Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hallo! Look this log!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.01.2005, 19:08   #1
totdenwürmern
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Hallo da draußen!

Wie viele hier im Forum habe auch ich ein Porb mit meinem PC!

Folgender Werdegang!

1. IE meldet nach Abmeldung "eine Bibliotheksdatei würde fehlen"
2. Beim nächsten Start des IE braucht dieser wesentlich länger zum finden
meiner Startseite!
3. Beim Anklicken bestimmter Seiten (Konfiguratoren von Pkw-Herstellern pp.)
werde ich aus dem IE geworfen und muß mich neu einloggen.
4. Das ging ca. 6 Wochen so! Fehlermeldung von etrust, zonealarm, adaware
null! Keine außergewöhnlichen Prozesse im taskmanager feststellbar!
5. Nach 6 Wochen wird das System grottenlangsam!
6. escan und antivir sowie bitfender und a2 rüberlaufen lassen und escan
findet eine "Application.ProcKill.JK" sowie den Trojaner "Trojan.Downloader
DyfucaDP". Beide gemeuchelt und System neu aufgesetzt. 2 Tage Arbeit
7. Jetzt meldet mir der IE nach Abmeldung wieder "eine Bibliotheksdatei würde
fehlen"
8. Beim aktivieren meines DVD-Brenners (nur DVD) fährt sich der Computer
fest und wiederum lange Startzeit der Startzeite!
9. Surfverhalten sicher bis supersicher!
10. Bin mit meinem Latein am Ende!

Hier das log!

Logfile of HijackThis v1.99.0
Scan saved at 19:47:37, on 04.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\mdmprs32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\RNapxs.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\mdmps32.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bär\Eigene Dateien\Eigene Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal.1und1.de/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/d1redirect
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AntivirusRegistration] C:\Programme\Excid.com Aps\eTrust Antivirus Registration\EzAntivirusRegistrationCheck.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LnkSet] C:\WINDOWS\RNapxs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C7E00C4-5A40-48DD-8A7B-73728C01A514}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C28582C3-FD0C-4CAC-ADCB-B300F10A1E1D}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: WinSock Extention Manager - Unknown - C:\WINDOWS\mdmprs32.exe
O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Bitte um Hilfe oder gut gemeinten Rat, da ich nicht schon wieder Bock auf format C habe!


odysseus

Alt 04.01.2005, 19:16   #2
MountainKing
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Hallo,

überprüfe mal bitte

C:\WINDOWS\mdmprs32.exe

hier: http://virusscan.jotti.org/de

Ach ja, wo genau hat E-Scan die beiden Viren gefunden?
__________________


Alt 04.01.2005, 19:20   #3
chaosman
 
Hallo! Look this log! - Standard

Hallo! Look this log!



@totdenwürmern
überprüfe auch C:\WINDOWS\RNapxs.exe
bei http://virusscan.jotti.org/de
poste bitte das ergebnis
chaosman
__________________
__________________

Alt 04.01.2005, 19:39   #4
totdenwürmern
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Hi!

Also laut Überprüfung sind beide iO! Das erste ist eine Windowssache und die zweite gehört zu unserer Kindersicherung!
Übrigens vergaß ich zu erwähnen, dass ich seit 14 Tagen mit Sasser per email bombardiert werde! Gedankt sei der firewall meines Providers.


totdenwürmern

Sorry für den odysseus (war mein erster nickname-Wunsch

Alt 04.01.2005, 19:58   #5
chaosman
 
Hallo! Look this log! - Standard

Hallo! Look this log!



@totdenwürmern
poste doch mal
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
chaosman

__________________
Bonus vir semper tiro

Alt 04.01.2005, 20:11   #6
totdenwürmern
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Ist in Bearbeitung!

Hier die neueste Meldung!

04.01.2005,20:48:55 [WARNUNG] Enthält Signatur des Droppers DR/Small.OF.H!
C:\PROGRAMME\A2\IPWORKS6.DLL
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!

Ein Jahr im Internet und nichts passiert und jetzt!


totdenwürmern

Alt 04.01.2005, 20:41   #7
totdenwürmern
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Hier die Meldungen von escan!

C:\WINDOWS\toolx.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\tool1.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\DOKUME~1\BR2739~1\LOKALE~1\Temp\temp.frB6C3\istsvc.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\toolx.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\tool1.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\msc32.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.

Das war sie alle vor dem löschen mit escan!

Aktueller Durchlauf von heute erbrachte "und sie leben glücklich und zufrieden mit ihren PC in alle Ewigkeit!"

0 infected
0 error
0 problems

Nach den letzten Problemen kann ich den Frieden aber nicht so richtig trauen!
Oder kann einer von den da oben eventl. Treiber, .dll etc. beschädigt haben?
Werde Morgen noch mal mit ner Linux-CD und aktuellen Virensignaturen rübergehen!

Falls noch jemand tipps hat, dann bitte Meldung!


totdenwürmern

Alt 04.01.2005, 20:47   #8
chaosman
 
Hallo! Look this log! - Standard

Hallo! Look this log!



@totdenwürmern
wenn du dieser im system hattest
http://www.sophos.de/virusinfo/analy...2forbotdg.html
dann kann man dir nur Neuaufsetzen empfehlen
hier ein paar tips
http://board.protecus.de/showtopic.p...me=1097944155&
sry
chaosman
__________________
Bonus vir semper tiro

Alt 04.01.2005, 20:57   #9
totdenwürmern
 
Hallo! Look this log! - Standard

Hallo! Look this log!



Scheiße!

Wie erkenne ich denn, ob es der W32/Forbot-DG war! Wenn ich das richtig verstanden habe, ist mein Wootbot auch nen Aliasteil von diesem, als auch weniger gefährliche Würmern! Reicht da Format C! Weil ich das ja schon mal
mit scheinbar negativen Erfolg durchgeführt habe! Schreibt der sich eventl.
auch in die Partionen D und E? Oder könnte der von meinem Backup-Laufwerk
runtergekommen sein? Allerdings hab ich da nach der Neuinstallation nichts
runtergezogen!

Maaaaaaaaaaaaaannnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn


totdenwürmern

Alt 04.01.2005, 21:00   #10
chaosman
 
Hallo! Look this log! - Standard

Hallo! Look this log!



@totdenwürmern
http://www.google.com/search?q=Wootb...utf-8&oe=utf-8
lese den tips, mache es wie beschrieben wird, dann müßte es eigentlich gehen
chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Hallo! Look this log!
.inf, adobe reader, antivir, antivir update, bho, computer, dsl, einstellungen, fehlermeldung, file missing, format, google, heulen, hijack, hijackthis, internet, internet explorer, langsam, monitor, prozesse, rundll, server, software, symantec, system, system neu, taskmanager, tcpip, trojan.downloader, trojaner, windows, windows messenger, windows xp



Ähnliche Themen: Hallo! Look this log!


  1. Hallo
    Mülltonne - 18.08.2015 (0)
  2. Hallo, bin hier neu Hallo! mein Problem: meine anklickbaren Wörter sind alle doppelt? was kann ich tun? Bin unter den gehackten PC's!
    Plagegeister aller Art und deren Bekämpfung - 13.04.2014 (1)
  3. hallo
    Plagegeister aller Art und deren Bekämpfung - 02.11.2008 (1)
  4. Hallo
    Netzwerk und Hardware - 15.03.2008 (2)
  5. Hallo???
    Lob, Kritik und Wünsche - 04.03.2008 (3)
  6. Brauche Hilfe, Virus lässt sich nicht lsöchen!!!Hallo Leute, erst mal hallo, ich bin
    Plagegeister aller Art und deren Bekämpfung - 03.03.2008 (5)
  7. Hallo!!
    Alles rund um Windows - 03.07.2007 (10)
  8. Hallo
    Log-Analyse und Auswertung - 19.02.2007 (2)
  9. Hallo
    Alles rund um Windows - 08.11.2006 (3)
  10. hallo
    Antiviren-, Firewall- und andere Schutzprogramme - 24.09.2006 (3)
  11. Hallo
    Log-Analyse und Auswertung - 09.11.2005 (3)
  12. Hallo
    Antiviren-, Firewall- und andere Schutzprogramme - 12.08.2005 (2)
  13. Hallo
    Plagegeister aller Art und deren Bekämpfung - 08.03.2005 (2)
  14. hallo
    Log-Analyse und Auswertung - 19.01.2005 (3)
  15. Hallo
    Plagegeister aller Art und deren Bekämpfung - 08.02.2004 (2)

Zum Thema Hallo! Look this log! - Hallo da draußen! Wie viele hier im Forum habe auch ich ein Porb mit meinem PC! Folgender Werdegang! 1. IE meldet nach Abmeldung "eine Bibliotheksdatei würde fehlen" 2. Beim nächsten - Hallo! Look this log!...
Archiv
Du betrachtest: Hallo! Look this log! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.