Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: W2K SP4 fährt nach ca 5 min rutner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.12.2004, 20:43   #1
Falko70
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



Hallo Leute,

ich habe einen PC mit W2K SP4 gepatcht bis MS04-030. Der PC war mit Viren verseucht. In der Registry stört mich noch der Eintrag kalvsys ... (siehe Hijacker Log.

Scan saved at 20:12:37, on 15.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Install\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvkck32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NMS Service - Intel Corporation - C:\WINNT\System32\NMSSvc.exe

Der PC fährt regelmäßig nach ca. 5 min runter. Dabei ist es nicht von Bedeutung, ob der PC per ISDN mit einem anderen PC (pcanywhere) verbunden ist.

Schaut euch mal das LOG an, und sagt mir, was mich noch erwischt hat.

Grüsse Falko70

Alt 15.12.2004, 21:04   #2
chaosman
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



@Falko70
wechsle in den abgesicherten modus und fixe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmiracle.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINNT\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [kalvsys] C:\winnt\system32\kalvkck32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Handelt es sich bei diesen Einträgen nicht um die Adresse des PC-Händlers oder des 'Internet-Service-Provider (ISP)', sollten diese Einträge mit HijackThis gefixt werden.
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

lösche manuell
C:\WINNT\web\related.htm
C:\winnt\system32\kalvkck32.exe
C:\WINNT\EliteToolBar\EliteToolBar version 58.dll
C:\WINNT\ELITES~1\ELITES~1.DLL
neu starten und ein neues logfile posten
chaosman
__________________

__________________

Alt 15.12.2004, 21:39   #3
Falko70
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



Hallo chaosman,


Die Datei C:\winnt\system32\kalvkck32.exe existiert nicht. Nach dem Löschen des reg-Schlüssels, wird dieser immer wieder neu erstellt.

Gruß Falko70
__________________

Alt 15.12.2004, 21:45   #4
*Christian*
Gast
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



Aktiviere über den Explorer in deinen Ordneroptionen die Einträge "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen".

Dann such die Datei und lösche sie im abg. Modus.

Alt 15.12.2004, 22:10   #5
Falko70
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



Hallo Christian,

diese Optionen habe ich aktiviert, sonst würd ich Ordner \root\system32\ keine *.dll, *.exe sehen. Diese sehe ich aber alle.

Gruß Falko70


Alt 06.01.2005, 10:25   #6
Windhund
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



Guten Tag, zusammen,
ich habe hier das gleiche Problem.
Mein System ist ebenfalls gereinigt, ich bekomme nur diesen Eintrag nicht weg.
Alle Dateien der Kalvsys sind gelöscht, entfernt in irgendeiner Karantäne verschoben und trotzdem kommt der Eintrag in der Startdatei immer und immer wieder.

Alt 21.01.2005, 08:53   #7
henrys
 
W2K SP4 fährt nach ca 5 min rutner - Böse

W2K SP4 fährt nach ca 5 min rutner



Zitat:
Zitat von Windhund
Guten Tag, zusammen,
ich habe hier das gleiche Problem.
Mein System ist ebenfalls gereinigt, ich bekomme nur diesen Eintrag nicht weg.
Alle Dateien der Kalvsys sind gelöscht, entfernt in irgendeiner Karantäne verschoben und trotzdem kommt der Eintrag in der Startdatei immer und immer wieder.

Bei mir das Gleiche und zwar unter WinXP.

Egal ob ich das System abgesichert starte, vorher die Systemwiederherstellung deaktiviere, den Eintrag aus dem Taskmanager entferne, die dazugehörigen Dateien lösche - kalvsys.exe taucht bei jedem Systemneustart wieder auf. Bin wirklich ratlos - und bin beileibe kein Noob.

Alt 21.01.2005, 09:01   #8
chaosman
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



@henrys und Windhund
jeweils eigenen Thread öffen und HJT logfile posten
http://www.hijackthis.de/
anleitung


versuche mal das hier
TotalCommander
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\winnt\system32\kalvkck32.exe und lösche (markieren -> F8 -> JA) die beanstandeten Dateien.
ZitatCidre

chaosman
__________________
Bonus vir semper tiro

Alt 21.01.2005, 09:17   #9
Shadow
/// Mr. Schatten
 
W2K SP4 fährt nach ca 5 min rutner - Standard

W2K SP4 fährt nach ca 5 min rutner



http://www.sophos.de/virusinfo/analy...startpank.html:

Zitat:
Troj/StartPa-NK ist ein Trojaner für die Windows-Plattform.

Wenn Troj/StartPa-NK das erste Mal gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei jeder Benutzeranmeldung automatisch aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
kalvsys
"<Windows-Systemordner>\kalvkmi32.exe"

Die folgenden Registrierungseinträge werden ebenfalls erzeugt:

HKCU\Software\LQ\
<mehrere Einträge>

HKLM\SOFTWARE\Elitum\
<mehrere Einträge>

HKLM\SOFTWARE\Microsoft\DownloadManager\
<mehrere Einträge>

HKLM\SOFTWARE\ohbbackup\
<mehrere Einträge>

Der Trojaner kann Informationen aufspüren und diese an einen remoten Benutzer über HTTP senden.

Troj/StartPa-NK kann auch versuchen, beliebige Dateien herunterzuladen und auszuführen.

Der Trojaner ändert die von Internet Explorer verwendeten Speicherorte für temporäre Dateien, im Cache gespeicherte Seiten und Cookies.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Antwort

Themen zu W2K SP4 fährt nach ca 5 min rutner
.inf, antivir, antivir update, bho, button, dateien, datenträger, explorer, hijacker, internet, internet explorer, links, microsoft, programme, registry, software, start, symantec, system, system32, tools, update, viren, web, windows



Ähnliche Themen: W2K SP4 fährt nach ca 5 min rutner


  1. Laptop fährt nicht in Standby nach Zuklappen
    Alles rund um Windows - 08.08.2014 (18)
  2. Nach bka 2.0.7 fährt PC nicht mehr runter
    Plagegeister aller Art und deren Bekämpfung - 05.09.2012 (3)
  3. Nach MAM scan fährt PC nichtmehr hoch
    Plagegeister aller Art und deren Bekämpfung - 31.03.2012 (20)
  4. Nach Trojanerwarnung fährt der PC nicht mehr hoch!
    Plagegeister aller Art und deren Bekämpfung - 17.08.2011 (10)
  5. Computer fährt 5-10 Minuten nach Spielstart in Stromsparmodus...
    Alles rund um Windows - 26.10.2010 (0)
  6. Windows fährt nach 1 Min herunter
    Alles rund um Windows - 08.08.2010 (6)
  7. Rechner fährt nach Anmeldung runter
    Plagegeister aller Art und deren Bekämpfung - 02.04.2010 (9)
  8. PC fährt nur nach schließen von Prozess: OneClick.exe runter
    Alles rund um Windows - 29.03.2010 (1)
  9. Rechner bricht nach 5 Min. ab (fährt NICHT runter)
    Netzwerk und Hardware - 22.08.2009 (13)
  10. PC fährt nach countdown runter
    Mülltonne - 17.12.2008 (0)
  11. Nach WMP11 Start fährt der PC in 60s runter
    Alles rund um Windows - 01.02.2008 (14)
  12. PC fährt sofort nach Starten runter etc.
    Log-Analyse und Auswertung - 16.09.2007 (1)
  13. Windows fährt runter nach Beenden des RPC-Dienstes
    Log-Analyse und Auswertung - 13.03.2007 (3)
  14. Virus? Ps fährt nach Start runter.
    Plagegeister aller Art und deren Bekämpfung - 24.01.2006 (4)
  15. Fehlermeldung nach SP 2 Installation, PC fährt fest
    Alles rund um Windows - 12.07.2005 (13)
  16. XP Prof. fährt nach 60 Sek. runter
    Plagegeister aller Art und deren Bekämpfung - 04.03.2005 (14)
  17. pc fährt nach 3 - 5 min runter
    Log-Analyse und Auswertung - 02.03.2005 (1)

Zum Thema W2K SP4 fährt nach ca 5 min rutner - Hallo Leute, ich habe einen PC mit W2K SP4 gepatcht bis MS04-030. Der PC war mit Viren verseucht. In der Registry stört mich noch der Eintrag kalvsys ... (siehe Hijacker - W2K SP4 fährt nach ca 5 min rutner...
Archiv
Du betrachtest: W2K SP4 fährt nach ca 5 min rutner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.