Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um Überprüfung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.04.2005, 00:08   #1
JJHoschi
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Hallo mal wieder,
mein Logfile anbei, bitte mal nen Blick drauf werfen, scheint wohl alles in Ordnung, aber was ist mit


O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll

und vor allem bei Running processes

C:\WINDOWS\system32\NOTEPAD.EXE ???

VIELEN DANK FÜR EURE HILFE

JJHoschi

Logfile of HijackThis v1.99.0
Scan saved at 00:56:36, on 1.4.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINDOWS\System32\DCxxMjpgControl.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\PROGRA~1\Coolspot\PERSON~1\pidd.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Startup: PowerReg SchedulerV2.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
********************************************************
SORRY, habe gerade genau den gleichen Eintrag "010" schon mal zur Diskussion
auf Eurem Board gesehen und ebenfalls mit LSP-Fix folgende Files in der
linken Spalte notiert:

mswsock.dll TCP/IP
winrnr.dll NTDS
icslsp.dll (Protocol handler)
rsrpsp.dll " "

Was ist nun zu tun ?

Geändert von JJHoschi (01.04.2005 um 00:29 Uhr)

Alt 01.04.2005, 08:35   #2
cacatoa
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Na, wieder mal da? *g*
Hier hast Du Dein "backdoor"-Notepad. Hat aber mit Deinem Logfile nicht viel zu tun *ggg*
Laß doch im abgesicherten Modus einfach LSPFix laufen und zieh die Einträge nach rechts auf "remove".
Das sollte es gewesen sein.
cacatoa
__________________

__________________

Alt 01.04.2005, 21:52   #3
JJHoschi
 
Bitte um Überprüfung - Standard

Nach LSP Fix kein Internetzugang



Hallo cacatoa,

ich habe mit LSP Fix wie beschrieben die vier dll-Dateien removed.
Ergebnis: Der Notepad-Backdoor ist weg, aber leider auch mein Internetzugang. (Dieser Eintrag erfolgt über einen anderen User)
Was soll ich nun machen ?
Über eine Antwort würde ich mich freuen.

Vielen Dank und viele Grüße,
JJHoschi
__________________

Alt 01.04.2005, 22:06   #4
dartus
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Hallo JJHosch,

die 010-Einträge lagen wohl im Zusammenhang mit diesem Programm:
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE

Versuch dieses Programm zu deinstatallieren oder neuzuinstallieren.

dartus

Alt 01.04.2005, 22:45   #5
JJHoschi
 
Bitte um Überprüfung - Standard

Leider kein Erfolg



Hallo dartus,

vielen Dank für Deine schnelle Antwort.
Ich habe das Programm deinstalliert und neu installiert, aber es brachte leider keinen Erfolg.
Was kann ich jetzt noch machen?

Vielen Dank und viele Grüße,
JJHoschi


Alt 01.04.2005, 22:49   #6
Passat2002
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



hi, irgendwie möchte ich ein aktuelles logfile sehen
__________________
--> Bitte um Überprüfung

Alt 01.04.2005, 23:02   #7
Cidre
Administrator, a.D.
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Zitat:
ich habe mit LSP Fix wie beschrieben die vier dll-Dateien removed.
Warum hast du alle vier Dateien gelöscht?!
Die einzige die du löschen solltest, wäre die c:\windows\system32\icslsp.dll gewesen!
Zitat:
Ergebnis: Der Notepad-Backdoor ist weg, aber leider auch mein Internetzugang. (Dieser Eintrag erfolgt über einen anderen User)
Ist klar, siehe oben.
__________________
Gruß, Cidre


Alt 01.04.2005, 23:22   #8
JJHoschi
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Hallo Cidre,

kann ich die zuviel gelöschten Dateien wieder herstellen, ohne das komplette System neu aufzusetzen ?

Vielen Dank und viele Grüße,
JJHoschi

Alt 02.04.2005, 00:00   #9
dartus
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



Hallo JJHoschi,

lade Dir hier --> http://www.dlldump.com/
diese Dateien :
mswsock.dll, winrnr.dll, und rsvpsp.dll
und stelle sie in den Ordner Windows\System32

dartus

Alt 02.04.2005, 00:17   #10
schmellemann
 
Bitte um Überprüfung - Standard

kurze zwischenfragefrage



servus allerseits.
gestern nacht gelang es mir erstaunlicherweise und auch nur durch fleißiges Lesen in euren wunderbaren Foren, ein bescheuertes troja-pferd zu entfernen - vielen, vielen Dank.
ne andere sache: kann ich. wenn ich "Microsoft Office System Professional DVD 2003 SP1 Integrated" , also anscheinend die 2003-version, herunterlade, diese auch mit Windows XP Professional benutzen?
freu mich über antwort...
Gruß

Alt 02.04.2005, 07:14   #11
cacatoa
 
Bitte um Überprüfung - Standard

Bitte um Überprüfung



@ JJHoschi:
Eigentlich dachte ich, Du könntest mit LSPFix umgehen; wir hatten doch schon damit zu tun.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Bitte um Überprüfung
acrobat, adobe, bho, button, dateien, excel, explorer, g data, hijack, hijack this, hijackthis, internet, internet explorer, logfile, microsoft, notepad.exe, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, software, system, system32, unknown file in winsock lsp, update, urlsearchhook, windows, windows xp, winsock



Ähnliche Themen: Bitte um Überprüfung


  1. Bitte um HJT Log überprüfung
    Mülltonne - 04.07.2008 (0)
  2. Bitte um überprüfung
    Mülltonne - 24.03.2008 (2)
  3. Bitte um überprüfung
    Mülltonne - 24.03.2008 (0)
  4. Bitte um Überprüfung
    Log-Analyse und Auswertung - 01.02.2008 (4)
  5. Bitte um Überprüfung
    Mülltonne - 29.01.2008 (0)
  6. bitte um Überprüfung
    Log-Analyse und Auswertung - 06.12.2007 (5)
  7. Bitte um überprüfung!
    Mülltonne - 22.09.2007 (0)
  8. Bitte um Überprüfung!!!
    Mülltonne - 15.09.2007 (0)
  9. Bitte um Überprüfung; ist da was???
    Log-Analyse und Auswertung - 04.07.2006 (6)
  10. Bitte um Überprüfung
    Log-Analyse und Auswertung - 05.01.2006 (2)
  11. Bitte um Log-Überprüfung
    Log-Analyse und Auswertung - 11.06.2005 (1)
  12. Bitte um Überprüfung
    Log-Analyse und Auswertung - 10.06.2005 (0)
  13. LOG-Überprüfung bitte
    Log-Analyse und Auswertung - 10.06.2005 (7)
  14. Bitte um Überprüfung
    Log-Analyse und Auswertung - 20.03.2005 (7)
  15. Bitte um Überprüfung
    Log-Analyse und Auswertung - 14.11.2004 (7)
  16. Bitte um Überprüfung
    Log-Analyse und Auswertung - 29.09.2004 (6)
  17. bitte um überprüfung
    Log-Analyse und Auswertung - 04.09.2004 (3)

Zum Thema Bitte um Überprüfung - Hallo mal wieder, mein Logfile anbei, bitte mal nen Blick drauf werfen, scheint wohl alles in Ordnung, aber was ist mit O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll O10 - Bitte um Überprüfung...
Archiv
Du betrachtest: Bitte um Überprüfung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.