Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bidde ma schaun

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.12.2004, 14:31   #1
Pee
 
Bidde ma schaun - Standard

Bidde ma schaun



hab mein xp formatiert weil ich einen hijacker nicht entfernen
konnte, hijacker is weg, aber nu hab ich tausende von diesen
W32 Würmern...ka ob ich die nun los bin oder nicht. habe einfach alle dateien und
registrierungseinträge gelöscht die norton mir gesagt hat, oder von denen ich
wusste dass sie zum wurm gehören (winregs32.exe, crsss.exe,msa.exe, msdiag32.exe,
den rest habsch vergessen), seit dem meckert norton auch nicht mehr
(remote versucht auf win32 lala irgendwas zuzugreifen
bzw remote mein computer win32 versucht was von anderen abzuhören,
das kam auch wenn ich gar nicht im netz war, kann das n dialer
oder so sein? hab dsl, d ageht das doch gar net, oder?)
so und da ich mir nicht vorstellen kann dass wenn ich in der reg
rumpfusche alles wieder heile ist (war irgendwie zu einfach).
Sind die Würmer nu richtig weg oder ausgeschaltet?
hab ich mal den taskmann befragt und der hat folgendes ausgespuckt:
(dit und alg sind doch auch irgendwas seltsames, oder?)


svchost.exe (System)
savscan.exe (Sarah-bob)
alg .exe (Lokaler Dienst)
LUCOMS~1.EXE (Sarah-bob)
LUALL.exe (Sarah-bob)
taskmgr.exe (Sarah-bob)
CCPROXY:EXE (System)
CCEVTMGR.EXE (System)
SNDSrvc.exe (System)
CCSETMGR.EXE (System)
svchost.exe (lokaler Dienst)
svchost.exe (Netzwerkdienst)
svchost.exe (System)
javaw.exe (Sarah-bob)
svchost.exe (Netzwerkdienst)
svchost.exe (System)
lsass.exe (System)
services.exe (System)
winlogon.exe (System)
csrss.exe (System)
smss.exe (System)
winamp.exe (Sarah-bob)
SymWSC.exe (System)
CalCheck.exe (Sarah-bob)
msmsgs.exe (Sarah-bob) ..klingt auch böse...
CCAPP.EXE (Sarah-bob)
iexplore.exe (Sarah-bob)
atiptaxx.exe (Sarah-bob)
Dit.exe (Sarah-bob)
rundll32.exe (Sarah-bob) böse, oder?
scardsvr.exe (Lokaler Dienst)
spoolsv.exe (System)
explorer.exe (Sarah-bob)
jusched.exe (Sarah-bob)
explorer.exe (Sarah-bob)
NAVAPSVC.EXE (System)
System (System)
Leerlaufprozess (System)

weiss jemand was dieses svchost.exe ist? das hab ich immer 5-6 mal im taskmanager...

EDIT: NEUE PROZESSE: wuauclt.exe | realshed.exe


hilfe ich mag net schon wieder formatieren

fuß, Peechen

___________________
XP STINKT!!
__________________
[Keine Arme, keine Kekse] + [Life is a strange Sheep]
Sarah-Bob´s Empire ~> Wir leben den Traum ohne Nasenscheidewand !! Kunst & Müll

Geändert von Pee (22.12.2004 um 15:10 Uhr)

Alt 22.12.2004, 15:49   #2
HerrKautz
 
Bidde ma schaun - Standard

Bidde ma schaun



Poste bitte ein Log mit HijackThis hier her!

http://filepony.de/download-hijackthis/
__________________


Alt 22.12.2004, 16:57   #3
Cidre
Administrator, a.D.
 
Bidde ma schaun - Standard

Bidde ma schaun



Zitat:
hab mein xp formatiert ...nu hab ich tausende von diesen
W32 Würmern...Sind die Würmer nu richtig weg oder ausgeschaltet?
Weder noch. Das einzig vernünftigste wäre abermals ein Neuaufsetzen deines Systems mit anschliessender Absicherung VOR der ersten I-net Verbindung!
Gehe wie folgt vor: http://www.trojaner-board.de/showpos...28&postcount=2

Die von dir aufgezählten Dateien sind grösstenteils Würmer mit Backdoor Funktionalität, wie z.B. http://www.sophos.de/virusinfo/analyses/w32rbotrh.html :
Zitat:
# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
# Nutzt bekannte Schwachstellen aus
__________________
__________________

Alt 22.12.2004, 18:34   #4
Pee
 
Bidde ma schaun - Standard

Bidde ma schaun



geilo, danke. bis eben hatte ich die ilusion mit dem rumlöschen in der reg alles wieder heile gemacht zu haben gg
naja werd ich nochma formatieren. hab mir sp2 auf cd besorgt, damit ich nich ins netz muss zum installieren.
superdolle danke für den link mit der anleitung ich drucks mir aus und werd dann alles ganz genauso machen. wird schwer hab da keinen plan von mit den konten und so...
aber punkt 10 hab ich mir schon ans herz gelegt

danggeschööön

hallo herr kautz, das HijackThis spar ich mir, is ja unheilbar was ich da hab
__________________
[Keine Arme, keine Kekse] + [Life is a strange Sheep]
Sarah-Bob´s Empire ~> Wir leben den Traum ohne Nasenscheidewand !! Kunst & Müll

Alt 22.12.2004, 18:49   #5
Cidre
Administrator, a.D.
 
Bidde ma schaun - Standard

Bidde ma schaun



Zitat:
schwer hab da keinen plan von mit den konten und so
Wenn du dich am Desktop befindest, drückst du die Taste F1 (Hilfe & Support) und gibst als Suchbegriff "Benutzerkonten" ein.

__________________
Gruß, Cidre


Alt 23.12.2004, 03:38   #6
Pee
 
Bidde ma schaun - Standard

Bidde ma schaun



moin du
merci...mach ich mich mal ans werk...wenn ich nich heut nachmittag bericht erstatte hab ich die kiste aus dem fenster geschmissen gg
gruß, dat Püü
__________________
--> Bidde ma schaun

Alt 23.12.2004, 09:04   #7
Pee
 
Bidde ma schaun - Standard

Bidde ma schaun



sooo....habsch formatiert...und beim ersten hochfahren die gleichen prozesse wie voher kann der wurm (oder die würmer..) auch auf ner anderen partition sein? norton hat da nch nie was gefunden.
hab aber trotzdem alles nach anleitung gemacht, bin jetzt mit nem eingeschränkten konto drin...mit netscape, win + norton-firewalls an und aktuell, windows aktuell, usw
ieks, muss ich mein adminkonto eigentlich abmelden wenn ich ins netz will, oder reicht benutzer wechseln? EDIT2: die verbindung läuft auch beim adminkonto...muss das aber anlassen, weil ich über das eingeschränkte keine mucke hören kann verschiedene inetverbindungen basteln?

ich hab immernoch oft das meckerfenster mit dem "microsoft generic host versucht lalala win32 services zuzugreifen oder so ählich." bzw. "ein remotesystem versucht auf win32 lala ka zuzugreifen"

hab ein programm auf meinem pc gefunden was mir komisch vorkommt, remoteunterstützung. da stand: "Ermöglicht Ihnen, einen Bekannten aufzufordern, eine Verbindung mit Ihrem Computer herzustellen und Ihnen mit Computerproblemen zu helfen." -> hab ich gelöscht, will ich nicht

dann hab ich auf meiner D partition auf einmal nen ordner "dokumente und einstellungen" , da is eine datei "URLLists" von symantec drin. ich hab das da nich hingepackt. löschen?

EDIT: das automatische hijackauswertungsding hat gesagt alles gut ausser O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe, der is unbekannt. kann man sich da drauf verlassen? weil dann tu ich mich schonmal ein bischen freuen

so...nu nochma 2 hijacklogs:

(Adminkonto)
Logfile of HijackThis v1.99.0
Scan saved at 09:14:57, on 23.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Gott\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103785160196
O17 - HKLM\System\CCS\Services\Tcpip\..\{952FD178-9F31-4312-B90B-75A5080C35B9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

(eingeschränktes konto)
Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Pee\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103785160196
O17 - HKLM\System\CCS\Services\Tcpip\..\{952FD178-9F31-4312-B90B-75A5080C35B9}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

so genug genervt jetzt
__________________
[Keine Arme, keine Kekse] + [Life is a strange Sheep]
Sarah-Bob´s Empire ~> Wir leben den Traum ohne Nasenscheidewand !! Kunst & Müll

Geändert von Pee (23.12.2004 um 10:14 Uhr)

Alt 23.12.2004, 10:45   #8
chaosman
 
Bidde ma schaun - Standard

Bidde ma schaun



@Pee
in beide logfiles sehe ich nichts auffälliges
chaosman
__________________
Bonus vir semper tiro

Alt 23.12.2004, 12:05   #9
Pee
 
Bidde ma schaun - Standard

Bidde ma schaun



danka danke danke mein baby is heile, chaos ich liebe dich
und wehe cidre sagt was anderes-.- gg
is nu alles wieder gut *behaupt

ganz dolle danke für die tipps an alle

ich hab blos probleme mit den konten, muss manche programme doppelt installieren, weil die im eingeschränkten nich funzen. ausserdem hab ich festgestellt dass ich mit dem adminkonto auch online bin, obwohl ich im eingeschränkten konto ins netz gehe...verschiedene verbindungen gehn auch nich...das ja dann voll sinnlos mit den konten oder? aber egal. hauptsache kiste is ma sauber, ich werd nie wieder was runterladen

gruß & fuß,
peechen

ih nochma ne frage: kann ich mir meine homepage verseucht haben? hab neulich (während des wurmbefalls) mit dem IE was hochgeladen...
__________________
[Keine Arme, keine Kekse] + [Life is a strange Sheep]
Sarah-Bob´s Empire ~> Wir leben den Traum ohne Nasenscheidewand !! Kunst & Müll

Antwort

Themen zu Bidde ma schaun
.exe, 1.exe, anderen, computer, dateien, dialer, dienst, dll, dsl, einfach, entfernen, folge, folgendes, formatieren, gelöscht, hijacker, logon.exe, msa.exe, neue, nicht mehr, norton, prozesse, remote, system, taskman, träge, win32, wuauclt.exe, wurm, würmer



Ähnliche Themen: Bidde ma schaun


  1. Bitte mal schaun ob ich sauber bin
    Mülltonne - 02.01.2009 (0)
  2. drive cleaner - könnt ihr bitte mal schaun
    Log-Analyse und Auswertung - 11.08.2007 (17)
  3. bitte mal schaun und analyse machen
    Log-Analyse und Auswertung - 18.04.2007 (6)
  4. kann man jemand schaun :/
    Mülltonne - 01.12.2006 (0)
  5. Könntet ihr mal drüber schaun?
    Log-Analyse und Auswertung - 18.10.2006 (4)
  6. Kann bidde jemand Hijack auswerten und bei problem helfen?
    Log-Analyse und Auswertung - 09.09.2006 (6)
  7. Mal kurz drüber schaun....
    Mülltonne - 06.06.2006 (1)
  8. Smitfraud - bekomme ihn nicht weg - bitte mal schaun
    Log-Analyse und Auswertung - 11.05.2006 (9)
  9. Bitte mal schaun...
    Log-Analyse und Auswertung - 30.08.2005 (2)
  10. Hijackthis log bitte mal schaun
    Log-Analyse und Auswertung - 27.08.2005 (3)
  11. Bitte mal drüber schaun Logfile Hijackthis
    Log-Analyse und Auswertung - 24.06.2005 (1)
  12. Rechner spinnt seit gestern - Bitte mal schaun
    Log-Analyse und Auswertung - 19.05.2005 (6)
  13. und noch ein log zum prüfen, bidde
    Log-Analyse und Auswertung - 03.03.2005 (3)
  14. ma schaun bitte
    Log-Analyse und Auswertung - 28.12.2004 (8)
  15. bin ich sauber? bitte mal schaun ;)
    Log-Analyse und Auswertung - 07.10.2004 (2)
  16. Hilfe Habe Ich Virus Bidde Checken !!!
    Log-Analyse und Auswertung - 04.10.2004 (1)

Zum Thema Bidde ma schaun - hab mein xp formatiert weil ich einen hijacker nicht entfernen konnte, hijacker is weg, aber nu hab ich tausende von diesen W32 Würmern...ka ob ich die nun los bin oder - Bidde ma schaun...
Archiv
Du betrachtest: Bidde ma schaun auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.