Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Mal ein paar Fragen...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.04.2005, 15:31   #1
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



...da bin ich mal wieder. Hatte in der letzten Zeit nie Probleme mit dem rechner, nur jetzt tauchen jetzt ein paar kleinere Problemchen auf.

Wenn ich Spybot laufen lasse, findet er zwei Probleme, welche sich nicht behebne lassen. backWeb lite oder sowas in der Art. Nur jetzt bitte nicht wieder neu aufsetzen lassen. habe ich vor kurzem erst getan, jetzt muss ich, oder besser will ich das irgendwie anders lösen.

Hier erstmal mein Log:
Logfile of HijackThis v1.99.1
Scan saved at 15:13:11, on 28.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\F-Secure Internet Security\fswsclds.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\sistray.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Digital Image\Monitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Cisco Systems\VPN Client\ipseclog.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-bielefeld.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Digital Image Monitor.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hierzu mal folgende Fragen:
Was ist..C:\Programme\Gemeinsame Dateien\MicrosoftShared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe

Zudem sind dort noch Einträge von F.Secure und Telekon Eumex, welches ich nicht mehr nutze, wie bekomme ich das weg?

Und hier das ergebnis von eScan:
File C:\Dokumente und Einstellungen\Mitschi\Anwendungsdaten\Thunderbird\Profiles\lz84cr3h.default\Mail\Local Folders\Trash infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{DB7FE372-E197-4A30-802E-C4AB06A00AEF}\RP40\A0027647.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Was kann ich machen?

Gruss
Michi

Alt 28.04.2005, 19:38   #2
Cidre
Administrator, a.D.
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Hallo,

Zitat:
Wenn ich Spybot laufen lasse, findet er zwei Probleme...backWeb lite oder sowas in der Art.
Sollte imho zur LogiTech gehören und ist unbedenklich. Poste trotzdem den genauen Wortlaut des Fundes.
Zitat:
Was ist..C:\Programme\Gemeinsame Dateien\MicrosoftShared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
Kannst du alles hier nachlesen.
Zitat:
Zudem sind dort noch Einträge von F.Secure und Telekon Eumex, welches ich nicht mehr nutze, wie bekomme ich das weg?
Sauber über Systemsteuerung -> Software deinstallieren. Danach die verbliebenen Dienste und die zugehörigen Programm Ordner löschen, auch die Einträge mittels HJT fixen:
Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf den Dienst -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen.
Zitat:
File C:\Dokumente und Einstellungen\Mitschi\Anwendungsdaten\Thunderbird\ Profiles\lz84cr3h.default\Mail\Local Folders\Trash infected by "not-a-virus:AdWare.Casino.b" Virus. Action Taken: No Action Taken.
http://www.thunderbird-mail.de/hilfe.../antivirus.php
__________________

__________________

Alt 29.04.2005, 11:52   #3
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Habe nichts von LogiTech am Laufen!
Hier sind die genauen Bezeichnung von Spybot:

HKEY_USERS\S-1-5-18\Software\BackWeb
und
HKEY_USERS\Default\Software\BackWeb


Zudem scheint eScan im Papierkorb von Thunderbird etwas gefunden zu haben, aber der Papierkorb ist leer!

Und was der andere Eintrag den eScan gefunden hat?
__________________

Alt 29.04.2005, 14:49   #4
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



das sich die mdm.exe jetzt nicht im system32 Ordner befindet handelt es sich doch jetzt nicht zwangsläufig um einen Wurm, oder?

Alt 29.04.2005, 15:15   #5
Haui45
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Zitat:
das sich die mdm.exe jetzt nicht im system32 Ordner befindet handelt es sich doch jetzt nicht zwangsläufig um einen Wurm, oder?
Die Datei befindet bei dir im richtigen Ordner, diese Infos auf neuber.com sind falsch.
Du kannst den Prozess trotzdem deaktivieren, er ist meiner Meinung nach nicht notwendig.


Alt 01.05.2005, 20:50   #6
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Wie kriege ich nun die Dinger weg, die Spybot mir anzeigt? Wenn ich die Probleme beheben will, dann sagt mir Spybot, dass es nicht möglich ist, aber nach einem Neustart vielleicht behoben wird. Wird es aber nicht! Die zwei Einträge bleiben einfach!

Alt 01.05.2005, 20:54   #7
Haui45
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Es gibt ja geteilte Meinungen über backweb....

Removal z.B.:
http://www.iamnotageek.com/a/359-p1.php
http://www.cexx.org/dlgli.htm

Alt 01.05.2005, 21:15   #8
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Also heißt es, dass BackWeb nicht mittelbar schädlich ist? Kann auch sein, dass es zu einem Programm gehört, welches ich installiert habe und was durchaus nicht schädlich ist?

Alt 01.05.2005, 21:17   #9
Haui45
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Ja, aber wahrscheinlich wird es schon besser sein, wenn du es entfernst.

Alt 01.05.2005, 21:26   #10
Rene-gad
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



@michiman
Zitat:
Kann auch sein, dass es zu einem Programm gehört, welches ich installiert habe und was durchaus nicht schädlich ist?
Wenn ich dir ein Glas Milch gebe, wo ich ein bisschen KCN aufgelöst habe, würdest du dann auch behaupten, dass die Milch durchaus nicht schädlich ist ?
PS: Keine Angst, du kriegst von mir keine Milch geliefert

Alt 02.05.2005, 10:19   #11
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Okay, habe die Seiten studiert, kann sie aber nicht auf mein Problem übertragen. Finde Back web einfach net!!!

Wo finde ich der, die, das???

Alt 02.05.2005, 22:31   #12
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Damit mein Frage nicht verschwindet, musste ich sie leider noch einmal hochholen!

Wie bekomme ich die Dinger jetzt wech? Die zwei genannten Anleitungen verstehe ich nicht richtig! Auf jeden Fall kann ich so nichts finden!

Alt 02.05.2005, 23:14   #13
cronos
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Ist in der Systemsteuerung unter Software ein Eintrag zu diesem Programm vorhanden?
Ja, deinstallieren.
Nein, wieder melden.
__________________
Only cronos endures

Alt 02.05.2005, 23:18   #14
michiman
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Zu welcher Software? In der Systensteuerung sind nur Programme, die da auch erwünscht sind. Nichts, was ich nicht haben wollte!

Alt 04.05.2005, 21:08   #15
Rene-gad
 
Mal ein paar Fragen... - Standard

Mal ein paar Fragen...



Zitat:
Zitat von michiman
HKEY_USERS\S-1-5-18\Software\BackWeb
und
HKEY_USERS\Default\Software\BackWeb
Aber ich kann solche Dateien nicht finden.
Hier handelt es sich um die Registry-Einträge. Diese Dateien existieren nicht.

Antwort

Themen zu Mal ein paar Fragen...
adobe, antivir, antivir update, bho, computer, drivers, einstellungen, escan, excel, explorer, f-secure, frage, hijack, hijackthis, infected, internet, internet explorer, internet security, log, mein log, neu, neu aufsetzen, programme, security, security center, software, system, träge, usb, windows, windows messenger, windows security, windows xp



Ähnliche Themen: Mal ein paar Fragen...


  1. Ein paar Fragen dazu?
    Diskussionsforum - 26.04.2014 (13)
  2. Externe Platte erlaubt keinen Zugriff mehr, ein paar Fragen...
    Netzwerk und Hardware - 21.01.2014 (24)
  3. Ein paar allgemeine Fragen zu Malware
    Diskussionsforum - 29.04.2013 (15)
  4. MTIB (Banking-Trojaner?). Hätte da noch ein paar Fragen... Danke!
    Plagegeister aller Art und deren Bekämpfung - 23.04.2013 (8)
  5. Ein paar Fragen zum Thema Prozesse& anderen Sachen
    Alles rund um Windows - 22.04.2013 (1)
  6. trojaner ruper0dun.exe entfernen ein paar fragen
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (1)
  7. hab da mal ein paar fragen
    Plagegeister aller Art und deren Bekämpfung - 29.03.2010 (22)
  8. Auswertung für HJT Datei und ein paar Fragen
    Log-Analyse und Auswertung - 25.12.2007 (0)
  9. Ein paar Fragen...
    Alles rund um Windows - 14.09.2007 (8)
  10. ein paar fragen zu ein paar Prozessen u.d.g.
    Log-Analyse und Auswertung - 18.07.2006 (11)
  11. Windows sicher einrichten in 15 Schritten: ein paar Fragen
    Alles rund um Windows - 29.03.2006 (2)
  12. Ein paar Fragen zum sicheren installieren von Win XP
    Alles rund um Windows - 12.04.2005 (11)
  13. High Jack Log 21.01.2005 - Paar Fragen
    Log-Analyse und Auswertung - 21.01.2005 (10)
  14. ein paar Fragen
    Alles rund um Windows - 05.10.2003 (7)
  15. Spybot-Ergebnis - ein paar Fragen
    Plagegeister aller Art und deren Bekämpfung - 08.08.2003 (2)
  16. erstma ein paar fragen
    Antiviren-, Firewall- und andere Schutzprogramme - 27.03.2003 (16)
  17. Ein paar Fragen......
    Alles rund um Mac OSX & Linux - 23.10.2002 (10)

Zum Thema Mal ein paar Fragen... - ...da bin ich mal wieder. Hatte in der letzten Zeit nie Probleme mit dem rechner, nur jetzt tauchen jetzt ein paar kleinere Problemchen auf. Wenn ich Spybot laufen lasse, findet - Mal ein paar Fragen......
Archiv
Du betrachtest: Mal ein paar Fragen... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.