Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Riesen Problem!!!!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 08.03.2005, 19:17   #1
mrx
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Hallo Leute !

Ich habe ein Riesen Problem! Ich habe von einer Freundin den Laptop bekommen ob ich mir ihn ansehen könnte.
Sie berichtete das sich ein Editor Fenster geöffnet hat (sie konnte sich den Namen der Datei nicht merken) das sich dann auch wieder schließt.
Ich habe keine möglichkeit regedit aufzurufen schließt sich wieder.
Genauso ist es mit dem Taskmanager, Antivirus und mit dem Editor.

jetzt kommt das RIESIGE PROBLEM!!
Ich konnte eine Log-Datei erstellen bevor sie weg musste,ich habe diese aber aus unerfahrenheit nicht im abgesicherten modus gemacht

Kann mir trotzdem jemand helfen???

Logfile of HijackThis v1.99.1
Scan saved at 19:05:51, on 08.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINNT\System32\Ati2evxx.exe
c:\Programme\NavNT\defwatch.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\System32\NALNTSRV.EXE
C:\WINNT\System32\NMSSvc.exe
c:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\serbw.exe
C:\WINNT\system32\NWTRAY.EXE
C:\WINNT\system32\PROMon.exe
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\PRPCUI.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\NETGEAR\WG511\Utility\WG511WLU.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINNT\Profiles\admin\LOKALE~1\Temp\Rar$EX00.399\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Amt d. NÖ Landesregierung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://nww.noel.gv.at/proxy1.proxy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy01:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *10.*, *localhost;<local>
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 64.233.167.104 www.symantec.com
O1 - Hosts: 64.233.167.104 www.sophos.com
O1 - Hosts: 64.233.167.104 www.mcafee.com
O1 - Hosts: 64.233.167.104 www.viruslist.com
O1 - Hosts: 64.233.167.104 www.f-secure.com
O1 - Hosts: 64.233.167.104 www.avp.com
O1 - Hosts: 64.233.167.104 www.kaspersky.com
O1 - Hosts: 64.233.167.104 www.networkassociates.com
O1 - Hosts: 64.233.167.104 www.ca.com
O1 - Hosts: 64.233.167.104 www.my-etrust.com
O1 - Hosts: 64.233.167.104 www.nai.com
O1 - Hosts: 64.233.167.104 www.trendmicro.com
O1 - Hosts: 64.233.167.104 www.grisoft.com
O1 - Hosts: 64.233.167.104 securityresponse.symantec.com
O1 - Hosts: 64.233.167.104 symantec.com
O1 - Hosts: 64.233.167.104 sophos.com
O1 - Hosts: 64.233.167.104 mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantecliveupdate.com
O1 - Hosts: 64.233.167.104 viruslist.com
O1 - Hosts: 64.233.167.104 f-secure.com
O1 - Hosts: 64.233.167.104 kaspersky.com
O1 - Hosts: 64.233.167.104 kaspersky-labs.com
O1 - Hosts: 64.233.167.104 avp.com
O1 - Hosts: 64.233.167.104 networkassociates.com
O1 - Hosts: 64.233.167.104 ca.com
O1 - Hosts: 64.233.167.104 mast.mcafee.com
O1 - Hosts: 64.233.167.104 my-etrust.com
O1 - Hosts: 64.233.167.104 download.mcafee.com
O1 - Hosts: 64.233.167.104 dispatch.mcafee.com
O1 - Hosts: 64.233.167.104 secure.nai.com
O1 - Hosts: 64.233.167.104 nai.com
O1 - Hosts: 64.233.167.104 update.symantec.com
O1 - Hosts: 64.233.167.104 updates.symantec.com
O1 - Hosts: 64.233.167.104 us.mcafee.com
O1 - Hosts: 64.233.167.104 liveupdate.symantec.com
O1 - Hosts: 64.233.167.104 customer.symantec.com
O1 - Hosts: 64.233.167.104 rads.mcafee.com
O1 - Hosts: 64.233.167.104 trendmicro.com
O1 - Hosts: 64.233.167.104 grisoft.com
O1 - Hosts: 64.233.167.104 sandbox.norman.no
O1 - Hosts: 64.233.167.104 www.pandasoftware.com
O1 - Hosts: 64.233.167.104 uk.trendmicro-europe.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-at\msntb.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de-at\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [vptray] c:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [WG511WLU] C:\NETGEAR\WG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ltwob] C:\WINNT\msmbw.exe
O4 - HKLM\..\Run: [avnort] C:\WINNT\system32\serbw.exe
O4 - HKLM\..\RunServices: [ltwob] C:\WINNT\msmbw.exe
O4 - HKLM\..\RunServices: [avnort] C:\WINNT\system32\serbw.exe
O4 - HKLM\..\RunServices: [serpe] C:\WINNT\system32\formatsys.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.co...haringctrl.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = noel.gv.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F89EC6E-C402-44A9-A577-AC3EF27240D5}: NameServer = 10.30.52.2,10.30.52.4
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = noel.gv.at
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = noel.gv.at
O20 - Winlogon Notify: NavLogon - c:\WINNT\System32\NavLogon.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: DefWatch - Symantec Corporation - c:\Programme\NavNT\defwatch.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINNT\System32\NMSSvc.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - c:\Programme\NavNT\rtvscan.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Alt 08.03.2005, 20:27   #2
Cidre
Administrator, a.D.
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Hallo,

das Log-File sollte immer im normalen Modus erstellt werden, damit wir auch sehen können, welche Malware noch aktiv ist.

Alles in allem, sieht es nach einer Bot Infizierung aus. Führe deshalb dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________

Alt 10.03.2005, 15:50   #3
mrx
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Danke, echt gutes Programm !

Habe im Abgesicherten Modus gescannt hat mir den Wurm IM Worm.Win32Suman.a angezeigt.

Dann noch von Symatec das Entfernungstool gezogen und weg ist er.
Alles funktioniert wieder.

__________________

Alt 10.03.2005, 16:05   #4
dartus
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



@mrx,

da wär ich mir nicht so sicher, zumal der Wurm auch Dateien löschen kann und ob auch alles erwischt wurde.

Thema Removal-Tools:
http://www.mathematik.uni-marburg.de...c-removal.html

dartus

Alt 10.03.2005, 16:25   #5
mrx
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Wahrscheinlich wird nicht alles weg sein!
Ich habe das Entfernungstool von meinen Pc gezogen und dann per Memorystick auf den Infizierten Pc geladen.

Soll ich jetzt den Laptop neu aufsetzen??

Meine Pc habe ich vor neu Aufzusetzen.Nach der Beschreibung
Kann ich Bilder oder sontiges auf CD bedenkenlos sichern?


Alt 10.03.2005, 20:05   #6
dartus
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Hallo mrx,

sofern es keine ausführenden Dateien sind, sollte das kein Problem sein,
schau hier:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Alt 10.03.2005, 20:17   #7
Cidre
Administrator, a.D.
 
Riesen Problem!!!! - Standard

Riesen Problem!!!!



Zitat:
Kann ich Bilder oder sontiges auf CD bedenkenlos sichern?
Schau diesen Link in der Anleitung doch mal etwas näher an ->
Zitat:
Was tun bei Kompromittierung des Systems?
In diesem Link wird genau die Thematik abgehandelt.
__________________
Gruß, Cidre


Antwort

Themen zu Riesen Problem!!!!
abgesicherten modus, adobe, antivirus, application, bho, dateien, explorer, hijack, hijackthis, hotkey, icqtoolbar, internet, internet explorer, log-datei, messenger, microsoft, msn, namen, netgear, problem, programme, regedit, software, symantec, system, taskmanager, temp, urlsearchhook, windows, yahoo



Ähnliche Themen: Riesen Problem!!!!


  1. Riesen Problem
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (5)
  2. Neu Hier und riesen Problem
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  3. Riesen Problem
    Plagegeister aller Art und deren Bekämpfung - 04.12.2009 (2)
  4. Log in Ordnung? Problem mit riesen IE Werbefenstern
    Log-Analyse und Auswertung - 21.08.2009 (14)
  5. Riesen Problem mit Msn und Iexplorer.
    Log-Analyse und Auswertung - 08.07.2009 (1)
  6. Riesen Temperatur Problem
    Netzwerk und Hardware - 03.07.2008 (6)
  7. Riesen Windows Problem
    Alles rund um Windows - 23.03.2008 (6)
  8. Hab ein riesen Problem
    Alles rund um Windows - 24.08.2007 (2)
  9. Windows - Riesen Problem
    Alles rund um Windows - 25.03.2007 (2)
  10. Riesen Problem mit nem Passwort stealer
    Plagegeister aller Art und deren Bekämpfung - 23.01.2007 (14)
  11. riesen Problem
    Überwachung, Datenschutz und Spam - 03.01.2007 (12)
  12. riesen Problem bei Kazaa Deinstallation
    Antiviren-, Firewall- und andere Schutzprogramme - 05.01.2006 (4)
  13. Riesen Problem
    Log-Analyse und Auswertung - 29.08.2005 (3)
  14. Riesen Problem
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (9)
  15. Riesen Problem!!
    Alles rund um Windows - 05.03.2005 (5)
  16. hallo hab ein riesen problem
    Plagegeister aller Art und deren Bekämpfung - 30.01.2005 (13)
  17. Riesen Problem!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2004 (5)

Zum Thema Riesen Problem!!!! - Hallo Leute ! Ich habe ein Riesen Problem! Ich habe von einer Freundin den Laptop bekommen ob ich mir ihn ansehen könnte. Sie berichtete das sich ein Editor Fenster geöffnet - Riesen Problem!!!!...
Archiv
Du betrachtest: Riesen Problem!!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.