| |
| |||||||
Log-Analyse und Auswertung: kann bitte jemand mal meine logs prüfenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
08.05.2005, 13:09
| #1 |
| |  kann bitte jemand mal meine logs prüfen habe mir eine trojaner bzw wurm eingefangen (Trojan-downloader.bat.ftp.c bzw. backdoor.win32.poe.bot) mein virenprogr. findet nix mehr aber ich habe einen port scan gemacht und da werden immer noch offene ports angezeigt. ich habe auch escan im abges.mod. laufen lassen der hatt ein paar sachen gekillt. hier ist mein log: Logfile of HijackThis v1.99.1 Scan saved at 14:08:05, on 08.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\bases\TRAYICOS.EXE C:\bases\AVPMWrap.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinZip\WZQKPICK.EXE C:\bases\MAILDISP.EXE C:\bases\SPOOLER.EXE C:\bases\MAILSCAN.EXE C:\bases\kavss.exe C:\bases\TRAYSSER.EXE C:\bases\avpm.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\bases\AvpM.exe C:\Programme\Internet Explorer\iexplore.exe C:\bases\MWAVSCAN.EXE C:\bases\kavss.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Beaves\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\bases\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\bases\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\bases\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115450112984 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\bases\TRAYSSER.EXE O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\fswsclds.exe O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\bases\avpm.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe vielen dank für eure hilfe |
|
08.05.2005, 14:55
| #2 |
   | kann bitte jemand mal meine logs prüfen ohoh.. es sieht so aus, als dass ein rootkit installiert wurde sodass der zugriff auf deinen PC jederzeit möglich ist. das bedeutet, dass dein system kompromittiert ist. eine Neuinstallation und absicherung des systems wie in diesem Link beschrieben ist deshalb unumgänglich.
__________________ |
|
08.05.2005, 21:17
| #3 | ||
 | kann bitte jemand mal meine logs prüfen @brixton
__________________Zitat:
Zitat:
Allerdings: ich würde gegen der Microsoft-Empfehlung und meiner Überzeugung verstößen, wenn ich dir nicht eine Neuinstallation empfehlen würde. Nach einem Backdoor-Befall ist dein System und auch die allen AV-Tools nicht mehr vertrauenswürdig. Der Link zur Anleitung dafür findest du in meiner Signatur. @Ravermeister Bitte Board-FAQ und hier lesen Wie poste ich falsch  |
|
09.05.2005, 15:08
| #4 |
| | kann bitte jemand mal meine logs prüfen @ Rene-gad hi, vielen dank für deine hilfe und deinen "Anschiss" (hast ja recht) ich habe das system ja schon neu aufgesetzt richtig mit low lewel formatierung und so aber ich bekomm das ding nicht weg. sobald ich vom antivirenprogr. ein update mache geht das los mit dem virenattacken. ich werde noch mal weiterforschen und vielen dank erst mal . |
|
09.05.2005, 15:10
| #5 |
| | kann bitte jemand mal meine logs prüfen Hast du dein System nach dem Formatieren, vor der ersten Internetverbindung, auch entsprechend abgesichert? |
|
09.05.2005, 15:12
| #6 |
| | kann bitte jemand mal meine logs prüfen Wenn du nach einer Neuinstallation Virenbefall hast, dann fallen mir nur 2 Dinge ein. Du gehst online _bevor_ du SP2 installiert hast. Du hast irgendeine CD die verseucht ist. Deshalb, Neuinstallation, SP2, Virenscanner und dann alles scannen _bevor_ du es installierst oder speicherst. Domino
__________________ --> kann bitte jemand mal meine logs prüfen |
|
09.05.2005, 18:32
| #7 |
| | kann bitte jemand mal meine logs prüfen @ Domino ja ist richtig SP2 hatte ich noch nie drauf weil viele probleme geben kann. ich habe mein system formatiert neu aufgespielt dann firewall inst. (Bitdefender) und das antivieren progr. inst. erst dann bin ich online gegangen.schon bei den ersten updates wurden mir viren angezeigt. naja ich werde mal sp2 laden und nochmal alles neu machen. fettes thx für die infos |
|
| Themen zu kann bitte jemand mal meine logs prüfen |
| antivirus, antivirus scan, bho, einstellungen, explorer, f-secure, helper, hijack, hijackthis, internet, internet explorer, internet security, kaspersky, log, mein log, monitor, offene ports, port, programme, prüfen, scan, security center, settings manager, software, symantec, system, temp, trojaner, windows, windows security, windows xp, wurm |
Linear-Darstellung
