Bitte mal anschauen logfile |
Willkommen, Gast ( Anmelden | Registrierung )
Bitte mal anschauen logfile |
25.10.2007, 15:01
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 22 Mitglied seit: 25.10.2007 Mitglieds-Nr.: 6.530 |
Kann sich das mal jemand anschauen sagen was ich machen kann
ich hab ein virus oder so. ich hab da leider kein plan von Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:55:09, on 24.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\nvraidservice.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\system32\rundll32.exe D:\Programme\DAEMON Tools\daemon.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\Programme\Java\jre1.6.0_03\bin\jusched.exe D:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\MSN Messenger\MsnMsgr.Exe D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\dwwin.exe D:\WINDOWS\system32\wbem\unsecapp.exe D:\Programme\ICQ6\ICQ.exe D:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Dokumente und Einstellungen\Jurij\Desktop\Neuer Ordner (2)\PRMTIE\prmtie.dll (file missing) O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - D:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL O4 - HKLM\..\Run: [NVRaidService] D:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\WINDOWS\TEMP\E_S7F.tmp" /EF "HKLM" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AAWTray] D:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\DOKUME~1\Jurij\LOKALE~1\Temp\E_S7.tmp" /EF "HKCU" O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\nwprovau.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{F653A9E7-F743-4652-A924-E0A54368CB7 0}: NameServer = O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O24 - Desktop Component 0: (no name) - -- End of file - 7647 bytes |
|
|
25.10.2007, 15:14
Beitrag
#2
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Ich seh da gerade nur
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL Was aber nicht schädlich sein muss. Du könntest die Datei "A5SRCHAS.DLL" mal bei Virustotal testen lassen. (Siehe meine Signatur für den Link) Kann aber auch nur eine Suchleiste sein die Hijackthis bemängelt. -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
25.10.2007, 15:15
Beitrag
#3
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Was laesst dich vermuten, das du irgendwo einen Virus oder Malware hast?
-------------------- MfG Ralf
|
|
|
25.10.2007, 15:26
Beitrag
#4
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 22 Mitglied seit: 25.10.2007 Mitglieds-Nr.: 6.530 |
weil mein virus programm (kaspersky) stendig viruse findet
ich weiß nicht ob das jetzt wichtig ist aber wenn ich mein virus programm öffne und auf gefundene klicke steht da: gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{9163BCBB-1492-4A9D-926D-E87E01A6542A}\setup.exe gefunden: trojanisches Programm Trojan-Clicker.HTML.Agent.a URL: hxxp://85.17.52.45/pay/enter.php?id=2 |
|
|
25.10.2007, 16:44
Beitrag
#5
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.239 Mitglied seit: 07.09.2006 Wohnort: blup! Mitglieds-Nr.: 5.308 Betriebssystem: Windows 10 Pro Virenscanner: F-Secure Safe Firewall: Router |
Also erstmal natürlich nicht anklicken die setup.exe. Sollte ja klar sein. Hoffe Du hast das noch nicht gemacht.
Ist diese Meldung die einzige oder gibt es noch andere? Sofern die Datei nur im Temp Ordner ist muss es nicht zwingend eine Infektion des Systems bedeuten. Hast du mit Kaspersky schonmal das komplette System gescannt? -------------------- Grüße
Caimbeul Xeon E3-1230 V2 + Macho HR-02 | 16GB DDR3 | ASUS GTX660 TI DirectCU II OC 2GB | ASRock H77 Pro4/MVP Samsung SSD 840 Pro 256GB | Dell UltraSharp U2311H - IPS | Lancool K58 + Dämmung | Steelseries Sensei Raw |
|
|
25.10.2007, 16:49
Beitrag
#6
|
|
Gehört zum Inventar Gruppe: Mitglieder Beiträge: 2.608 Mitglied seit: 30.12.2005 Mitglieds-Nr.: 4.133 Betriebssystem: Windows 10 64bit Virenscanner: KAV |
Ich seh da gerade nur R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL Was aber nicht schädlich sein muss. Du könntest die Datei "A5SRCHAS.DLL" mal bei Virustotal testen lassen. (Siehe meine Signatur für den Link) Kann aber auch nur eine Suchleiste sein die Hijackthis bemängelt. die asktoolbar ist bei nero dabei. ansich eine unverschämtheit seitens ahead so einen müll mit zu verkaufen. muss bei neroinstallation explizit abgewählt werden. |
|
|
25.10.2007, 16:59
Beitrag
#7
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Dann raeumen wir mal etwas auf. Hake folgendes in Hijackthis an und druecke fix checked:
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - D:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9 O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL O3 - Toolbar: Übersetzer - {FF284F5C-7CF9-4682-8701-D467C1DBB99F} - D:\Dokumente und Einstellungen\Jurij\Desktop\Neuer Ordner (2)\PRMTIE\prmtie.dll (file missing) O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - D:\Programme\AskTBar\bar\1.bin\ASKTBAR.DLL O4 - HKLM\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\WINDOWS\TEMP\E_S7F.tmp" /EF "HKLM" O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] D:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "D:\DOKUME~1\Jurij\LOKALE~1\Temp\E_S7.tmp" /EF "HKCU" O24 - Desktop Component 0: (no name) - Dann mache noch bitte folgendes: Temporaere Dateien beseitigen Starte das Programm ATF cleaner http://www.atribune.org/ccount/click.php?id=1 , hake "Select All" an und druecke "Empty Selected". Das selbe kann man ueber die Reiter Firefox und Opera machen, sofern man diese Programme nutzt. Oder nutze die mit Windows gelieferte Datenträgerbereinigung(außer alte Dateien komprimieren) und saeubere dort die Systemwiederherstellung über "weitere Optionen". http://support.microsoft.com/default.aspx?scid=kb;de;315246 ----------------------------------------------------------------------------------------------- Combofix Lade es von von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop Starte es durch doppelklick auf die Combofix.exe und bestaetige die folgende Abfrage mit 1 und drueckt Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Sowie ein neues Hijackthis Log. Bitte in dieser Reihenfolge -------------------- MfG Ralf
|
|
|
25.10.2007, 17:33
Beitrag
#8
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 22 Mitglied seit: 25.10.2007 Mitglieds-Nr.: 6.530 |
an Caimbeul!
Zu deiner frage (Ist diese Meldung die einzige oder gibt es noch andere?) ja es gibt noch andere: gefunden: potentiell gefährliche Software Invader Prozess: D:\Programme\Zylom Games\Bricks Of Atlantis Deluxe\bricksofatlantis.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{9163BCBB-1492-4A9D-926D-E87E01A6542A}\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\~e5.0001 gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{F4FB38C7-900F-49E0-88D3-D96F0AA0979B}\uninstall.exe gefunden: trojanisches Programm Trojan-Clicker.HTML.Agent.a URL: hxxp://85.17.52.45/pay/enter.php?id=2 gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{A4B8C078-BA83-40E2-8C5F-096BA82183BA}\uninstall.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{08864727-B69F-402B-ABDC-ABE49F037FCA}\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{3CCBAD50-D0A0-46B9-8026-F2586992FC1F}\uninstall.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{290258B6-70E9-4163-9652-5808004E90A2}\setup.exe gefunden: potentiell gefährliche Software Invader Prozess: D:\Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp\{90810031-82B1-4C2A-BA2A-0E2E6E31950E}\setup.exe
Bearbeitungsgrund: Link "unklickbar" gemacht
|
|
|
Gast_rock_* |
25.10.2007, 17:35
Beitrag
#9
|
Gäste |
den besagten ordner TEMP kannst du leeren! am besten im abgesicherten modus!
den hier!: Dokumente und Einstellungen\Jurij\Lokale Einstellungen\Temp dann papierkorb leeren. Der Beitrag wurde von rock bearbeitet: 25.10.2007, 17:36 |
|
|
25.10.2007, 22:40
Beitrag
#10
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 22 Mitglied seit: 25.10.2007 Mitglieds-Nr.: 6.530 |
also bis jetzt punktioniert alles
mal sehen was die tage passiert bis jetzt sag im mal danke Der Beitrag wurde von -Jura- bearbeitet: 25.10.2007, 22:57 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 26.05.2024, 18:19 |