Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um Hilfe bei Auswertung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.02.2005, 09:28   #1
ficusrobusta
 
Bitte um Hilfe bei Auswertung - Standard

Bitte um Hilfe bei Auswertung



Hallo zunächst mal, bin neu hier und begrüsse alle mal recht herzlich!

ich bräuchte Eure Hilfe bei der Auswertung meines LogFiles nach einigen gefundenen/bereinigten (??) Funden.

Vielen herzlichen im Voraus...
c.


Logfile of HijackThis v1.99.0
Scan saved at 10:03:22, on 11.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\MySQL\bin\mysqld-nt.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Apache2\bin\ApacheMonitor.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = hflserver:80
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hardcopy.LNK = Programme\Hardcopy\hardcopy.exe
O4 - Startup: update.bat
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Apache2 - Apache Software Foundation - C:\Apache2\bin\Apache.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: MySql - Unknown - C:/MySQL/bin/mysqld-nt.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Alt 11.02.2005, 09:41   #2
cacatoa
 
Bitte um Hilfe bei Auswertung - Standard

Bitte um Hilfe bei Auswertung



Hi,
das mit HJt fixen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = hflserver:80
O4 - Startup: update.bat

Der letztere Eintrag stammt von Deinem Lyndegg virus. (Ja, ja, das kommt von P2P)

Du solltest den IE nur noch zum updaten für Windows nutzen. Ansonsten firefox oder/und opera.
Ist dir nicht aufgefallen, daß Dein Rechner langsamer ist? zwei Virenscanner gleichzeitig ist zwar gut gemeint; aber meist behindern sie sich gegenseitig.
Nach dem fixen neues Logfile posten.
cacatoa
__________________

__________________

Alt 11.02.2005, 10:47   #3
ficusrobusta
 
Bitte um Hilfe bei Auswertung - Standard

Bitte um Hilfe bei Auswertung



Vielen Dank!

das update.bat ist für die Firmensoftware nötig, das kann ich nicht umgehen, und kann ich den Firmenproxy einfach rauskicken?

Leider habe ich am Notebook ein aktuelles Trojaner-Problem:
hiermal das Hijack-Log:

Logfile of HijackThis v1.99.0
Scan saved at 11:26:28, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\navSCAN.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [msliveupdates] navSCAN.exe
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\RunServices: [msliveupdates] navSCAN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107897550267
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42FBEFDE-4F7C-4D07-9E0A-0846F4184881}: NameServer = 195.58.160.2,195.58.16.3
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


und das Log vom Antivir:

ssion ID = 0xaaaa1e72.
09.02.2005,10:14:42 [WARNUNG] Enthält Signatur des Wurmes Worm/RBot.RT!
C:\WINDOWS\SYSTEM32\TFTP2912
09.02.2005,10:29:36 [WARNUNG] Enthält Signatur des Wurmes Worm/Rbot.DE!
C:\WINDOWS\SYSTEM32\TFTP1716
09.02.2005,11:31:49 [WARNUNG] Enthält Signatur des Wurmes Worm/SdBot.64860!
C:\WINDOWS\SYSTEM32\TFTP3496
09.02.2005,12:31:28 [WARNUNG] Ist das Trojanische Pferd TR/QHosts.Script!
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
09.02.2005,12:37:44 [INFO] Stop Filter Device.
09.02.2005,12:37:46 [EXIT] Der AVGuard Dienst wurde beendet!
09.02.2005,12:57:52 ---------------------------------------------------------
bei jedem hochfahren meldet antivir das Pferd, die beiden Würmer nun aber nicht mehr nach dem Scannen.

die neue hosts-Datei ist so aufgebaut, dass 127.0.0.1 in der linken Spalte immer wieder steht und daneben URLS von Antivirenseiten aufgelistet sind.
die scheinen dadurch ausgehebelt zu werden.


Und was ist mit den beiden Würmern, die findet der Scanner nun nicht mehr, meldet aber das Trojan. Pferd...

vielen Dank für Eure Mühe schon im Voraus...



neu installieren als beste Lösung?
__________________

Alt 11.02.2005, 10:52   #4
cacatoa
 
Bitte um Hilfe bei Auswertung - Standard

Bitte um Hilfe bei Auswertung



Tja zu Deinem Notebook gibt´s nur eins:
System neu aufsetzen!
Warum?
Darum:
Worm/RBot.RT
Worm/Rbot.DE
Worm/SdBot
Dein Rechner gehört (auch nach dem scan) nicht mehr Dir!!!
Sauber kriegst du ihn nur, wenn du alle Tipps im o.a. Link genauestens befolgst.
Sorry, aber geht nicht anders.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Bitte um Hilfe bei Auswertung
agent, alert, antivir, antivir update, auswertung, bho, bitte um hilfe, dateien, explorer, f-secure, firewall, hijack, hijackthis, internet, internet explorer, logfiles, microsoft, neu, office, programme, seite, software, system, system32, temp, windows, windows xp



Ähnliche Themen: Bitte um Hilfe bei Auswertung


  1. Bitte um hilfe bei Auswertung von HJT
    Log-Analyse und Auswertung - 27.12.2007 (12)
  2. Viren??Würmer..HILFE! Bitte um Hilfe bei der Auswertung meines hijackthis-log
    Mülltonne - 14.11.2007 (0)
  3. bitte Hilfe bei Auswertung
    Log-Analyse und Auswertung - 26.10.2007 (1)
  4. Bitte um Hilfe bei der Auswertung
    Mülltonne - 11.08.2007 (0)
  5. Bitte um Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 28.04.2007 (5)
  6. Bitte um Hilfe für Auswertung
    Log-Analyse und Auswertung - 31.10.2006 (7)
  7. Bitte um Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 17.10.2006 (1)
  8. Bitte um Auswertung und ggf. Hilfe
    Log-Analyse und Auswertung - 26.07.2006 (3)
  9. bitte um Auswertung und Hilfe
    Mülltonne - 28.06.2006 (1)
  10. Bitte um Auswertung bzw Hilfe :)
    Log-Analyse und Auswertung - 27.03.2006 (1)
  11. Bitte um HJT-Auswertung und Hilfe
    Log-Analyse und Auswertung - 30.08.2005 (2)
  12. Auswertung...bitte um Hilfe !
    Log-Analyse und Auswertung - 20.06.2005 (5)
  13. Bitte um Hilfe bei Auswertung
    Log-Analyse und Auswertung - 11.02.2005 (4)
  14. Bitte um Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 10.12.2004 (2)
  15. bitte um Hilfe bei Auswertung
    Log-Analyse und Auswertung - 17.11.2004 (15)
  16. Bitte um Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 19.09.2004 (1)
  17. Bitte um Hilfe bei log-auswertung
    Log-Analyse und Auswertung - 20.07.2004 (4)

Zum Thema Bitte um Hilfe bei Auswertung - Hallo zunächst mal, bin neu hier und begrüsse alle mal recht herzlich! ich bräuchte Eure Hilfe bei der Auswertung meines LogFiles nach einigen gefundenen/bereinigten (??) Funden. Vielen herzlichen im Voraus... - Bitte um Hilfe bei Auswertung...
Archiv
Du betrachtest: Bitte um Hilfe bei Auswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.