Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich bitte um Prüfung meines Logs

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 31.12.2004, 13:31   #1
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Hallo,
zunächst mal gleich vorab recht herzlichen Dank für Eure Hilfe.
Ich hab zwar schon adaware, spybot und antivir drüberlaufen lassen und bei google geguckt, aber ich komm nicht drauf was da los ist. Wir haben ein hauseigenes Mininetzwerk mit 3 PCs. Deshalb denke ich das das proxyplus und 192.168... in Ordnung geht.
Aber wo kommt das bei R1 angegeben google-Zeugs her?

Es tritt folgender Fehler auf:
Ständige CPU-Auslastung nahe 100 Prozent und der Rechner lahmt von der Geschwindigkeit her.
Nach ca. 30 min Internet ist der Cache so vollgemüllt das der Rechner abkotzt und ich weiß nicht mit was oder wo das mengenmäßig herkommt.
Wer weiß Rat?

Vielen Dank und guten Rutsch

matteo


Logfile of HijackThis v1.97.7
Scan saved at 12:44:23, on 31.12.04

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

D:\FIREWALL\OUTPOST.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAMME\PROXYPLUS\PROXYPLUS.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE

C:\WINDOWS\TASKMON.EXE

C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie?hl={SUB_RFC1766}

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.1

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/

O4 - HKLM\..\Run: [Outpost Firewall] D:\FIREWALL\outpost.exe /waitservice

O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\RunServices: [Outpost Firewall] D:\FIREWALL\outpost.exe /service

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ProxyPlus] C:\PROGRAMME\PROXYPLUS\ProxyPlus.exe

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...984.4979861111

O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312

O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab




Alt 31.12.2004, 17:49   #2
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Hallo,

ich habe vorhin noch was vergessen, denn als Windows-Benutzer ist man ja an Kummer gewöhnt:

Beim normalen Herunterfahren kommt nach dem Windows-Flügelchen der Schlußbildschirm: "Sie können den Computer jetzt ausschalten" Das kommt aber nur für einen ganz kurzen Augenblick lang und sofort darauf kommt ein Blue Screen: Der schwere Ausnahmefehler OE ist aufgetreten an der Adresse 0028:00000015. Ich dachte bisher das sein halt bei Windows so, das immer der schwere Ausnahmefehler an irgendeiner Adresse oder sonstwo auftritt. Bei Google hab ich dazu auch nichts passendes gefunden. Wenn man dann den Any-Key drückt kommt anschließend ein schwarzer Bildschirm mit einer bunten punktierten Linie am obersten Rand.

Im Normalfall mag nach dem schweren Ausnahmefehler der gemeine Windows-PC dann gerne so ein völlig nutzloses Scan-Disc machen (Ich habe noch nier erlebt das dabei irgendwas gefunden worden wäre). Das macht meiner aber nicht. Beim Wiederanschalten murkst er zwar ewig auf der Festplatte rum, so ca. 4 Minuten, fährt dann aber ohne weitere Ausreden hoch.

Anders, wenn er abgekotzt, also festgefahren war, das sich keine Maus- und keine Tastenbefehle mehr haben ausführen lassen, nicht mal mehr Strg-Alt-Entf. Dann mag er beim Wiederanschalten sein Scan-Disc haben.

Noch einen guten Rutsch wünscht

matteo



__________________


Alt 31.12.2004, 18:19   #3
Cidre
Administrator, a.D.
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Versuch es hiermit: http://www.win98banter.com/showthread.php?t=1162
__________________
__________________

Alt 01.01.2005, 21:15   #4
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Hallo Cidre,

recht vielen Dank für Deine Mühe. Mit meinem Hijackthis-Log bin ich ja hier offenbar ein Waisenknabe, weil auf meinem PC so wenig los ist, bzw. hilft das nicht recht weiter.

Ich mußte unter msconfig "Schnelles Herunterfahren deaktivieren". Offenbar hat sich das Win98 hier selbst ins Knie geschossen indem einerseits die Festplatte noch irgendwas schreiben wollte, aber andererseits schon "Shutdown" angesagt war.

Also mein PC läßt sich wenn er nur kurz angeschaltetet war nun wieder vorschriftsmäßig runterfahren, wenn er allerdings über ca. 30 Minuten angeschaltet ist geht er nach wie vor fest. Bei Ebay wollte ich vorhin was nachschauen, ging aber nicht mehr, weil er etwa beim Aufbau der Hälfte der Seite, jedenfalls dem blauen Balken nach, festgefahren war.

Graues Anzeigefenster: Iexplore verursacht einen Fehler im Modul32.DLL. Stand noch mehr dort, aber ging nicht innerhalb des Fensters runterzuscrollen.

Anzeige war nur schließen möglich, aber auch das ging nicht.

Ich habe dann 3 Mal versucht das Iexplore mit Strg-Alt-Entf zu schließen, ging dann bei 3. Mal

Allerdings hat der PC dann kurz bevor gar nix mehr ging noch von selbst einen Prozess namens Mmtask aufgemacht. Keine Ahnung für was das gut ist.

Tatsache ist, das die Kiste nach wie vor riesige temporäre Dateien anlegt, bis alles stillsteht.

Kann man das irgendwie anders feststellen was der PC so alles macht, was er nicht soll?

Gruß und vielen Dank

matteo


Alt 01.01.2005, 22:41   #5
Cidre
Administrator, a.D.
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Zitat:
Iexplore verursacht einen Fehler im Modul32.DLL
Bist du dir da sicher, dass da Modul32.DLL stand?
Zitat:
Prozess namens Mmtask aufgemacht.
http://www.neuber.com/taskmanager/de...mtask.tsk.html
Zitat:
Tatsache ist, das die Kiste nach wie vor riesige temporäre Dateien anlegt, bis alles stillsteht.
Wo werden eigentlich diese Temp Dateien angelegt (genaue Pfadangabe)?

__________________
Gruß, Cidre


Alt 21.01.2005, 13:24   #6
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Tojaner Swizzor BQ



Hallo,

das Performance-Problem das mein PC so langsam lief kam m.E. davon das ein sog. Download-Trojaner drauf war. Der PC war irgendwie ständig beschäftigt irgendwelche Verbindungen herzustellen um irgendwelchen Müll herunterzuladen. Und zwar (alles frisch upgedatet) fanden Antivir und das Lavasoft-adware nichts, nur Spybot meldete: Funde: Swizzor-BQ.
(Kommt warscheinlich daher, das dieser Trojaner mit willkürlich produzierten Einträgen arbeitet und über html-emails über Outlook eingeschleppt wurde, obwohl nie was angeklickt wurde was kritisch aussah. - Sophos hat 275 Einträge wenn man bei Suche "swizzor" eingibt)

Ich habe dann alles gemacht, was bei der Sophos-Entfernung zu diesem Thema steht:

Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects
(CLSID)


Löschen Sie den Eintrag, sofern er existiert.

Suchen Sie unter HKEY_CLASSES_ROOT folgende Einträge:

HKCR\CLSID\(CLSID)\InprocServer32
(Default)
<Pfad zur Trojaner-DLL>


HKCR\CLSID\(CLSID)\InprocServer32
ThreadingModel
Apartment


Löschen Sie die Einträge, sofern sie existieren.

Schließen Sie den Registrierungseditor

Wahrscheinlich habe ich aus dem regedit nun zuviel herausgelöscht.

1. Unter HKLM habe ich diesen Eintrag BHO komplett gelöscht und

2. Unter HKCR habe ich dieses eingeklammerte (CLSID) komplett entfernt.
Hier waren ca. 12.000 Einträge drin. Alles offenbar willkürlich produzierte .dlls usw., ohne Herkunftseintrag bei "Eigenschaften".

Vorher habe ich aber die komplette Registrierung unter "eigene Dateien" kopiert.

Aber jetzt das Problem:

Ich komme nicht mehr dran.
(WIN 98 I, siehe 1. Posting)
Der PC fährt schön hoch, und läßt sich auch davon durch nichts abbringen, geht auch nicht in den abgesichten Modus mit f8, zwischendrin komt mal "Floppy Disk nicht gefunden" oder sowas. Auch auf Startdiskette und Windows-CD reagiert er nicht. Dann macht er schön sein Scandisc, was er sowieso gerne tut und bringt graues Fenster "keine Maus da - klick o.k.", dann den Bildschirmhintergrund und die Paßwortabfrage.
Gibt man kein Paßwort ein, und läßt die Abfrage so stehen kann ich über mein Mininetzwerk von dem anderen PC ins Internet (Da sitze ich nämlich gerade).

Mit Strg+Alt+Entf zeigt er nur 2 aktiv laufende Prozesse an und zwar: Proxyplus und Rnaap, sonst nichts.

Gebe ich das Paßwort ein, geht wenige Sekunden später alles fest und es kommt : Fehler im Iexplore: Ungültiger Vorgang an 015f:00401f31
Da geht nur Schließen, aber auch das geht nicht, weil alles eingefroren ist.

Das ich eventl. alles neu aufsetzen muß ist mir schon klar, aber wie komme ich an meine Daten, bzw. wenn ich dran käme könnte ich auch diese Windows-Registrierung zurückspielen.
Ich bin etwas ratlos, hat jemand einen Tip für mich?

Gruß

matteo

Alt 21.01.2005, 16:46   #7
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Hallo,

in meinem vorangehenden Posting habe ich die Fehlermeldung unmittelbar vor dem Einfrieren falsch angegeben:

Da steht:

Explorer verursachte einen Fehler durch eine ungültige Seite im Modul explorer.exe bei 015f:00401f31.
Ich ba das mal gegooglet, da kommen 26 Einträge mit denen ich aber nichts anfangen kann.

Der Fehler beim Hochfahren lautet:
Floppy disc(s) fail (80)
Press f1 oder DEL


Gruß

matteo

Alt 21.01.2005, 17:17   #8
The Saint
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Guck mal HIER

Vielleicht hilft dir das weiter!

MfG. The Saint

Alt 21.01.2005, 17:37   #9
matteo
 
Ich bitte um Prüfung meines Logs - Standard

Ich bitte um Prüfung meines Logs



Hallo The Saint,

die Fehlermeldung ist zwar die gleiche, aber ansonsten denke ich hat das nichts miteinander zu tun. Die bei ms genannte Treiberfusionsmonstersoftware von Multi-Media-.... habe ich nicht installiert. Das in dem Artikel geannte Problem kommt nur offenbar daher weil zwei Dateien von unterschiedlichen Herstellern die gleiche Bezeichnung haben. Und da reagiert win mit abkotz...
Trotzdem vielen Dank

Gruß matteo

Antwort

Themen zu Ich bitte um Prüfung meines Logs
antivir, cpu-auslastung, explorer, fehler, firewall, folge, google, herzlichen dank, hijack, hijackthis, internet, internet explorer, lahm, log, microsoft, object, programme, rechner, setup, shockwave, software, spybot, start, system, update, windows



Ähnliche Themen: Ich bitte um Prüfung meines Logs


  1. MAL Ware Problem ! Bitte um Prüfung meines Logfiles!
    Log-Analyse und Auswertung - 02.05.2010 (2)
  2. Bitte um Prüfung meines Logs
    Log-Analyse und Auswertung - 18.03.2009 (1)
  3. Bitte um Prüfung meines Logs
    Mülltonne - 28.05.2008 (0)
  4. Virus im Netzwerk! Bitte um Prüfung meines HiJack-Logs
    Mülltonne - 18.03.2008 (0)
  5. Bitte um Prüfung des Logs
    Log-Analyse und Auswertung - 09.01.2008 (0)
  6. Bitte Prüfung meines Logfiles
    Log-Analyse und Auswertung - 15.08.2007 (1)
  7. Bitte um Prüfung meines Logfiles
    Log-Analyse und Auswertung - 08.03.2007 (18)
  8. Bitte um Prüfung des Logs
    Log-Analyse und Auswertung - 31.12.2006 (1)
  9. Bitte um Analyse meines Logs
    Log-Analyse und Auswertung - 10.08.2006 (4)
  10. Bitte um Prüfung meines HJT Log-Files
    Log-Analyse und Auswertung - 16.12.2005 (4)
  11. Bitte um Prüfung meines Logs...
    Log-Analyse und Auswertung - 09.06.2005 (2)
  12. bitte um überprüfung meines logs
    Log-Analyse und Auswertung - 27.04.2005 (2)
  13. Bitte um Prüfung des Hijack logs
    Log-Analyse und Auswertung - 24.03.2005 (12)
  14. Bitte um Prüfung der logs!!!
    Log-Analyse und Auswertung - 25.01.2005 (5)
  15. Bitte um Kontrolle meines Logs
    Log-Analyse und Auswertung - 16.12.2004 (1)
  16. Bitte um prüfung meines Logfile
    Log-Analyse und Auswertung - 16.11.2004 (4)
  17. Bitte im Prüfung meines Logfile's ...
    Log-Analyse und Auswertung - 14.09.2004 (8)

Zum Thema Ich bitte um Prüfung meines Logs - Hallo, zunächst mal gleich vorab recht herzlichen Dank für Eure Hilfe. Ich hab zwar schon adaware, spybot und antivir drüberlaufen lassen und bei google geguckt, aber ich komm nicht drauf - Ich bitte um Prüfung meines Logs...
Archiv
Du betrachtest: Ich bitte um Prüfung meines Logs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.