Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: knlwrap.exe und ikernel.exe? Sind die böse?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.05.2005, 12:58   #1
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Wer kann mir weiterhelfen, kämpfe immer noch um ein sauberes System.
Den "F2=regedit" Kram hab ich löschen könne, dAfür finden sich nun folgende zweifelhafte Log-Einträge.
Müssen die Dateien auch weg?

C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\knlwrap.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\iKernel.exe


Spybot, die sophos Notfall CD und spysubtracct und CW-Shredder und easyspywarescanner finden nix. Mc Afee anscheinend sowieso nicht.

Der komplette log:

Logfile of HijackThis v1.99.1
Scan saved at 12:40:13, on 02.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\OmniPage\OmniPage.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\knlwrap.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\iKernel.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

Alt 02.05.2005, 13:26   #2
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Hi,
lasse die beiden Dateien mal bei Jotti online scannen und berichte über das Ergebnis.
cacatoa
__________________

__________________

Alt 02.05.2005, 13:29   #3
Combine
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Scan noch

D:\Programme\OmniPage\OmniPage.exe

C:\Programme\lycos\Lyc_SysTray.exe
__________________

Alt 02.05.2005, 13:43   #4
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



@ combine:
Wieso omnipage? Ist ein Zeichen-/Leseprogramm.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 02.05.2005, 14:19   #5
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Danke für die Hilfe

Habe die beiden Dateien bei Jotti online checken lassen und síe sind für OK befunden worden.
Die automatischeHijack Logfile Auswertung postet zu den beiden Dateien: unbekannte Prozesse.

Hoffe mal das sie clean sind.

Dafür habe ich "intmonp.exe" gefunden, welches wohl eindeutig ein Trojaner ist. Hat keiner der Scanner gefunden, ich hab es manuell über das Datum der Erstinfizierung gefunden.
Auf jeder Platte liegt diese Datei in einem Ordner "Recycler" abgelegt.
Hoffe die krieg ich manuell im abgesicherten Modus gelöscht.

Nun über Jotti weitere verdächtige Dateien gescannt:
Ergebnis

TR/Dldr.Agent.LX.1
Trojan.Click.378
Trojan.Favadd.U

Bin für jede Hilfe dankbar.
Diese Datei krieg ich übrigens nicht zu Jotti hochgeladen. Gibt ne Fehlermeldung - wohl nicht ohne Grund (


Geändert von JGandN (02.05.2005 um 14:36 Uhr)

Alt 02.05.2005, 19:33   #6
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Die Dateien, die infiziert waren im abgesicherten Modus löschen.
Dann empfehle ich dir, clearprog 1.4.1 final runterzuladen und auf "alles löschen" clicken. Das Programm beseitigt alle temporary files und bereinigt den Papierkorb. Der Einsatz empfiehlt sich übrigens nach jeder INet-Sitzung.
Dann Systemwiederherstellung aus, Rechner aus, Rechner an, Systemwiederherstellung an.
Desweiteren dann unbedingt einen
eScan
Beachtre alle Anweisungen in der Anleitung. die Version, die Du aktuell runterlädst ist version 6.0.* , also in der Anleitung danach vorgehen.
Der scan (im abgesicherten Modus!!) dauert ca. 1 Stunde.
Die Auswertung bitte hier reinposten.
cacatoa
__________________
--> knlwrap.exe und ikernel.exe? Sind die böse?

Alt 03.05.2005, 12:09   #7
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Also zunächst nochmal Danke für die tolle Hilfe!

1 Alles gelöscht mit ClearProg.
2 Gescannt im abges. Modus:
2.1 Spybot search&destroy
2.2 escan (kommt gleich)

2.1 Das Ergebnis von Spybot Search&Destroy sieht so aus:

Error during check!: Xuron55 (Datei C:\WINDOWS\win.ini kann nicht geöffnet werden. Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird) ()

Congratulations!: No immediate threats were found. ()


--- Spybot - Search && Destroy version: 1.3 ---
2005-04-26 Includes\Cookies.sbi
2005-04-27 Includes\Dialer.sbi
2005-04-27 Includes\Hijackers.sbi
2005-04-15 Includes\Keyloggers.sbi
2004-11-29 Includes\LSP.sbi
2005-04-27 Includes\Malware.sbi
2005-04-27 Includes\PUPS.sbi
2005-04-27 Includes\Revision.sbi
2005-02-09 Includes\Security.sbi
2005-04-27 Includes\Spybots.sbi
2005-02-17 Includes\Tracks.uti
2005-04-27 Includes\Trojans.sbi

Alt 03.05.2005, 12:46   #8
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Na, für´s Erste schon mal gut; warten wir den eScan ab...
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 03.05.2005, 14:09   #9
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Und hier das Ergebnis vom escan (oder alles posten? ist ja extrem lang..)
Ist das normal, dass der anscheinend "nur" Drive C gescannt hat?
Egal was ich da an- oder ausgeclickt habe, gescannt hat er nur C ?
Welche Bedeutung haben die drei errors?

Tue May 03 13:44:26 2005 => Total Objects Scanned: 32866
Tue May 03 13:44:26 2005 => Total Virus(es) Found: 0
Tue May 03 13:44:26 2005 => Total Disinfected Files: 0
Tue May 03 13:44:26 2005 => Total Files Renamed: 0
Tue May 03 13:44:26 2005 => Total Deleted Objects: 0
Tue May 03 13:44:26 2005 => Total Errors: 3
Tue May 03 13:44:26 2005 => Time Elapsed: 01:24:28
Tue May 03 13:44:26 2005 => Virus Database Date: 2005/05/02
Tue May 03 13:44:26 2005 => Virus Database Count: 127997

Tue May 03 13:44:26 2005 => Scan Completed.
Und weiterhin vielen Dank: toll, dass es so ein Forum gibt.

Leider bestand noch folgendes Problem:
Der Desktop-Hintergrund ist schwarz und es lässt sich weder ein Bild als Desktophintergrund hochladen, noch gibt es unter Desktop-Eigenschaften-Anzeige die Möglichkeit etwas anderes einzustellen.
Lösung:
Dazu habe ich folgendes Helferlein gefunden und es hat gefunzt:
http://ralphcaddell.com/Uploads/Background.zip

Geändert von JGandN (03.05.2005 um 15:42 Uhr)

Alt 03.05.2005, 18:42   #10
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Hi,
hast du vor dem scan angeclickt:
scan all local drives und
scan all files?
Die errors erscheinen, wenn er Dateien scannen will, die gerade benutzt werden.
Gut daß Du Deinen Desktophintergrund alleine wieder hingekriegt hast.
Poste noch ein abschließendes HJT-Logfile.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 04.05.2005, 12:02   #11
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Hallo Cacatoa!

Bin den escan nochmal durchgegangen und er hatte gestern doch alle Platten gescannt, was ich wohl nicht so mitbekommen hatte, da ich nicht die ganze Zeit dabei saß. Damit wäre dann ja alles sauber oder?
Habe die windows Systenherstellung nun wieder eingeschaltet, war das ok?


Was ist denn mit:
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
Was mich vor allem wundert ist das da ein kleines c: steht und kein großes.
Jotti hält die Datei für ok.

Auch die "C:\Programme\Messenger\msmsgs.exe" irritiert mich etwas. Gehört diese Datei nicht in den System32 Ordner?


Hier nun noch ein abschliessendes HJT-logfile

Logfile of HijackThis v1.99.1
Scan saved at 11:18:14, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\lycos\Lyc_SysTray.exe
D:\Programme\Nero\NeroNET\NeroNET.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\system32\imapi.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\Programme\sicherheit\Spysub\SpySub.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NeroNET - Ahead Software AG - D:\Programme\Nero\NeroNET\NeroNET.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Speedmanager\tsmsvc.exe

Alt 04.05.2005, 13:52   #12
cacatoa
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Hallo,
das Logfile ist soweit sauber; Lycos ist Absicht, oder?
Das mit dem kleinen c: kann ich nicht erklären; aber das ist bei vielen, die McAfee verwenden, so.
Wenn die:
C:\Programme\Messenger\msmsgs.exe im System32 Ordner liegt, dann ließe das auf einen Backdoor-Trojaner schließen.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 07.05.2005, 19:21   #13
JGandN
 
knlwrap.exe und ikernel.exe? Sind die böse? - Standard

knlwrap.exe und ikernel.exe? Sind die böse?



Hi Cacatoa!

Lycos ist Absicht. Obwohl, dass kommt wahrscheinlich auch wieder weg.
Die Messenger\msmsgs liegt zum Glück nicht im Ordner System 32, aber ich glaube sie war mal da.

Dummerweise hat McAfee in meiner Abwesenheit wohl auch/noch einen trojaner auf der Platte gefunden und repariert, jedoch weiß ich dummerweise nicht welchen, er befand sich aber im versteckten Ordner C:\System Volume Information. An den Ordner komme ich aber nicht ran.

Ausserdem liegt in dem verstecktem Ordner "Recycler" eine Datei namens "S- 1- 521 - 1390067357-1677128483-1202660629-1003"
Weder die Datei noch der Ordner lassen sich löschen noch zu Jotti hochladen. Was mach ich damit? Umbennen bringt auch keine Lösung.

Erbitte Hilfe und Tipps

Geändert von JGandN (07.05.2005 um 20:21 Uhr)

Antwort

Themen zu knlwrap.exe und ikernel.exe? Sind die böse?
acrobat, agent, bho, dateien, explorer, folge, hijack, hijackthis, internet, internet explorer, löschen, mc afee, messenger, microsoft, online, programme, regedit, software, sophos, sp2, start, system32, teatimer, virusscan, windows, windows xp


« Hilfe!! | Hilfe!! »

Ähnliche Themen: knlwrap.exe und ikernel.exe? Sind die böse?


  1. Der Böse V9-Virus ist weg
    Lob, Kritik und Wünsche - 02.09.2015 (0)
  2. Windows 7: Im Text sind wahllos Wörter grün unterstrichen, welche Werbelinks sind
    Log-Analyse und Auswertung - 09.02.2014 (7)
  3. das böse qvo6
    Plagegeister aller Art und deren Bekämpfung - 09.05.2013 (7)
  4. Kazy.20364.1 und jetzt sind alle Daten sind weg !
    Plagegeister aller Art und deren Bekämpfung - 13.05.2011 (13)
  5. böse seiten
    Mülltonne - 23.07.2007 (1)
  6. Logfile - böse :@
    Log-Analyse und Auswertung - 05.06.2007 (14)
  7. Böse oder nicht Böse?!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2007 (1)
  8. alg32.exe ... böse?
    Log-Analyse und Auswertung - 20.02.2007 (14)
  9. Böse Sache
    Log-Analyse und Auswertung - 29.11.2006 (3)
  10. 5 böse Prozesse
    Log-Analyse und Auswertung - 03.10.2006 (4)
  11. Böse Kekse?
    Diskussionsforum - 01.09.2006 (1)
  12. event. böse?
    Log-Analyse und Auswertung - 11.02.2006 (4)
  13. Sind diese Dateien "BÖSE"??? Hilfe!!! HijackThis:..
    Antiviren-, Firewall- und andere Schutzprogramme - 30.08.2005 (6)
  14. Eventuell Böse ????
    Log-Analyse und Auswertung - 09.06.2005 (3)
  15. Böse fallen?
    Log-Analyse und Auswertung - 17.04.2005 (2)
  16. böse sachen
    Log-Analyse und Auswertung - 01.04.2005 (19)

Zum Thema knlwrap.exe und ikernel.exe? Sind die böse? - Wer kann mir weiterhelfen, kämpfe immer noch um ein sauberes System. Den "F2=regedit" Kram hab ich löschen könne, dAfür finden sich nun folgende zweifelhafte Log-Einträge. Müssen die Dateien auch weg? - knlwrap.exe und ikernel.exe? Sind die böse?...
Archiv
Du betrachtest: knlwrap.exe und ikernel.exe? Sind die böse? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.