Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wer kann Helfen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 09.03.2005, 11:18   #1
Peter_1808
 
Wer kann Helfen? - Standard

Wer kann Helfen?



Hallo zusammen,

kämpfe an einem Rechner, dem ich im Moment überhaupt nicht über den Weg traue.

Was sagt ihr zu diesem Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:36:55, on 9.3.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINNT\System32\rcapi.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\connmie.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\dxconf.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\PCClient.EXE
C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\ramm\download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ntserver1:80
R3 - URLSearchHook: (no name) - {B4780F48-BAB8-B59B-3134-14C330345BC4} - BoundRec.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {0D900385-8AD9-4215-BC83-5976D8FBBA65} - C:\WINNT\System32\sfcman32.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iecustom32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [barint] WinInitDll.exe
O4 - HKLM\..\Run: [prcmon] browsebar.exe
O4 - HKLM\..\RunOnce: [dwlgr.exe] dwlgr.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [TForm1] panel_its.exe
O4 - HKCU\..\Run: [SYSTRAV] prgsys0984.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O21 - SSODL: pzOmb - {70329F5B-DA98-35F1-C117-6EA681AF527F} - C:\WINNT\System32\br.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ELSA CAPI Control (ElsaCapiCtl) - Unknown owner - C:\WINNT\System32\rcapi.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Sage KHK Registry Service (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\Registry.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe

Alt 09.03.2005, 17:53   #2
cacatoa
 
Wer kann Helfen? - Standard

Wer kann Helfen?



Ich würde Dir als ersten empfehlen, lade Dir den eScan herunter, update ihn, mache vor dem Start einen Haken bei "scan all local drives" und "scan all files" und lasse ihn im VGA_Modus laufen. Der scan dauert cs. 1 Stunde. Poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen) hier rein. Ich vermute eine Menge an Malware. Ich bitte Dich, die Dateien:
O4 - HKLM\..\Run: [barint] WinInitDll.exe
O4 - HKLM\..\Run: [prcmon] browsebar.exe
O4 - HKLM\..\RunOnce: [dwlgr.exe] dwlgr.exe
O4 - HKCU\..\Run: [WareOut] "C:\Programme\WareOut\WareOut.exe"
O4 - HKCU\..\Run: [TForm1] panel_its.exe
O4 - HKCU\..\Run: [SYSTRAV] prgsys0984.exe
O4 - HKCU\..\Run: [dlmMgr] "C:\Programme\Gemeinsame Dateien\Adobe\ESD\AdobeDownloadManager.exe" restart=1
C:\WINNT\System32\sfcman32.dll/sp.html
C:\WINNT\system32\connmie.exe
C:\WINNT\system32\dxconf.exe

bei "malware-upload" (siehe meine Signatur) online scannen zu lassen und das Ergebnis ebenfalls hier rein zustellen.
cacatoa
__________________

__________________

Alt 14.03.2005, 16:32   #3
Peter_1808
 
Wer kann Helfen? - Standard

Wer kann Helfen?



Hallo cacatoa,

vielen Dank für deine Hilfe!

Habe escan durchlaufen lassen:

Mon Mar 14 16:58:08 2005 => File C:\WINNT\system32\iecustme.exe infected by "Trojan.Win32.StartPage.vb" Virus. Action Taken: No Action Taken.

Mon Mar 14 17:12:39 2005 => Scanning File C:\news.exe
Mon Mar 14 17:12:39 2005 => File C:\news.exe infected by "Trojan-Dropper.Win32.Small.pd" Virus. Action Taken: No Action Taken.


Mon Mar 14 17:35:31 2005 => Scanning File C:\WINNT\system32\iecustme.exe
Mon Mar 14 17:35:31 2005 => File C:\WINNT\system32\iecustme.exe infected by "Trojan.Win32.StartPage.vb" Virus. Action Taken: No Action Taken.


Mon Mar 14 17:37:47 2005 => Total Files Scanned: 27564
Mon Mar 14 17:37:47 2005 => Total Virus(es) Found: 3
Mon Mar 14 17:37:47 2005 => Total Disinfected Files: 0
Mon Mar 14 17:37:47 2005 => Total Files Renamed: 0
Mon Mar 14 17:37:47 2005 => Total Deleted Files: 0
Mon Mar 14 17:37:47 2005 => Total Errors: 13
Mon Mar 14 17:37:47 2005 => Time Elapsed: 00:41:01
Mon Mar 14 17:37:47 2005 => Virus Database Date: 2005/03/11
Mon Mar 14 17:37:47 2005 => Virus Database Count: 121166

Mon Mar 14 17:37:47 2005 => Scan Completed.


Trend Micro hat ausserdem in Quarantäne gesetzt:

Troj_startpage.fm C:\winnt\system32\ctbasxt.exe
Troj_small.zj C:\winnt\system32\sprmover.exe
Troj_adclicker.q C:\winnt\system32\truettf.exe

Diese kommen immer wieder :-((

Bin fast soweit, das komplette System neu aufzusetzen.
Bin für weitere Hinweise sehr dankbar!

Danke und viele Grüße
__________________

Alt 14.03.2005, 16:51   #4
Gigamail
 
Wer kann Helfen? - Standard

Wer kann Helfen?



boote in den abgesicherten Modus und lösche von Hand folgende Dateien:

C:\WINNT\system32\iecustme.exe
C:\news.exe

leere den Quarantäneordner
leere Deinen Papierkorb

checke Dein System nochmal mit eScan

neu booten neuse HJT posten

BTW was ist eigentlich mit den Ergebnissen vom Upload
__________________
Gruß Gigamail

eScan-Anleitung und Download



Antwort

Themen zu Wer kann Helfen?
acrobat, adobe, bho, bla, dateien, explorer, file missing, firewall, hijack, hijackthis, hotkey, internet, internet explorer, internet security, log, micro, microsoft, obfuscated, profi, programme, rechner, security, software, spybot, symantec, system, system32, trend micro, urlsearchhook, windows



Ähnliche Themen: Wer kann Helfen?


  1. wer kann mir helfen
    Plagegeister aller Art und deren Bekämpfung - 15.01.2015 (1)
  2. Wer kann mir helfen ?!
    Plagegeister aller Art und deren Bekämpfung - 13.02.2008 (0)
  3. Wie kann ich helfen?
    Lob, Kritik und Wünsche - 30.12.2007 (5)
  4. wer kann helfen?
    Log-Analyse und Auswertung - 30.09.2007 (4)
  5. Wer kann mir helfen?????
    Plagegeister aller Art und deren Bekämpfung - 09.07.2007 (3)
  6. wer kann helfen???
    Log-Analyse und Auswertung - 12.04.2006 (5)
  7. Wer kann mir helfen ?
    Log-Analyse und Auswertung - 27.08.2005 (5)
  8. Wer kann mir helfen...
    Log-Analyse und Auswertung - 13.08.2005 (2)
  9. We kann mir helfen?
    Log-Analyse und Auswertung - 14.07.2005 (1)
  10. Wer kann helfen: Download.Trojan / ied.exe kann nicht gelöscht werden
    Plagegeister aller Art und deren Bekämpfung - 05.02.2005 (4)
  11. Wer kann mir helfen ???
    Plagegeister aller Art und deren Bekämpfung - 14.01.2005 (1)
  12. Wer kann mir helfen?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2005 (17)
  13. Wer Kann Mir Helfen ??
    Log-Analyse und Auswertung - 17.12.2004 (1)
  14. Wer kann helfen???
    Log-Analyse und Auswertung - 08.12.2004 (1)
  15. Wer kann mir Helfen?
    Log-Analyse und Auswertung - 07.09.2004 (2)
  16. Winocx32.exe Wurm ? Kann nichts mehr öffnen ! Wer kann mir helfen ?
    Plagegeister aller Art und deren Bekämpfung - 20.06.2004 (8)
  17. Wer kann mir helfen ?
    Plagegeister aller Art und deren Bekämpfung - 25.04.2004 (15)

Zum Thema Wer kann Helfen? - Hallo zusammen, kämpfe an einem Rechner, dem ich im Moment überhaupt nicht über den Weg traue. Was sagt ihr zu diesem Log: Logfile of HijackThis v1.99.1 Scan saved at 12:36:55, - Wer kann Helfen?...
Archiv
Du betrachtest: Wer kann Helfen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.