Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ein paar einträge im escan logfile, danke fürs durchsehen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 01.08.2007, 10:51   #1
Edward
 
ein paar einträge im escan logfile, danke fürs durchsehen - Standard

ein paar einträge im escan logfile, danke fürs durchsehen



Hi Leute,

nach langer Zeit Ruhe bin ich wieder hier

Meine Freundin hat sich den schon bekannten msn Wurm eingefangen um den es hier aber vordergründig nicht gehen soll, da es ja schon genügend anweisungen was zu tun ist vorhanden sind

nunja, daraufhin wollte ich ihr system neu aufsetzen und habe mir gedacht ein scan meines systems, von dem ich die externe platte zur rettung von daten benutzen wollte wäre sinnvoll...zudem befinden wir uns im gleichen heimnetzwerk , was ein scannen ebenfalls befürwortet

nun gut, leider gottes wurden da ein paar einträge gefunden und jetzt würde ich gerne von euch wissen, was denn da im argen ist. hier also mein escan log

gruß edward


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with mybugfreepc Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\Gemeinsame Dateien\InstallShield\engine\6\Intel 32\iKernel.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\wpdsp32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\wpdsp32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\wpdsp32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\User\Desktop\für Christian\(Audio Dx & Vst & Rtas Plugin) - Waves Native Platinum Bundle 3.5.rar nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\TrackMania Nations ESWC\GameData\Cache\192e02ae_Vehicles%5cStadiumCar%5cEnzoF1.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\TrackMania Nations ESWC\GameData\Cache\45e0c0a8_Vehicles%5cStadiumCar%5crage_exodus.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 165097
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 248
Dauer des Scans bisher: 02:12:39
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 11:42:30,59
Batchende: 11:42:35,65


Edith wollte noch das hier sagen:

Hab noch schnell einen HijackThis logfile erstellt. biddööö:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:17:58, on 01.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
F:\Programme\protools\Digidesign\Drivers\MMERefresh.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\DSP24Set.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {F447F230-DB45-42CA-9CF7-696F6B716591} - C:\WINDOWS\system32\wpdsp32.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AudioDSP24 External Links] EL.EXE
O4 - HKLM\..\Run: [DigidesignMMERefresh] F:\Programme\protools\Digidesign\Drivers\MMERefresh.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**p://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101821136920
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**p://katalog.stbib-koeln.de/Components/PrintHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{313A5711-EF0B-48E7-A0A0-8FE5C58C175E}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D633DA7E-DCBA-4694-B477-0DBEB1AE69C1}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Digidesign MME Refresh Service (DigiRefresh) - Digidesign, A Division of Avid Technology, Inc. - F:\Programme\protools\Digidesign\Drivers\MMERefresh.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5396 bytes

Geändert von Edward (01.08.2007 um 11:23 Uhr)

Alt 01.08.2007, 11:47   #2
inFiniTY
Gesperrt
 
ein paar einträge im escan logfile, danke fürs durchsehen - Standard

ein paar einträge im escan logfile, danke fürs durchsehen



O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

Das dürfte nichts gutes sein, lass das mal bei Virustotal auswerten

Ansonsten sehe ich nichts im HJT-Log

im eScan siehts schon komischer aus...die Spyware dürfte ja kein großes Problem sein...
Das verstehe ich jetzt aber irgendwie nicht...

Zitat:
Datei C:\Programme\Gemeinsame Dateien\InstallShield\engine\6\Intel 32\iKernel.exe infiziert von "Exe.Corrupted" Virus.

File C:\WINDOWS\system32\wpdsp32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a".
Seit wann ist Stud not-a-virus
__________________


Geändert von inFiniTY (01.08.2007 um 11:48 Uhr) Grund: schön doof wenn man statt quote code nimmt

Alt 01.08.2007, 11:57   #3
Edward
 
ein paar einträge im escan logfile, danke fürs durchsehen - Standard

ein paar einträge im escan logfile, danke fürs durchsehen



das mit der ikernel.exe kann man glaub ich auch vernachlässigen, ich habe mal eine neue version vom installshield aufpespielt und die alte ist noch im system... muss ich wohl mal löschen.

bezüglich der nwprovau.dll ist das einzige ergebnis was geliefert wird:

FileAdvisor 1 2007.08.01 No threat detected, but known vulnerabilities exist

scheint also auch in ordnung...


aber der letzte eintrag den du bemängelst... was ist zu tun? und was genau meinst du mit "Seit wann ist Stud not-a-virus "

gruß
georg
__________________

Alt 01.08.2007, 13:59   #4
myrtille
/// TB-Ausbilder
 
ein paar einträge im escan logfile, danke fürs durchsehen - Standard

ein paar einträge im escan logfile, danke fürs durchsehen



Hi,

Stud ist, (wie der name sagt: adware.not-a-virus.stud ), adware und kein Virus und daher auch nicht weiter problematisch zu entfernen.

Die entsprechende Datei bitte löschen und dann folgenden Eintrag bei HijackThis fixen:
Zitat:
O2 - BHO: (no name) - {F447F230-DB45-42CA-9CF7-696F6B716591} - C:\WINDOWS\system32\wpdsp32.dll
Die restlichen eScanmeldungen sind bekannte Falsepositives.
(exe.corrupted bedeutet eigentlich nur, dass eScan findet, dass sich die Datei nicht verhält wie sie sollte. Das kann zb auf eine manipulierte Datei hinweisen, ist aber meistens harmlos. Da bei dir kein weiterer Befall zu existieren scheint, kannst du davon ausgehen, dass es, wie du shcon meintest "harmlos" ist)

Die bei Virustotal ausgewertete Datei gehört übrigens zu Windows (glaub Netware, oder so ähnlich), sie mag Löcher haben, aber schädlich ist sie an sich nicht.

Dein Log sieht ansonsten sauber aus!

lg myrtille

Alt 01.08.2007, 14:20   #5
inFiniTY
Gesperrt
 
ein paar einträge im escan logfile, danke fürs durchsehen - Standard

ein paar einträge im escan logfile, danke fürs durchsehen



Also irgendwie bin ich blöd

Ich hab irgendwie Stud mit Zlob verwechselt


Antwort

Themen zu ein paar einträge im escan logfile, danke fürs durchsehen
antivir, avira, bho, desktop, drivers, excel, exe.corrupted, externe platte, fehler, festplatte, firefox, helper, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, hosts-datei, internet, internet explorer, logfile, maßnahme, mozilla, mozilla firefox, neu aufsetzen, registry, s-1-5-18, scan, software, stick, system, system neu, system neu aufsetzen, trend micro, träge, unknown file in winsock lsp, viren, windows, windows xp, windows\system32\drivers, wurm



Ähnliche Themen: ein paar einträge im escan logfile, danke fürs durchsehen


  1. Logfile durchsehen
    Log-Analyse und Auswertung - 23.06.2009 (1)
  2. Kann mir bitte jemand mein Logfile durchsehen??
    Mülltonne - 03.02.2009 (0)
  3. Adware Memwatcher Logfile durchsehen
    Mülltonne - 30.07.2008 (0)
  4. Bitte Logfile durchsehen - benötige eure Hilfe
    Log-Analyse und Auswertung - 28.07.2008 (36)
  5. bitte logfile durchsehen...was ist mein Problem?
    Log-Analyse und Auswertung - 26.07.2008 (19)
  6. Logfile durchsehen
    Mülltonne - 23.07.2008 (0)
  7. Bitte mein Logfile durchsehen / Antivirus 2008 XP
    Log-Analyse und Auswertung - 22.07.2008 (7)
  8. Bitte LogFile durchsehen,Problemmi Taskmanager...
    Mülltonne - 20.07.2008 (0)
  9. Kann bitte jmd. den Logfile durchsehen ?
    Log-Analyse und Auswertung - 02.07.2008 (1)
  10. eScan Log bitte durchsehen!
    Log-Analyse und Auswertung - 27.09.2007 (2)
  11. Bitte auch mal mein Logfile durchsehen
    Mülltonne - 09.07.2007 (2)
  12. Bitte paar punkte im Log durchsehen
    Log-Analyse und Auswertung - 09.07.2007 (2)
  13. Kann mir bitte jemand das LOGFILE durchsehen???
    Log-Analyse und Auswertung - 20.07.2006 (4)
  14. HijackThis Logfile: bitte mal durchsehen!
    Log-Analyse und Auswertung - 23.04.2006 (4)
  15. Hilfe!!! bitte mal logfile durchsehen
    Log-Analyse und Auswertung - 18.04.2006 (6)
  16. Hijack This Log + eScan Einträge
    Log-Analyse und Auswertung - 29.05.2005 (9)
  17. HijackThis Logfile bitte durchsehen
    Log-Analyse und Auswertung - 23.05.2005 (8)

Zum Thema ein paar einträge im escan logfile, danke fürs durchsehen - Hi Leute, nach langer Zeit Ruhe bin ich wieder hier Meine Freundin hat sich den schon bekannten msn Wurm eingefangen um den es hier aber vordergründig nicht gehen soll, da - ein paar einträge im escan logfile, danke fürs durchsehen...
Archiv
Du betrachtest: ein paar einträge im escan logfile, danke fürs durchsehen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.