| |
| |||||||
Log-Analyse und Auswertung: Hilfe bei logfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
29.07.2008, 17:53
| #1 |
 |  Hilfe bei logfile Hallo! Bei mir gibt es nach der Entfernung eines Trojaners durch Antivir Probleme mit meinem "Arcor Online Butler". Das ist eine Software, die für mein DSL-Modem zuständig ist. Das Problem ist, dass seit den letzten Virenscanns dieser "Butler" beim on gehen (dies mache ich manuelle, betätige also nen On-Button, er prüft das gespeicherte Passwort und gut is) oder auch nach einem Neustart, beim Versuch online zu gehen die Arcor-Online-Butler-Fehlermeldung 691 auftaucht, das angegebene Passwort sei falsch. Ich habe die Torheit begangen und mein zweimal neu eingegeben, das zweite Mal nach einem Neustart, habe jetzt natürlich Angst, dass da ein Trojaner vorgeschaltet war und wer weiß, welche Daten sonst noch in die Hände Dritter geraten sein könnten. Außerdem habe ich schon vor der zweiten Passworteingabe, also die mit dem Neustart, die sogenannte Starter Box (DSL-Box) sowie das Modem neugestartet. Dennoch kam es zu der Passwortfehlermeldung. Hier ist das hijackthis.log und ich wäre wirklich sehr verbunden, wenn mir jemand helfen könnte: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:48:08, on 29.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\Gemeinsame Dateien\NMSAccessU.exe C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\ArcorOnline\AOButler.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC196D2-1CF6-4B4F-B0AF-E8D6E748269C}: NameServer = 195.50.140.178 195.50.140.114 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6018 bytes |
|
29.07.2008, 18:00
| #2 |
| | Hilfe bei logfile P.S.: Ich nutze Antivir, Zone Labs Antivir, Spybot und AdAware 2007.
__________________ |
|
30.07.2008, 12:32
| #3 |
| | Hilfe bei logfile Das Problem ist immer noch da, also an Arcor scheint es nicht zu liegen. Bitte um Hilfe!
__________________Gruß Skorksi |
|
30.07.2008, 12:50
| #4 |
| | Hilfe bei logfile Gudde Herr Skorski, han mich mal schlau gemacht und n paar Leuts gefragt..die sind allesamt der Meinung das es nur mit deinem Provider (also Arcor) zusammenhängen kann. Die Fehlermeldung die du beschreibst erscheint nur bei falschem Benutzernamen bzw Passwort, oder aber wenn ein Fehler bei deinem Provider vorliegt. Die einstimmige Meinung zu diesem ´Problem ist das du dich mal bei Arcor melden solltest, und ggf dein Passwort "rücksetzen" lässt. Das heißt das ein Fehler auf denen ihrem Server dazu führt dass der Mukken macht bei deiner Einwahl..scheint zumindest so als ob das bei 99% der Leute zum Erfolg geführt hat... Auch wenn dein Problem schon seit 2 Tagen existiert ist das kein Garant dafür dass es nicht dennoch an Arcor liegt. Gehe persönlich nicht davon aus das sich bei dir ein Troajner eingeschlichen hat der dafür verantwortlich ist. Wäre natürlich dennoch nützlich wenn sich einer von den Fachleuten hier auch mal die Hijack-Logfile anschaut. Achja, habe deine Logfile auch mal auf der Hijack-Seite durchlaufen lassen und es wurde kein gefährlicher bzw unsicherer Prozess gefunden...ich würde jetzt zu 99,9% auf ein Verschulden seitens Arcor tippen. Geändert von Paywy (30.07.2008 um 13:01 Uhr) |
|
30.07.2008, 13:09
| #5 |
| | Hilfe bei logfile Ja, darum geht es mir auch. hijack.de hat auch nichts zu bemängeln, allerdings war da ein "neutraler Eintrag" dabei, in dem vorher auch ein Trojaner saß. Ich meine es halndelt sich hierbei um eine winsys-Datei. Aber vielen Dank. |
|
| Themen zu Hilfe bei logfile |
| ad-aware, adobe, antivir, avira, bho, dll, drivers, dsl-modem, explorer, firefox, helfen, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, neustart, nvidia, pdf, programme, rundll, scan, software, system, urlsearchhook, windows, windows xp |
Linear-Darstellung
