Frage zum Forum/HJackThis etc.| SpywareQuake |
||
---|---|---|
#0
| ||
04.06.2006, 21:01
Member
Beiträge: 14 |
||
|
||
04.06.2006, 21:12
Member
Beiträge: 276 |
#2
es gibt auch automatische auswertungsprogs die net so schlecht sind aber ein paar sachen werden einfach nicht gefunden
da kann man dir wehr gut helfen |
|
|
||
04.06.2006, 21:36
Moderator
Beiträge: 6466 |
#3
Die Listen und Logs dienen denen hier als Hilfe, die Dir bei deinem Problem behilflich sein wollen.
Für eine Auswertung des Hijackthis-Logs gibt es die Seite www.hijackthis.de. Das hat schon mal einen großen Nutzen, zumal mittlerweile auch Userkommetare zu Unbekannten Anwendungen/Einträgen abgegeben werden können und man kann sich selbst ein Bild machen, wie es so grob um den eigenen Rechner in Hinsicht Malware bestellt ist. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
05.06.2006, 12:04
Ehrenmitglied
Beiträge: 29434 |
#4
du solltest die Logs hier posten, ich schaue es durch und suche die Viren raus .
oder du machst es allein ..wenn du es dir zutraust.....siehe: http://virus-protect.org/artikel/spyware/spywarequake.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.06.2006, 20:08
Member
Themenstarter Beiträge: 14 |
#5
ok, das sollte dann in dieses Forum...
Find ich klasse, dass ihr sowas macht, ich kapiere das nämlich glaub nicht, was da jetz gut und was schlecht ist. Also ich mach das mal und poste es hier: Logfile of HijackThis v1.99.1 Scan saved at 20:05:36, on 05.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\WARNER~1\w0svc.exe ---> da bringt er ne Warnung, weil im falschen Verzeichnis C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\VeriSign\NAVI\naviagent.exe C:\WINDOWS\system32\wdfmgr.exe C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\atmclk.exe C:\WINDOWS\system32\dcomcfg.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\WARNER~1\WARN0190.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\OpenOffice.org 2.0\program\soffice.exe C:\Programme\OpenOffice.org 2.0\program\soffice.BIN C:\WINDOWS\explorer.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\notepad.exe D:\Pascal\Programme\andre progs_install\drweb-cureit.exe C:\DOKUME~1\PASCAL~1.PCN\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOKUME~1\PASCAL~1.PCN\LOKALE~1\Temp\RarSFX0\cureit.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CleanUp!\Cleanup.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe D:\Pascal\Programme\andre progs_install\HijackThis.exe C:\WINDOWS\system32\notepad.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\WARNER~1\WARN0190.EXE O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\WARNER~1\w0svc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe die fett markierten sind schlecht oder unbekannt der rest als gut bei der automatischen auswertung. Bitte helft mir! Edit: nochwas: wohin muss ich das datFind.bat extrahieren? Edit: ok, ich habe neue infos: als ich den Rechner neu gestartet habe, ist nichts mehr rechts unten gekommen, außerdem war der verdächtige Prozess auch weg laut Taskmanager. Ist dann der Trojaner schon weg oder braucht der PC eine Internetverbindung um den zu starten (ich gehe jetzt gerade nur mit dem Notebook ins Internet) Dieser Beitrag wurde am 05.06.2006 um 21:47 Uhr von Pas editiert.
|
|
|
||
06.06.2006, 00:37
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat Edit: nochwas: wohin muss ich das datFind.bat extrahieren?Hier hin, damit ich die Malware raussuchen kann.... du wendest die datfindbat an und erhaelst 4 logs. Die will ich hier sehen (3 Monate, vom Datum her (von jedem log) genuegen. ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2006, 13:32
Member
Themenstarter Beiträge: 14 |
#7
meine Frage war diese: Wenn ich es einfach so anklick krieg ich 4mal nur Verzeichnis von D:\
Ich probiers jetzt einfach mal, indem ich die bat-Datei nach C kopiere. sys.txt Code Datentr„ger in Laufwerk C: ist BOOTsystem32.txt Code Datentr„ger in Laufwerk C: ist BOOTsystem.txt Code Datentr„ger in Laufwerk C: ist BOOTsystemtemp.txt Code Datentr„ger in Laufwerk C: ist BOOTdas ist es, sieht vernünftiger aus als 4mal nur D:\ und mit dem HjackThis, was muss ich da machen? Soll ich irgendwelche Dateien löschen? Vielen Dank für die Hilfe! |
|
|
||
06.06.2006, 13:43
Ehrenmitglied
Beiträge: 29434 |
#8
Pas
1. spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg -> doppeltklicken und der Registry beifuegen 2. Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Files to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** poste das log vom avenger, was erscheint * SmitfraudFix download von http://siri.urz.free.fr/Fix/SmitfraudFix.zip http://virus-protect.org/artikel/tools/smitfrautfix.html 1. doppelklick smitfraudfix.cmd 2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt) 3. doppelklick smitfraudfix.cmd 4. schreibe: 2 5. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n] ** die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte... wenn der Scan beeendet ist, kopiere die Logfile ab ** Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2006, 14:16
Member
Themenstarter Beiträge: 14 |
#9
also nachdem der Avenger neugestartet hat kommt eine Meldung
Zitat Windows - Kein DatenträgerDahinter ist so ein schwarzes Fenster mit Titel "C:\WINDOWS\system32\cmd.exe" und das sagt: Zitat Das System kann die angegebene Datei nicht finden. |
|
|
||
06.06.2006, 14:26
Ehrenmitglied
Beiträge: 29434 |
#10
als Ersatz fuer den Avenger:
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: .......... C:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url C:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url C:\WINNT\system32\stdole3.tlb C:\WINNT\system32\simpole.tlb C:\WINNT\system32\atmclk.exe C:\WINNT\system32\dcomcfg.exe C:\WINNT\system32\ot.ico C:\WINNT\system32\ts.ico C:\WINNT\system32\regperf.exe PC neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2006, 14:39
Member
Themenstarter Beiträge: 14 |
#11
Kommt auch eine Fehlermeldung, ich probiers nochmal...
Zitat PendingFileRenameOperations |
|
|
||
06.06.2006, 14:45
Ehrenmitglied
Beiträge: 29434 |
#12
dann starte du den Rechner neu, wenn du alle Dateien eingegeben hast.
(ich vermute, der avenger hat doch funktioniert....) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.06.2006, 15:01
Member
Themenstarter Beiträge: 14 |
#13
also der Avenger hat nichts ausgegeben, beim Killbox habe ich unter c:\!KillBox\Logs eine Datei gefunden.
Soll ich jetzt mit dem SmitFraudFix weitermachen? Zitat Pocket Killbox version 2.0.0.648Edit: beim Avenger habe ich doch noch etwas gefunden... einmal backup.reg und einmal folgendes: avenger.txt Zitat Logfile of The Avenger version 1, by Swandog46 Dieser Beitrag wurde am 06.06.2006 um 15:08 Uhr von Pas editiert.
|
|
|
||
06.06.2006, 15:02
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.06.2006, 15:23
Member
Themenstarter Beiträge: 14 |
#15
wenn ich bei dem SmitFraudFix in den abgesicherten Modus gegangen bin und 2 eingegeben habe kommt so ein Fenster mit Datenträger bereinigen, das sagt, dass berechnet wird, wieviel Speicherplatz er freigibt, ist das richtig? Das dauert jetzt schon 10Minuten und der Balken ist immernoch ganz klein...
Edit: Ok, ist fertig das Fenster, ich mach jetzt weiter und drücke y. Muss ich die Systemwiederherstellung deaktivieren? (ich hab Angst...) OK, ich habs gewagt^^ Im Anhang die Datei von dem SmitFraudFix Was kommt jetzt? Anhang: rapport.txt Dieser Beitrag wurde am 06.06.2006 um 16:05 Uhr von Pas editiert.
|
|
|
||
Ich bin neu hier und ich habe auch diesen einen Spyware-Quake-Trojaner und bin so auf dieses Forum gestoßen. Dass es Anleitungen gibt finde ich gut, nur kapiere ich diese ganzen Listen mit Dateien nicht (z.B. von datfinder oder HJackThis). Muss ich das oder kann ich ganz dumm mein Zeugs hier reinkopieren und ihr schaut es durch? Oder gibt es irgendwo eine Liste mit allen "bösen" Dateien, sodass ich schon einmal durchschauen kann? Weil alleine irgendsowas zu löschen traue ich mich nicht, da mir sonst die Familie an die Gurgel springt wenn nichtsmehr geht...
Ich finde es super, dass ihr eure Zeit für solche Unwissenden wie mich aufwendet!!
Riesen Lob von mir!
Grüße, Pas