Dedies-Board | Anti-Virenboard | Auswertung Logfile, Bitte um Hilfe!!

Dedies-Board » Sicherheit » Anti-Virenboard » Auswertung Logfile, Bitte um Hilfe!!

» Hallo Gast [Anmelden|Registrieren]

Letzter Beitrag | Erster ungelesener Beitrag

Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen

Auswertung Logfile, Bitte um Hilfe!!

Autor

Beitrag

« Vorheriges Thema | Nächstes Thema »

lazarius
Mitglied

Dabei seit: 04.05.2005
Beiträge: 5

Level: 21 [?]
Erfahrungspunkte: 34.694
Nächster Level: 38.246

Auswertung Logfile, Bitte um Hilfe!!

Zitatantwort auf diesen Beitrag erstellen

Hi,
hab mir lt. Antivir 2 Sachen eingefangen:
DR/Agent.BQ2
TR7Agent.BI
hab mir Hijackthis geladen und ´die Logfile erstellt.

Bitte hilft mir bei der Auswertung unglücklich

!!
Logfile of HijackThis v1.99.1
Scan saved at 16:30:02, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd0
5.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicA...e/bridge-c5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{648A0C32-E708-4DF6-9292-3852A7FC9D67}: NameServer = 192.168.50.1,194.25.2.129
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Bitte Hilft Mir!!

Danke!

04.05.2005 16:47

Nehmen Sie lazarius in Ihre Freundesliste auf

dedie dedie ist männlich

Administrator

Dabei seit: 04.03.2005
Beiträge: 2.952

Level: 54 [?]
Erfahrungspunkte: 20.661.949
Nächster Level: 22.308.442

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
(Und zwar alle 6 einträge)

R3 - Default URLSearchHook is missing

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicA...e/bridge-c5.cab

FIXEN vor dem Fixen die Sytemwiederherstellung deaktivieren.

Das sind die einträge die mir aufgefallen sind, warte mal auf "Cidre" der findet garantiert auch noch was.

Ausserdem solltest du umgehend deine Passwörter und ähnliches ändern, die Trojaner die du dir eingefangen hast ´haben die dumme Angewohnheit einen Rechner auszuspionieren und so ganz nebenbei einen Zugriff von ausserhalb auf den Rechner einzurichten. Augen rollen

__________________
Die Windows Systemwiederherstellung ist und war noch NIE ein geeignetes Mittel um einen Virus / Trojaner wieder los zu kriegen Augen rollen

04.05.2005 17:26

Nehmen Sie dedie in Ihre Freundesliste auf

Jabber Screennamen von dedie: dedie@jabber.ccc.de

Haui

Haudegen

Dabei seit: 29.04.2005
Beiträge: 522

Level: 44 [?]
Erfahrungspunkte: 3.624.515
Nächster Level: 4.297.834

Hallo,

zusätzlich noch das machen:

O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
Das gehört da auch nicht hin. Die Datei bitte online überprüfen. Das Ergbnis hier posten.

O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
Der IE hat im Autostart nichts zu suchen. -> Fixen

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)
Fixen.

C:\WINDOWS\pacvv.dll/sp.html#37049
Löschen.

Das Ganze im abgesicherten Modus.

Interessant wäre auch, wo AntiVir die Trojaner gefunden hat.

BTW: ein Java-Update kann auch nicht schaden Petzauge

__________________

Have you tried turning it off and on again?

~~/join #dedies-board.de~~

Dieser Beitrag wurde 2 mal editiert, zum letzten Mal von Haui: 04.05.2005 17:42.

04.05.2005 17:42

Nehmen Sie Haui in Ihre Freundesliste auf

Jabber Screennamen von Haui: haui45@jabber.ccc.de

Cidre
Routinier

Dabei seit: 29.03.2005
Beiträge: 497

Level: 43 [?]
Erfahrungspunkte: 3.466.509
Nächster Level: 3.609.430

Hallo lazarius,

ergänzend zu dedies Antwort:

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases_x" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.

Führe diesen Cleaner aus.

Wechsle in den abgesicherten Modus und beende folgenden Dienst:
Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Zitat:

Alle R0, R1 und R3
O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicA...e/bridge-c5.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)

Lösche diese Dateien/Ordner:

Zitat:

C:\WINDOWS\system32\iedu32.exe
C:\WINDOWS\system32\crum32.dll
bridge-c5.cab
C:\WINDOWS\pacvv.dll/sp.html

- mit eScan AntiVirus scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen
-neue Startseite vergeben
- Neustart
- dein System updaten
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen
- Sichere und komfortablere Browser wie z.B. die http://www.mozilla.org]Mozilla Suite oder Firefox[/URL] verwenden
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten [1]

[1] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [2] der automatisch erstellten C:\eScan_neu.txt hier posten.

[2] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen).

EDIT:
Da war wohl einer schneller, Servus Haui. Winken

__________________
Gruß, Cidre
S-Mod d-b

Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch? - Wie man Fragen richtig stellt!

04.05.2005 17:49

Nehmen Sie Cidre in Ihre Freundesliste auf

lazarius
Mitglied

Dabei seit: 04.05.2005
Beiträge: 5

Level: 21 [?]
Erfahrungspunkte: 34.694
Nächster Level: 38.246

Themenstarter Thema begonnen von lazarius

Hallo Leute!
hab eure Ratschläge befolgt und die Trojaner wegbekommen!
Vielen Dank für Eure Hilfe, ein super Forum!

yes

10.05.2005 11:35

MobyDuck
Lebende Foren Legende

Dabei seit: 05.03.2005
Beiträge: 1.685

Level: 51 [?]
Erfahrungspunkte: 11.792.151
Nächster Level: 13.849.320

Danke. Empfehle uns weiter. Petzauge

10.05.2005 11:41

Nehmen Sie MobyDuck in Ihre Freundesliste auf

Baumstruktur | Brettstruktur

Gehe zu:

Dedies-Board » Sicherheit » Anti-Virenboard » Auswertung Logfile, Bitte um Hilfe!!

Impressum|Boardregeln

Board Blocks: 368.799 | Spy-/Malware: 5.599 | Bad Bot: 1.542 | Flooder: 281.746 | httpbl: 6.555
CT Security System 10.1.7 © 2006-2024 Security & GraphicArt

Ja, auch Dedies-Board verwendet Cookies. Hier erfahrt ihr alles zum Datenschutz

Verstanden;

Nach oben