Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mist, jetzt hat es mich auch erwischt.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.03.2005, 15:09   #1
marcellus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Hallo,

tja, irgendwann ist immer das erste mal. Gestern Antivir laufen lassen und zack hatte ich vier Funde. Mit Adaware habe ich einies im abgesicherten Modus löschen können, aber einer ist hartnäckig. Hier mal das log von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 14:56:57, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:8080;https=localhost:8080
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [WinEjectAutoStart1] C:\PROGRA~1\WinEject\wineject.exe -instance:1
O4 - HKCU\..\Run: [Cacheman] C:\PROGRA~1\CACHEMAN\Cacheman.exe
O4 - Startup: DLL-Scan.lnk = C:\Programme\DLL-Scan\DllScan.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103466462703
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Und das zeigt AntiVir immer und ich kann das nicht mehr löschen.

C:\RECYCLED
1.exe
ArchiveType: GZ
--> 1
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO

Ich hoffe einer von euch Gurus kann mir sagen wie es um meine System steht.

mfg

Alt 26.03.2005, 15:31   #2
dartus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Hallo marcellus,

ein Logfile aus dem normalen Modus ist besser.

Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Unbedingt auf SP2 updaten.
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web-by-search.com/search.php?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.web-by-search.com/search.php?q=
Diese Einträge mit HijackThis fixen.
Zitat:
C:\RECYCLED
1.exe
ArchiveType: GZ
--> 1
[FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
Leere Deinen Papierkorb

Folgendes kann auch nicht schaden:
Downloade Dir escan und genau befolge diese Anleitung (Scan IM ABGESIICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus
__________________


Alt 26.03.2005, 17:52   #3
marcellus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Vielen Dank für die Antwort Dartus.

Ich habe die Sachen mit HijackThis gefixt. Das Problem mit dem Trojanische Pferd TR/Small.Dld.FO kann ich leider nicht lösen. Ich habe den Papierkorb geleert aber Antivir findet immer noch díese Datei 1.exe. Wie kann das Zeug wegkriegen.

Ich habe wie empfohlen mit escan nach Viren suchen lassen. Hier die Zusammenfasssung:

Sat Mar 26 16:58:04 2005 => Total Files Scanned: 93490
Sat Mar 26 16:58:04 2005 => Total Virus(es) Found: 125
Sat Mar 26 16:58:04 2005 => Total Disinfected Files: 0
Sat Mar 26 16:58:04 2005 => Total Files Renamed: 0
Sat Mar 26 16:58:04 2005 => Total Deleted Files: 0
Sat Mar 26 16:58:04 2005 => Total Errors: 78
Sat Mar 26 16:58:04 2005 => Time Elapsed: 01:37:19
Sat Mar 26 16:58:04 2005 => Virus Database Date: 2005/03/24
Sat Mar 26 16:58:04 2005 => Virus Database Count: 123152

Das meisste davon ist Adware von irgendwelchen Programmen die ich mehr oder weniger benutze. Ich werde die Sachen die ich nicht mehr benötige manuell löschen. Nur die altbekannte Sache ist mir aufgefallen:

Sat Mar 26 15:49:29 2005 => File C:\Recycled\1.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.


Ich werde wohl SP2 drauf machen müssen. Muss man Windows danach wieder aktivieren? Wird SP2 immer aktualisiert oder wird es nicht mehr verändert wenn es zum download bereitgestellt worden ist?

mfg
__________________

Alt 26.03.2005, 19:05   #4
dartus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Hallo marcellus,
Zitat:
Das meisste davon ist Adware von irgendwelchen Programmen die ich mehr oder weniger benutze. Ich werde die Sachen die ich nicht mehr benötige manuell löschen.
Sorry, aber ich würde alles löschen!
Zitat:
Sat Mar 26 15:49:29 2005 => File C:\Recycled\1.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
Hast Du Deinen Papierkorb geleert?
Zitat:
Muss man Windows danach wieder aktivieren?
Nein
Zitat:
Wird SP2 immer aktualisiert oder wird es nicht mehr verändert wenn es zum download bereitgestellt worden ist?
Wenn Du die Windows-Update-Funktion benutzt, sind alle aktuellen Patches natürlich dabei.
Wenn Du Dir SP 2 per CD bestellst oder bei Microsoftdownloadest,
fehlen die aktuellen Updates.
Alternativ besteht die Möglichkeit SP 2 hier zu bekommen und auch alle SP 2-Updates
Benutze zum Surfen einen sicheren Browser.
Desweiteren sichere Dein System nach den 12 Punktenab.

dartus

Alt 26.03.2005, 19:06   #5
chaosman
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



@marcellus
wenn du schon updatest, kannst du gleich die aktuellen version von HJT downloaden http://www.hijackthis.de/de

mal in den abgesicherten modus versucht, bei deaktivierte systemwiederherstellung?
C:\Recycled\1.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.

wenn nichts mehr geht, versuche es mal mit killbox
chaosman

__________________
Bonus vir semper tiro

Alt 26.03.2005, 21:31   #6
marcellus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



@ dartus

yep du hast recht. Ich sollte besser alles löschen. Inzwischen habe ich SP2 installiert und zusätzlich alle Updates gezogen. Aber irgendwie erscheint der AVGuard nicht mehr in meiner Taskleiste. Ist das normal.

Also das Papierkorb ist leer. Aber immernoch sagt antivir dass da dieser trojaner sitzt. Die Datei ist irgendwie nicht sichtbar.

mfg

Alt 26.03.2005, 21:38   #7
Cidre
Administrator, a.D.
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Zitat:
Also das Papierkorb ist leer. Aber immernoch sagt antivir dass da dieser trojaner sitzt. Die Datei ist irgendwie nicht sichtbar.
Lade den Total Commander und nimm folgende Einstellung vor:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK

Navigiere im linken Fenster zum Ordner C:\Recycled und lösche (markieren -> F8 -> JA) die beanstandete Datei.
__________________
Gruß, Cidre


Alt 26.03.2005, 22:09   #8
marcellus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



@ cidre

Vielen Dank. Hat geklappt das sch...teil zu löschen. Allerdings sind da noch zwei Dateien drin (desktop.ini und info2). Aber ich denke das ist normal oder?

Alt 26.03.2005, 22:33   #9
Cidre
Administrator, a.D.
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Ja, siehe auch http://support.microsoft.com/default...d=kb;de;136517.

Bitte, gern geschehen.
__________________
Gruß, Cidre


Alt 07.04.2005, 03:08   #10
marcellus
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



Hallo,

da bin ich wieder. Es geht nochmal um die Datei die sich in c:\recycled befindet. Ich dachte ich hätte die gelöscht aber sie taucht immer wieder auf. Die Datei heißt Dc. Mal zeigt der Total Commander sie als exe datei oder als url an. Wenn ich versuche sie zu löschen taucht die datei sofort als dc1 wieder auf und dann immer weiter. Ich habe deswegen nochmal Antivir und escan laufen lassen aber sie schlagen nicht mehr alarm. Ist das wieder dieser Trojaner? Für antworten wäre ich dankbar.

mfg

Alt 07.04.2005, 21:28   #11
chaosman
 
Mist, jetzt hat es mich auch erwischt. - Standard

Mist, jetzt hat es mich auch erwischt.



@marcellus
lese dich hiermal durch
http://uk.trendmicro-europe.com/cons...=TROJ_SMALL.FO

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu Mist, jetzt hat es mich auch erwischt.
abgesicherten modus, ad-aware, ad-watch, adobe, antivir, autostart, avgnt.exe, bho, boot, button, ebay, explorer, hijack, hijackthis, internet, internet explorer, log, löschen, microsoft, object, programme, rundll, rundll32, shockwave, software, sun java, system, system32, windows, windows xp



Ähnliche Themen: Mist, jetzt hat es mich auch erwischt.


  1. Interpol Trojaner, jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 05.02.2014 (5)
  2. GVU Trojaner hat mich jetzt erwischt, was tun?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2013 (3)
  3. BKA hat mich nun auch erwischt
    Log-Analyse und Auswertung - 17.08.2011 (7)
  4. HDD LOW hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (19)
  5. Jetzt hat's mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 04.10.2008 (14)
  6. Jetzt hats mich auch erwischt...Trojaner und sonstiger Besuch :-(
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (5)
  7. Jetzt hat's mich auch erwischt (Newbie)!
    Log-Analyse und Auswertung - 17.01.2008 (23)
  8. Jetzt hat es mich erwischt. Aber warum?
    Log-Analyse und Auswertung - 22.01.2007 (17)
  9. Jetzt hat`s mich also auch erwischt...
    Log-Analyse und Auswertung - 10.01.2006 (9)
  10. Jetzt hats mich auch erwischt
    Log-Analyse und Auswertung - 27.10.2005 (9)
  11. auch mich hat es erwischt!
    Log-Analyse und Auswertung - 05.03.2005 (2)
  12. mich hatts jetzt auch erwischt in Berlin
    Log-Analyse und Auswertung - 08.02.2005 (1)
  13. bitte um hilfe jetzt hat es mich auch erwischt
    Log-Analyse und Auswertung - 24.12.2004 (8)
  14. jetzt hat es mich ebenfalls erwischt !!
    Log-Analyse und Auswertung - 21.12.2004 (2)
  15. Jetzt hat es mich wohl auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (2)
  16. Mich hat´s jetzt auch erwischt...
    Log-Analyse und Auswertung - 18.08.2004 (2)
  17. Jetzt hat es mich auch erwischt.Hilfe, bitte!
    Plagegeister aller Art und deren Bekämpfung - 06.10.2003 (7)

Zum Thema Mist, jetzt hat es mich auch erwischt. - Hallo, tja, irgendwann ist immer das erste mal. Gestern Antivir laufen lassen und zack hatte ich vier Funde. Mit Adaware habe ich einies im abgesicherten Modus löschen können, aber einer - Mist, jetzt hat es mich auch erwischt....
Archiv
Du betrachtest: Mist, jetzt hat es mich auch erwischt. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.