Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Benötige Hilfe - ebenfalls Anfängerin

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 05.01.2005, 21:14   #1
fra900
 
Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



Guten Abend,
nun sitz ich schon den dritten Abend vorm Rechner und suche nach den Würmer und TrojPferden auf meinem Rechner. Ich hab hier schon viel gelesen und mich nun doch entschlossen euch zu fragen.

Mit Norton AntiVirus habe ich ein paar beseitigen können, aber ein paar konnte ich nicht löschen.
Zudem kam sobald ich den IE öffne eine Art Popup, der aber jetzt weg zu sein scheint nach dem Aufruf von RegClean. Der Rechner ist dann auch superhoch ausgelastet durch eine svchost.exe

Folgende Dateien konnte Norton nicht löschen:
jvhqr.exe mediaplayer32.exe OfficeGUI32cb.exe yhzuqc.exe

Ich habe hier auch schon gelesen, dass man im abgesicherten Modus Dateien fixen kann? Aber ich weiß weder wie ich in den abgesicherten Modus noch wie Dateien fixe.

Hier noch mein Logfile von HiJackThis_

StartupList report, 05.01.2005, 21:41:21
StartupList version: 1.52
Started from : C:\hijack\StartupList.EXE
Detected: Windows 2000 (WinNT 5.00.2195)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Navnt\navapsvc.exe
C:\PROGRA~1\Navnt\npssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\yhzuqc.exe
C:\WINNT\System32\jvhqr.exe
C:\Programme\Navnt\navapw32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Navnt\alertsvc.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW3\ToDuCAlC.EXE
C:\WINNT\System32\Msbb.exe
C:\WINNT\System32\jlhg.exe
C:\WINNT\System32\IExplore32cb.exe
C:\WINNT\System32\winservicess.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\hijack\StartupList.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Norton AntiVirus AutoProtect.lnk = C:\Programme\Navnt\navapw32.exe
WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
NPS Event Checker = C:\PROGRA~1\Navnt\npscheck.exe
NAV DefAlert = C:\PROGRA~1\Navnt\defalert.exe
NvCplDaemon = RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
RSPC Driver D = jvhqr.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = jlhg.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

RSPC Driver D = jvhqr.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = jlhg.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

internat.exe = internat.exe
Windows Compliant = yhzuqc.exe
RSPC Driver = msxt.exe
RSPC Driver D = jvhqr.exe
Start Upping = mediaplayer32.exe

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=(Kein)
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Download Program Files:

[Update Class]
InProcServer32 = C:\WINNT\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...8357.357037037

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\Programme\Symantec\S32EVNT1.DL1 => C:\Programme\Symantec\S32EVNT1.DLL||\

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

Network.ConnectionTray: C:\WINNT\system32\NETSHELL.dll
WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: stobject.dll

--------------------------------------------------
End of report, 4.672 bytes
Report generated in 0,120 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Vielen Dank für Hilfe
Antje

Alt 05.01.2005, 21:26   #2
chaosman
 
Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



@fra900
lade dir escan hier download
lese der anleitung
hier
genauestens durch, und mache es genauso wie beschrieben wird.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
wenn du das nächste mal ein HJT logfile hier im board rein stellst, dann bitte das "normale" logfile mit die laufende prozesse

hier noch ein link zum starten in den abgesicherten modus
wenn du probleme hast, dann melde dich
chaosman
__________________

__________________

Alt 06.01.2005, 14:58   #3
fra900
 
Benötige Hilfe - ebenfalls Anfängerin - Icon26

Benötige Hilfe - ebenfalls Anfängerin



So nun habe ich escan laufen lassen nach deinen anweisungen und er fand jede menge einträge, die ich mir aus dem Logfile rauskopiert habe.

folgende auch noch von dem Backdoor.Win32.Rbot.gen infiziert

File C:\WINNT\system32\mediaplayer32.exe
File C:\WINNT\system32\Winlogin.exe
File C:\WINNT\system32\jvhqr.exe
File C:\WINNT\system32\yhzuqc.exe
File C:\WINNT\system32\ykgc.exe
File C:\WINNT\System32\jlhg.exe
File C:\WINNT\System32\uztp.exe
File C:\WINNT\System32\rspcs.exe
File C:\WINNT\System32\Msbb.exe
File C:\WINNT\System32\IExplore32cb.exe
File C:\WINNT\System32\SystemReg16.exe
File C:\WINNT\System32\IExplore32b.exe
File C:\WINNT\System32\VSStatmn32.exe
File C:\WINNT\System32\TFTP1336
File C:\WINNT\System32\TFTP1416
File C:\WINNT\System32\rspc.exe
File C:\WINNT\System32\yhzuqc.exe
File C:\WINNT\System32\TFTP2776
File C:\WINNT\System32\TFTP2844
File C:\WINNT\System32\ipey.exe
File C:\WINNT\System32\cnez.exe
File C:\WINNT\System32\OfficeGUI32cb.exe
File C:\WINNT\System32\cntn.exe
File C:\WINNT\System32\jptf.exe
File C:\WINNT\System32\ntaw.exe
File C:\WINNT\System32\msxt.exe
File C:\WINNT\System32\ofql.exe

von Backdoor.SdBot.ni ist die Datei infiziert
File C:\WINNT\system32\winservicess.exe

Ich habe im abgesicherten Modus alle löschen können und nochmal escan laufen lassen, der dann keine Viren mehr fand.
Allerdings einen Error, den ich nicht verstehe:

ERROR!!! Invalid Entry System32\DRIVERS\TDSLProt.sys in SYSTEM\CurrentControlSet\Services\TDSLProtocol...

Ist mein Rechner nun mit dem Löschen der infizierten Dateien wieder sauber??
Was ist mit der Registry?

Sorry noch für das lange hJT-Protokoll von gestern.

Danke schonmal für alle Hilfe.
Antje
__________________

Alt 06.01.2005, 15:01   #4
Chris14
 

Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



ok jetzt ist klar was getan werden muss -> neuinstallation
weitere infos dazu auf der seite http://www.trojaner-board.de/showpos...28&postcount=2
achja so wie dein system infiziert ist, ist jeder andere ausweg ausgeschlossen.

Alt 07.01.2005, 21:29   #5
fra900
 
Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



Hallo,
jetz habe ich den Rechner nochmal platt gemacht und vor Online-Gang eine Firewall installiert.
Escan zeigt bisher noch keine Virenfunde.
Aber die Firewall listet fleißig angriffe von außen an.

Gibt es nicht eine Möglichkeit den Rechner quasi unsichtbar für andere zu machen?

Gruß und Danke für die bisherige Hilfe. Ihr seid klasse.
Antje


Alt 07.01.2005, 21:40   #6
Chris14
 

Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



da fällt mir www.dingens.org ein. dort gibts ein programm, dass die windows-dienste so einstellt, dass alle ports nach außen geschlossen werden.da brauchst du keine firewall mehr. achja du musst vielleicht verschiedene einstellungen von dem prog durchprobieren. also nicht entmutigt sein, wenn nachdem du eine einstellung gewählt hast, du nicht ins i-net kommst
achja da fällt mir aber auchnoch http://windowsupdate.microsoft.com ein. alle patches installieren und am besten auchnoch service pack 2 (falls nicht bereits drauf). einen anderen browser wie firefox runterladen und den IE nurnoch für windowsupdate benutzen. dann biste noch am sichersten.

Alt 07.01.2005, 23:22   #7
MountainKing
 
Benötige Hilfe - ebenfalls Anfängerin - Standard

Benötige Hilfe - ebenfalls Anfängerin



"Angriffe" von Außen sind meist gar keine, sondern Portscans, für die es eine Menge Gründe gibt, nur wenige davon sind tatsächlich bösartig. Es sind Anfragen, ob auf deinem Rechner ein bestimmter Dienst angeboten wird, mit dem kommuniziert werden kann (das können windowseigene oder auch, falls du dir welche installiert hast, Trojaner sein). Existieren keine Dienste, kann man scannen bis man Schwarz wird. Deswegen: Dienste abschalten, das Surfverhalten anpassen (Links gabs dazu ja schon), Firewall meldungen ignorieren bzw. selbige gleich gar nicht installieren.

Antwort

Themen zu Benötige Hilfe - ebenfalls Anfängerin
abgesicherten modus, antivirus, ausgelastet, dll, download, einstellungen, explorer, frage, hijack, hijackthis, iexplore, internet, internet explorer, logfile, microsoft, popup, programme, registry, registry key, registry value, rundll, saver, screensaver, software, suche, symantec, system, t-online, ups, userinit.exe, windows, wininit.ini



Ähnliche Themen: Benötige Hilfe - ebenfalls Anfängerin


  1. VBS/Small.R - benötige Hilfe
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (4)
  2. Benötige Hilfe!
    Mülltonne - 01.11.2008 (0)
  3. Trojan Virus: Bitte um HILFE.. Anfängerin halt..
    Antiviren-, Firewall- und andere Schutzprogramme - 21.04.2008 (18)
  4. Benötige Hilfe
    Log-Analyse und Auswertung - 06.04.2008 (1)
  5. Trojan Virus: Bitte um HILFE.. Anfängerin halt..
    Plagegeister aller Art und deren Bekämpfung - 03.01.2008 (1)
  6. Anfängerin bittet um Hilfe!!
    Log-Analyse und Auswertung - 26.02.2007 (4)
  7. TR/iBill.E benötige Hilfe
    Log-Analyse und Auswertung - 18.02.2007 (3)
  8. benötige hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (4)
  9. Anfängerin sucht Hilfe-Tr/Drop.Small.bke.1
    Log-Analyse und Auswertung - 19.11.2005 (10)
  10. Benötige Hilfe
    Log-Analyse und Auswertung - 27.08.2005 (1)
  11. Benötige Hilfe
    Plagegeister aller Art und deren Bekämpfung - 05.08.2005 (5)
  12. benötige hilfe
    Alles rund um Windows - 08.07.2005 (5)
  13. Benötige Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 11.06.2005 (8)
  14. Anfängerin sucht Hilfe um Dienste abzuschalten
    Alles rund um Windows - 29.05.2005 (16)
  15. Anfängerin sucht Hilfe in Sachen Spywareentfernung
    Plagegeister aller Art und deren Bekämpfung - 24.04.2005 (5)
  16. benötige hilfe
    Log-Analyse und Auswertung - 18.02.2005 (4)
  17. benötige hilfe
    Log-Analyse und Auswertung - 04.12.2004 (1)

Zum Thema Benötige Hilfe - ebenfalls Anfängerin - Guten Abend, nun sitz ich schon den dritten Abend vorm Rechner und suche nach den Würmer und TrojPferden auf meinem Rechner. Ich hab hier schon viel gelesen und mich nun - Benötige Hilfe - ebenfalls Anfängerin...
Archiv
Du betrachtest: Benötige Hilfe - ebenfalls Anfängerin auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.