Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Dr.exe und Log File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 26.10.2006, 02:39   #1
Homeboy
 
Dr.exe und Log File - Icon21

Dr.exe und Log File



Hallo Ihr lieben,

hier mal mein Log File damit Ihr mal drüber schauen könnt. Hatte folgendes heute:

Hatte mir über eMule einen " angeblichen " NoCD Crack gesaugt der ´ne .exe Datei war. Nach überprüfen über Antivir der keinen Virus etc. anzeigte führte ich die .exe aus und prompt sah ich schon das es ein Virus/Trojaner war. Es hatten sich mehrere .exe Dateien auf meinem PC eingenistet u.a. auch Dr.exe. Manches wurde dann auch von Antivir gefunden und ich löschte es. Nun habe ich aber immer noch unter C: folgende leere (0 Byte) .exe Dateien die ich nicht löschen kann da mein PC sagt das Sie benutzt werden. U.a. auch Schreibgeschützt was ich aber nicht rausbekomme:

exwfrso.exe, rrhedgnt.exe, vesuyym.exe, sfokuk.exe

Andere konnte ich löschen diese sind aber Hartnäckig *g*

So nun erstmal das Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 02:59:58, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.googlemail.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools403-x86\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P 2006] Baphomets Fluch 4 Der Engel des Todes
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92CA67F9-4F73-48DE-ABC7-0A93D0F6C83C} - C:\Programme\XPAntiSpy 3.95\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92CA67F9-4F73-48DE-ABC7-0A93D0F6C83C} - C:\Programme\XPAntiSpy 3.95\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - h**p://noorseboskat.axiscam.net/activex/AMC.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Plug-in 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F91B95B2-8AB9-4A6A-815D-C97D94B5834B}: NameServer = 62.220.18.8 62.72.64.237
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Was sagt Ihr denn zu :

1. O4 - HKLM\..\Run: [I downloaded pirated Software from P2P 2006] Baphomets Fluch 4 Der Engel des Todes


2. O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)

Und natürlich zu allen anderen Einträgen ob unnütz, böse oder was auch immer !?

Danke Euch im vorraus

Alt 26.10.2006, 08:33   #2
Ong Bak
 
Dr.exe und Log File - Standard

Dr.exe und Log File



http://virus-protect.org/killbox.html

Lade dir das runter und folge der Anleitung um die dateien: exwfrso.exe, rrhedgnt.exe, vesuyym.exe, sfokuk.exe beim nächsten hochfahren zu löschen.

2. O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing) wenn du den schon gelöscht hast ist es gut (trojaner) ansonsten schnell nachholen!

Naja und das andere, P2P, du böser Filesharer. Bitte sagt noch jemand anderes was dazu aber ich denke hier ist eine Bedrohung auszuschließen.

Dann solltest du einen eScan nach dieser Anleitung durchführen: http://www.trojaner-board.de/showthread.php?t=17492
__________________


Geändert von Shadow (26.10.2006 um 09:04 Uhr)

Alt 26.10.2006, 09:20   #3
Shadow
/// Mr. Schatten
 
Dr.exe und Log File - Standard

Ot



@ Ong Bak:

Das "verfälschen" des Protokolls HTTP in H**P bringt nur was, BEVOR ein Link aktiv wird. Bei einem bereits aktiven Link nachträglich bei der Linkanzeige http in h**p umwandeln bringt nichts.

Ausgewiesen "gute" Links wie auf eine Anleitung im Forum dürfen (und sollten meiner Meinung nach) durchaus aktiv sein sein.
Deshalb habe ich deinen Beitrag oben etwas editiert.

@ Homeboy: Hast du diese Exe (wie kann man nur ...) explizit noch einmal mit Antivir (Luke Filewalker) überprüft oder nur gedacht, "der Guard mault nicht, also sauber"?

Du solltest übrigens INTENSIV über Anleitung -> Neuaufsetzen des Systems und anschliessende Absicherung! nachdenken.
Ich habe dein HJT nur sporadisch überflogen, für mich ist mindestens die Hälfte unnötig (XP-Anti-Spy definitiv, für mich aber auch so Klump wie ICQ :aplaus: , Logitech-Zeug etc.). Dein Java ist extrem veraltet. Wenn du nicht ständig (oder häufig) mit einer Axis-Netzkamera kommunizieren musst/willst, schmeiß raus etc...
__________________
__________________

Alt 30.10.2006, 22:48   #4
Homeboy
 
Dr.exe und Log File - Ausrufezeichen

Dr.exe und Log File



Hallo!

Das Programm Killbox war mir neu und auch sehr erfolgreich in dem Löschen der 4 .exe Dateien.

Außerdem habe ich noch unter HiJack wie " gewünscht " :aplaus: sachen gelöscht wie z.B. ICQ, Logitech etc.

Nun habe ich aber immer noch das Problem mit O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing) da ich dieses leider mit HiJack nicht löschen kann und ich sonst davon auch nix finde, ja steht ja auch " File Missing " da.. Aber was tun ?

Dann habe ich unter C:/Windows noch die Datei Patcher.exe gefunden ( Anwendung, Dateiversion und Produktversion : 1, 0, 44, 07) mit der Größe von 189 KB wo ich ein ungutes Gefühl habe. Was sagt Ihr dazu ?

In dem derzeitigem HiJack Log sind noch :" R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
" diese 3 Einträge drinn, welchen Sinn habe diese und wenn unwichtig kann ich diese löschen/fixen ?

@Shadow : Ja ich habe die .exe mit Rechtsklick mit Antivir untersucht aber da hat er keine Meldung rausgegeben.

Außerdem habe ich 2 Java Ordner. Einmal Java 36,1 MB, j2re1.4.1_02 und noch Java Web Start, 1.0.0.2. Diese löschen oder einen behalten und irgendwo im I Net eine Neue Version suchen ?

Mein neuster HijackThis Log ist folgener :

Logfile of HijackThis v1.99.1
Scan saved at 22:18:03, on 30.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox2.0\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.googlemail.com/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools4.06\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Plug-in 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F91B95B2-8AB9-4A6A-815D-C97D94B5834B}: NameServer = 62.220.18.8 62.72.64.237
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NTBOOTMGR (NTBOOT) - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntuser.exe (file missing)
O23 - Service: NTLOAD - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)
O23 - Service: NTSVCMGR - Unknown owner - C:\WINDOWS\SYSTEM\DRIVER\ntsrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindService.exe

mit der Bitte nochmal drüber zu schauen und mir dazu dann noch zu sagen was ich machen soll !

Danke Euch mal wieder sehr für die Mühe und Eure immer fortwährende Arbeit für " uns User " !!

Alt 01.11.2006, 17:01   #5
Homeboy
 
Dr.exe und Log File - Standard

Dr.exe und Log File



über eine Hilfe , ein drüberschauen und ein wenn auch nur kurzes Auswerten wäre ich sehr dankbar..

Oder habe ich zuviel geschrieben?


Antwort

Themen zu Dr.exe und Log File
.exe datei, antivir, avira, bho, bootmgr, dateien, dll, explorer, file, firewall, hijack, hijackthis, icqtoolbar, internet, internet explorer, log, log file, logfile, löschen, mehrere, mein log, microsoft, nvidia, plug-in, programme, rundll, software, system, träge, unnütz, urlsearchhook, virus, virus/trojaner, windows, windows xp



Ähnliche Themen: Dr.exe und Log File


  1. PWS:Win32/Zbot malware : Trojan.Phex.TGen (File) und Trojan.Agent.IET (Registry Value und File)
    Log-Analyse und Auswertung - 16.01.2013 (15)
  2. File Restore / File Recovery - bin ich wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  3. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 30.03.2012 (13)
  4. "Failed to save all components from the file System32\00001590. The file is corrupted unreadable.."
    Log-Analyse und Auswertung - 29.12.2011 (14)
  5. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 11.11.2011 (24)
  6. Firefox.exe "wird gerade verwendet" - HiJackThis Log-File und AntiVir Log-File
    Log-Analyse und Auswertung - 23.07.2009 (2)
  7. HiJackThis Log File und Gmer file Für Rootkit Problem
    Log-Analyse und Auswertung - 28.02.2009 (12)
  8. HiJack Log-File, Malwarebytes Log File und DSS, bitte um Rat!:-(
    Log-Analyse und Auswertung - 17.06.2008 (2)
  9. Log fIle von combofix und erneutes HiJack Log-file
    Mülltonne - 03.05.2008 (0)
  10. Log-File
    Log-Analyse und Auswertung - 18.08.2007 (2)
  11. Log File
    Log-Analyse und Auswertung - 26.04.2007 (8)
  12. HJT Log-File ok ?
    Log-Analyse und Auswertung - 21.01.2007 (3)
  13. LOG File
    Log-Analyse und Auswertung - 16.10.2005 (1)
  14. Log File
    Log-Analyse und Auswertung - 31.03.2005 (4)
  15. Log file
    Log-Analyse und Auswertung - 07.01.2005 (5)
  16. Log File
    Log-Analyse und Auswertung - 15.11.2004 (1)
  17. Log File
    Log-Analyse und Auswertung - 07.11.2004 (8)

Zum Thema Dr.exe und Log File - Hallo Ihr lieben, hier mal mein Log File damit Ihr mal drüber schauen könnt. Hatte folgendes heute: Hatte mir über eMule einen " angeblichen " NoCD Crack gesaugt der ´ne - Dr.exe und Log File...
Archiv
Du betrachtest: Dr.exe und Log File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.