| |
| |||||||
Log-Analyse und Auswertung: Nachfragen ob Laut meines Log's alles okay istWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
22.04.2005, 17:46
| #1 |
| |  Nachfragen ob Laut meines Log's alles okay ist Hi, habe jetzt erst seit kurzem I-Net und habe jetzt mal nen scan gemacht. Was meint ihr, ist meine System sauber? hier der log: Logfile of HijackThis v1.99.1 Scan saved at 18:40:48, on 22.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\winsc.exe C:\WINDOWS\System32\Wlntfs.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\estr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Shareaza\Shareaza.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Sony\Net MD Simple Burner\NetMDSB.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\poetri\POETSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\eMule\emule.exe C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.bios-kompendium.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [Windows Secure Connection] winsc.exe O4 - HKLM\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [hostserv] wiz98.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Windows Secure Connection] winsc.exe O4 - HKLM\..\RunServices: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKLM\..\RunServices: [hostserv] wiz98.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [NTFS MICROSOFT SYSTEM] Wlntfs.exe O4 - HKCU\..\Run: [Windows Secure Connection] winsc.exe O4 - HKCU\..\Run: [Rlos] C:\WINDOWS\System32\estr.exe O4 - HKCU\..\Run: [hostserv] wiz98.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {69C9F1BE-CD8C-4130-A7B0-9F9CBA2D7107} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {69C9F1BE-CD8C-4130-A7B0-9F9CBA2D7107} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: HushEncryptionEngine - https://mailserver1.hushmail.com/sha...tionEngine.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62...bridge-c18.cab O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} - http://advnt01.com/dialer/internazionale_ver10.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{BF8B4E99-2399-481C-9C3E-0A4C5E1C5682}: NameServer = 212.7.148.65 212.7.148.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Net MD Simple Burner Service (NetMDSB) - Sony Corporation - C:\Programme\Sony\Net MD Simple Burner\NetMDSB.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: POETRI PPPoE Service (PoetriService) - Unknown owner - C:\Programme\poetri\POETSRV.EXE O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
22.04.2005, 17:53
| #2 | |
  |  Nachfragen ob Laut meines Log's alles okay ist Hallo,
__________________Zitat:
 Im System ist z.B. http://www.sophos.de/virusinfo/analyses/w32rbotaai.html sowie viele weitere Varianten bzw. "Verwandte" des o.g. Schädlings. => Als einzig vernünftige Lösung bleibt dir nur das: "System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern". |
|
22.04.2005, 18:06
| #3 |
| | Nachfragen ob Laut meines Log's alles okay ist Hi,
__________________danke erstmal dür die schnelle Antwort  Habe mir schon fast gedacht das was drauf ist. Werde wohl morgen alles neu machen. Aber eine Fragen habe ich trotzdem noch: 1. Was sind eigentlich MSAOL32.exe , winsc.exe , estr.exe und Wlntfs.exe für Datein??? Immer wenn ich mich ins Internet einwähle fragen die Firewall nach ob man das durchlassen soll. Kann ich die ohne bedenke durchlassen oder wäre das eher schlecht? |
|
22.04.2005, 18:08
| #4 |
| | Nachfragen ob Laut meines Log's alles okay ist Das ist alles Malware, die MSAOL32.EXE ist der verlinkte Schädling. Halte dich beim Formatieren an die Anleitung, sonst dauert es nur Sekunden, bis dein System erneut kompromittiert wird. |
|
22.04.2005, 18:10
| #5 |
| | Nachfragen ob Laut meines Log's alles okay ist Woran erkennt man das das Malware ist? (bin noch nne neebie daher die fragen  ) |
|
22.04.2005, 18:15
| #6 | ||
| | Nachfragen ob Laut meines Log's alles okay ist Ok, eine kurze Einführung in HijackThis: Was bedeuten die Einträge? -> http://www.trojaner-board.de/51130-a...ijackthis.html =>O4-Einträge sind Autostartaufrufe aus der Registry. Microsoft AOL Instant Messenger] MSAOL32.exe bei Google suchen. -> wir finden folgendes: http://www.sophos.de/virusinfo/analyses/w32rbotaai.html Zitat:
Zitat:
So auf die Schnelle kann man das leider nicht erklären, außerdem spielt Erfahrung wirklich auch eine große Rolle. MfG Haui |
|
| Themen zu Nachfragen ob Laut meines Log's alles okay ist |
| antispyware, antivir, antivir update, avg, bho, computer, desktop, einstellungen, excel, explorer, hijack, hijackthis, icqtoolbar, internet, internet explorer, log, log's, microsoft, monitor, nvidia, programme, rundll, scan, secure, software, system, urlsearchhook, windows, windows xp |
Linear-Darstellung
