.8 2008.03.07 - Avast 4.7.1098.0 2008.03.07 - AVG 7.5.0.516 2008.03.07 - BitDefender 7.2 2008.03.07 - CAT-QuickHeal 9.50 2008.03.07 - ClamAV 0.92.1 2008.03.07 - DrWeb 4.44.0.09170 2008.03.07 - eSafe 7.0.15.0 2008.03.06 Win32.Agent.dgo eTrust-Vet 31.3.5595 2008.03.07 - Ewido 4.0 2008.03.07 - FileAdvisor 1 2008.03.07 - Fortinet 3.14.0.0 2008.03.07 - F-Prot 4.4.2.54 2008.03.07 - F-Secure 6.70.13260.0 2008.03.07 - Ikarus T3.1.1.20 2008.03.07 - Kaspersky 7.0.0.125 2008.03.07 - McAfee 5247 2008.03.07 - Microsoft 1.3301 2008.03.07 - NOD32v2 2930 2008.03.07 - Norman 5.80.02 2008.03.07 - Panda 9.0.0.4 2008.03.06 - Prevx1 V2 2008.03.07 - Rising 20.34.42.00 2008.03.07 - Sophos 4.27.0 2008.03.07 - Sunbelt 3.0.930.0 2008.03.05 - Symantec 10 2008.03.07 - TheHacker 6.2.92.236 2008.03.07 - VBA32 3.12.6.2 2008.03.05 - VirusBuster 4.3.26:9 2008.03.07 - Webwasher-Gateway 6.6.2 2008.03.07 - weitere Informationen File size: 15360 bytes MD5: 7ce20569925df6789c31799f0c538f29 SHA1: fdf70fcac4bb0c39bc0e2c8faaf81d4742f1fdde PEiD: - :heulen: |
Die ctfmon ist die Windowsdatei, das lässt sich zb an den Hashwerten feststellen, da brauchst du dir keine Sorgen zu machen. Wann und was hat Kaspersky denn in der ctfmon.exe gemeldet? Bei den weiteren Funden reagiert Kapersky über, das sind zwar berechtigte Meldungen, aber es handelt sich dabei um Vorgänge, die auch von normalen Programmen in Anspruch genommen werden. (Etwa sendet HelpCtr.exe Informationen ans Internet, wenn du um Hilfe fragst, weil es dir weitere Artikel aus der Microsoftdatabase anbieten können will. Also: Eine Microsoftdatei kontaktiert auf deinen Wunsch hin Microsoft um dir bei Microsoft Informationen rauszusuchen. Es öffnet sich dabei nur kein Fenster in dem groß "Ich geh ins Internet steht". Das macht es nicht zu einem Trojaner.) Mich würde interessieren, wann du die von Lucky zitierte Meldung bekommen hast. Wieso warst du auf der Seite bleepingcomputer? Lässt du dir noch von jemand anderem/ an einem anderen Board helfen? Mir fehlt das Log von "C:\", also direkt von deiner Partition, das steht auch im ursprünglichen filelist.txt drin, du hast es wahrscheinlich beim "aussortieren" der alten Einträge einfach übersehen. bad_kitty.exe ist wahrscheinlich auch nicht infiziert, die Meldung bezieht sich nur darauf wie die Datei gepackt war... lg myrtille |
Zitat:
2. Reicht das aus? Ist ein ausschnitt aus den Ereignissen von Kaspersky 06.03.2008 21:51:24 Das Öffnen des schädlichen HTTP-Objekts <http://download.bleepingcomputer.com/sUBs/ComboFix.exe//PE_Patch.UPX//327882R2FWJFW/catchme.cfexe>: gefunden: Virus 'Heur.Invader' (Modifikation). 3. Ich war auf der Seite weil ich ein Remove Tool für den Trojaner der in cftmon.exe sitzt downloaden wollte. Nein ich lasse mir von keinem anderen im Board helfen. Und hier ist noch ein auszug aus Kaspersky wegen dem Selbsschutz und so. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:16:09 Der Versuch von Prozess mit PID 1816 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2028 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:26:35 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:26:36 Der Versuch von Prozess mit PID 2356 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1596 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 03.03.2008 22:29:58 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:32:45 Die Anwendung HL2.EXE wurde verändert 03.03.2008 22:46:19 Datei C:\PROGRA~1\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 00:13:11 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 04.03.2008 16:58:43 Schutz des Computers ist aktiv. 04.03.2008 16:59:42 Das Update wurde erfolgreich abgeschlossen 04.03.2008 17:00:21 Datei C:\Programme\ICQ6\ConfigFiles\TopSearches.7z//TopSearches.xml: kennwortgeschützt. 04.03.2008 19:19:36 Das Update wurde erfolgreich abgeschlossen 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 1612 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 19:58:58 Der Versuch von Prozess mit PID 2512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:24 Der Versuch von Prozess mit PID 1512 Zugriff auf den Prozess Kaspersky Internet Security mit PID 2032 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 04.03.2008 20:50:32 Schutz des Computers funktioniert nicht. Es wird empfohlen, den Schutz wieder zu aktivieren. 05.03.2008 17:52:11 Schutz des Computers ist aktiv. 05.03.2008 17:52:43 Der Versuch von Prozess mit PID 1396 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 3196 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. 05.03.2008 17:52:45 Der Versuch von Prozess mit PID 968 Zugriff auf den Prozess Kaspersky Internet Security mit PID 424 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde. Hoffe du kannst damit erstmal was anfangen. Ich nicht:balla: |
Hi, ich hab jetzt mal meine Datei hochgeladen: ctfmon.exe Die Datei wird ebenfalls von eSafe (und nur von eSafe! Sollte es sich wirklich um den Agent handeln, würde er auch von vielen anderen Programmen erkannt werden) als bösartig erkannt, ist aber eindeutig nicht dieselbe (vergleiche die Zahlen die bei MD5 und SHA1 stehen, sie sind unterschiedlich.) Es handelt sich dabei um einen Fehler von eSafe, dein Rechner ist zumindest nicht von diesem Dropper infiziert. lg myrtille |
Zitat:
|
Zitat:
|
Zitat:
Zitat:
Auch hier gilt wieder: Nicht alles was als böse angezeigt wird ist auch böse! Programme die gegen Trojaner vorgehen wollen, müssen ähnlich rabiate Methoden verwenden wie die Trojaner selbst und werden deshalb oft fälschlich als bösartig erkannt. Mit den restlichen meldungen kann ich auch nicht viel anfangen, da ich nicht genau weiß welches Programm da auf Kaspersky zugreifen will. Das dürfte allerdings auch ncihts dramatisches gewesen sein. zB das Indizierungsprogramm von Windows, damit die Windowssuche funktioniert oder eines der Programme, die wir dich zur Kontrolle haben ausführen lassen. lg myrtille Mit MD5/SHA1 kann man jeder Datei eine eindeutige Zahlenfolge zuweisen. Sind die Zahlen nicht komplett identisch, dann sind auch die Dateien nicht identisch: Das ist hier der Fall, weil ich XP pro in englisch hab und du nicht. Es handelt sich in beiden Fällen aber um Zahlenfolgen, die einer legitimen Version der ctfmon.exe zugeordnet werden können. Ich wollte damit illustrieren (weil ich weiß, dass mein Rechner sauber ist), dass eSafe sich irrt, wenn es bei der ctfmon.exe als einziger einen Trojaner entdeckt. |
Aber der Zugriff kommt an manchen Tagen häufiger vor wie an anderen Tagen...Aber das ist ja nicht so wichtig. Mal eine kleine Frage an dich, sollte ich mit meinem Rechner besser mit eingeschränktem Benuzerkonto Surfen oder ist das übertriebener größenwahn?:D |
Ein eingeschränktes Benutzerkonto kann nicht schaden. :) Wobei ich hier insgesamt eher von Paranoia als von Größenwahn sprechen würde. ;) lg myrtille |
Zitat:
1000 dank myrtille:knuddel::D |
Dieses Thema kann in den Müll.:) mfg cartman123 @ Admin GUA |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board