Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ein kurzer Blick bitteschön

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.12.2004, 19:10   #1
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Sitz gerade an einem fremden Rechner,

seht doch bitte das Log-File an. Automatische Auswertung ergab nichts.

Logfile of HijackThis v1.99.0
Scan saved at 19:59:53, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0900 Warner\w0svc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\DOKUME~1\ADAMBI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\INETUPD.EXE
C:\Programme\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {77A5638C-E711-42BB-845E-80302FCCC76A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {77A5638C-E711-42BB-845E-80302FCCC76A} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103735801437
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DEA773C-F2B3-43B6-81E7-4B2D9A606EE7}: NameServer = 145.253.2.196 145.253.2.203
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0900 Warner\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Vielen Dank

Alt 22.12.2004, 20:02   #2
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Ich versuch auch schon seit über einer halben Stunde eScan 4.0.2.5 upzudaten. Er ist aber grad mal bei 50%. Werde also das Log erst morgen einstellen können, da ich mal wieder nach Hause muss.
__________________


Alt 22.12.2004, 20:05   #3
chaosman
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



@Maxinator
"Ich versuch auch schon seit über einer halben Stunde eScan 4.0.2.5 upzudaten. Er ist aber grad mal bei 50%"

wenn es der kostenlose scanner ist
anleitung hier
geht normal unter 1 minute, bei DSL

was ist dein problem?

chaosman
__________________
__________________

Geändert von chaosman (22.12.2004 um 20:51 Uhr)

Alt 22.12.2004, 20:09   #4
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Beim update hängt er sich in der script.avc auf, er hält bei 0% an.
Werde die eScan noch mal downloaden.


Edit: Kaum fertig geschrieben, läufts auf einmal weiter. Aber komisch langsam mit ISDN. Grrrrh

Alt 23.12.2004, 19:59   #5
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Hi zusammen,

dieser Thread ist erstmal auf Eis gelegt. Wollte heute die Dame besuchen und eScan auswerten. Leider hat sie mich versetzt. Bin gestern um 23 Uhr, bei ca. 25 Viren und Dialern heim gefahren, da ich dem Elend nicht länger zusehen wollte
Hab mich etwas veräppelt gefühlt, da mir von ihrem Bekannten versichert worden ist, dass das Sytem formatiert und neu aufgesetzt wurde. Dem war auf jeden Fall nicht so. Naja, flieg ja am Dienstag in den Urlaub nach Vietnam.

Frohe Weihnacht und einen guten Rutsch


Alt 23.02.2005, 23:38   #6
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Hallo zusammen,

sitz wieder an dem Rechner der besagten Dame. Anbei die neue Logfile von HijckThis. EScan gab nur die Meldung raus, dass "D:\Tools\Divx\Video\Divx502Bundle.exe ein Virus sei"??? Ansonsten keine Meldung.

Logfile of HijackThis v1.99.1
Scan saved at 00:17:30, on 24.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v5.windowsupdate.microsoft.co...ult.aspx?ln=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103735801437
O17 - HKLM\System\CCS\Services\Tcpip\..\{8022D50E-B4E0-4B5F-A0EA-A48DC503283D}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0900WA~1\w0svc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Vielen dank für die Hilfe

Gruß
Marco


Edit: Der Online-Scan der Datei D:\Tools\Divx\Video\Divx502Bundle.exe bei jotti.org brachte folgendes:

File: DivX502Bundle.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
VISEMAN, PE_PATCH

AntiVir
No viruses found (0.42 seconds taken)
Avast
No viruses found (1.53 seconds taken)
AVG Antivirus
No viruses found (0.43 seconds taken)
BitDefender
No viruses found (1.70 seconds taken)
ClamAV
No viruses found (1.31 seconds taken)
Dr.Web
No viruses found (0.88 seconds taken)
F-Prot Antivirus
No viruses found (0.27 seconds taken)
Fortinet
No viruses found (0.45 seconds taken)
Kaspersky Anti-Virus
not-a-virus:Tool.Win32.Reboot (1.31 seconds taken)
mks_vir
No viruses found (0.31 seconds taken)
NOD32
No viruses found (0.48 seconds taken)
Norman Virus Control
No viruses found (0.19 seconds taken)

Geändert von Maxinator (24.02.2005 um 08:16 Uhr)

Alt 25.02.2005, 18:01   #7
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



hallo,

wollte nur mal nachfragenh ob das Logfile etwas aussagt, was nicht so gut ist. Die about:blank Einträge habe ich auch schon gefixt, wie in den einem Beitrag von Lutz gebeten wurde.
Mich würde auch noch interessieren, wieso in der Logfile in den Programmen von
0900 Warner und Spybot eine Tilde (~) drin ist.

Für ein Info bzw. Hilfe wäre ich nach wie vor sehr dankbar.

Alt 25.02.2005, 19:50   #8
Lutz
 

Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Der Jotti-Scan sagt im Grunde nur aus, dass die Datei mit einem 'ungewöhnlichen' Packer kommprimiert wurde und das es sich lt. Kaspersky-Signaturen um ein Programm mit einer Reboot-Funktion handelt. Imho kein Grund zur Besorgnis.
Das Log schaut für mich ebenfalls sauber aus.

Und die Tilde ist dann üblich, wenn die alte Dos-Konvention verwandt wird (max. 8 Stellen vor und 3 Stellen nach dem Punkt) bei Datei- und Pfadangaben. Warum das bei dem Dialer-Warner so ausgegeben wird, kann ich Dir allerdings auch nicht verraten.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 26.02.2005, 20:58   #9
Maxinator
 
Ein kurzer Blick bitteschön - Standard

Ein kurzer Blick bitteschön



Vielen Dank für deine ausführliche Information Lutz.

Gruß
Maxinator

Antwort

Themen zu Ein kurzer Blick bitteschön
.inf, acrobat, adobe, antivir, antivir update, auswertung, bho, button, explorer, hijack, hijackthis, home, internet, internet explorer, log-file, microsoft, nvidia, programme, rundll, rundll32.exe, software, system, system32, tcpip, temp, usb, windows, windows xp



Ähnliche Themen: Ein kurzer Blick bitteschön


  1. Security: Ein erster Blick auf ASP.NET Identity
    Nachrichten - 11.04.2014 (0)
  2. Datenweitergabe im Blick behalten
    Nachrichten - 27.12.2010 (0)
  3. Netzwerksicherheit im Blick
    Nachrichten - 22.09.2009 (0)
  4. Blick über den Tellerrand ins Linuxland
    Alles rund um Mac OSX & Linux - 04.02.2009 (0)
  5. Blick drauf setzen
    Log-Analyse und Auswertung - 20.08.2007 (44)
  6. Bitte ein blick drauf setzen
    Mülltonne - 15.08.2007 (3)
  7. Bitte um einen Blick
    Mülltonne - 02.07.2006 (1)
  8. Mal einen Blick rüber werfen
    Mülltonne - 01.07.2006 (2)
  9. Mal N Blick Draufwerfen ?
    Log-Analyse und Auswertung - 18.06.2006 (7)
  10. Bitte ein Blick drauf werfen
    Log-Analyse und Auswertung - 15.02.2006 (3)
  11. Log file ich blick da nicht durch
    Log-Analyse und Auswertung - 14.01.2006 (1)
  12. Das Gegenteil vom Trojaner-Board ? Bitteschön !
    Plagegeister aller Art und deren Bekämpfung - 24.05.2005 (1)
  13. Könnt ihr da mal n Blick drauf werfen?
    Log-Analyse und Auswertung - 13.03.2005 (2)
  14. Bitte mal nen Blick draufwerfen
    Log-Analyse und Auswertung - 09.01.2005 (10)
  15. hilfe!!! ich blick net durch :-(
    Plagegeister aller Art und deren Bekämpfung - 07.01.2005 (20)
  16. Blick in meine Logs
    Log-Analyse und Auswertung - 25.08.2004 (2)
  17. Wer hat Plan und riskiert mal nen Blick??
    Log-Analyse und Auswertung - 23.06.2004 (19)

Zum Thema Ein kurzer Blick bitteschön - Sitz gerade an einem fremden Rechner, seht doch bitte das Log-File an. Automatische Auswertung ergab nichts. Logfile of HijackThis v1.99.0 Scan saved at 19:59:53, on 22.12.2004 Platform: Windows XP SP2 - Ein kurzer Blick bitteschön...
Archiv
Du betrachtest: Ein kurzer Blick bitteschön auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.