Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJ-Log von 2 versch. XP - Installationen auf 2 Platten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.06.2005, 16:05   #1
Guru
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Beitrag

Log: 2 xp - installationen (1 IDE / 1 SATA) -> auf SATA anscheinend trojaner vorhande



Hi!

Ich habe gestern auf meiner SATA-Platte Erstinstallation von XP gemacht.
Auf meiner andere IDE-Platte ist es bereits vorhanden, von dieser aus arbeite ich auch gerade.
Nach ungefähr 15minuten im 2. XP (das neue) und ähnlich wenigen im Internet zuerst das mir bereits bekannte (von früher, bereits behoben damals)

"ihr Computer wird in 60 Sekunden heruntergefahren"

Okay, alles klar, ran an die Bulletten, doch nach der Entfernung davon wurde es noch besser:

- Bluescreen bei klicken auf die neue Festplatte im Arbeitsplatz (nur wenn das neue XP aktiv ist)

- phqg.exe aktiv (grad mal 5 google-Einträge) -> noch nicht bezwungen

- hwhour.exe oder sowas war aktiv -> bereits bezwungen (auch wirklich?)


Nun ja, hier mal das erste Logfile, das von der alten XP-installation auf der IDE-Platte


Logfile of HijackThis v1.99.1
Scan saved at 17:06:53, on 29.06.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FSI\F-Prot\F-StopW.exe
C:\Programme\FSI\F-Prot\FP-Win.exe
C:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [RefreshLock] C:\Software\RefreshLock.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DDA5151-DBAE-426D-9591-DFCFB391C326}: NameServer = 195.50.140.252 145.253.2.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{4DDA5151-DBAE-426D-9591-DFCFB391C326}: NameServer = 195.50.140.252 145.253.2.81
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Wenn der gute liebe Rechner mich lässt, mach ich auch eines von der SATA-XP aus und schaue ob es Unterschiede gibt.



Vielen Dank schon mal vorab! h:


edit:

Olé, das 2. log, und es sieht eigentlich nach 2 oder 3 so teilen aus?



Logfile of HijackThis v1.99.1
Scan saved at 17:28:11, on 29.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\dhcpclient.exe
F:\WINDOWS\system32\userinit.exe
F:\WINDOWS\Explorer.EXE
C:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [CherryKeyMan] "F:\Programme\Peripherie\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TerraTec Remote Control] "F:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Software\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [VCXD Settings] phqg.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119997513264
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - F:\Programme\Peripherie\Cherry\CDI\CDI.exe
O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - F:\WINDOWS\System32\dhcpclient.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - F:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINDOWS\system32\ZoneLabs\vsmon.exe

Geändert von Guru (29.06.2005 um 16:40 Uhr) Grund: topic.

Alt 29.06.2005, 17:05   #2
Guru
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Ergänzung:

Er schmiert jetzt wirklich JEDES Mal ab, wenn ich in der neuen Xp-installation auf Festplatte C: mit dem alten XP drauf oder F: mit dem neuen zugreifen möchte.

Als Lösungen bietet XP alles an (im bluescreen), von zu wenig hdd frei (noch 230gig frei) über grafikkarte tauschen bis hin zu abgesicherter Modus ()
__________________


Alt 29.06.2005, 17:25   #3
Gigamail
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Hi Guru

für mich ist das ganze nicht nachzuvollziehen. Wieso brauchst du auf einem Rechner zweimal XP

mach beide platten leer und spiele einmal das XP drauf und du hast Ruhe. Du brauchst dir auch keine Gedanken machen Windows XP verwaltet beide Platten
Hilfe zum Neuaufsetzen
__________________
__________________

Alt 29.06.2005, 17:49   #4
Guru
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Die IDE-Platte ist die alte.

Die SATA die neue.

Ich will XP auf der SATA haben, aber keine Daten verlieren / 60GB sichern müssen

-> Installation auf SATA und dann alle Daten von der IDE rüberholen.

Das ist der Grund, ich will also am ende schon alles auf einer haben, aber ddann kam der trojanerkram dazwischen.

Alt 29.06.2005, 19:26   #5
Gigamail
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Thema Datensicherung schau Datensicherung

__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 29.06.2005, 23:37   #6
Guru
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Drücke ich mich so unklar aus?

Das mit den 2 XPs dient nur der Situationskontextuierung und hat mit dem Problem, den Trojanern nichts zu tun.

Hilfe?

Alt 30.06.2005, 08:17   #7
Guru
 
HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Standard

HJ-Log von 2 versch. XP - Installationen auf 2 Platten



Ich hab nun mal die registry nach dem phqg.exe durchkaemmt und soweit alles gekillt.

hwclock.exe ging einfacher weg, hab ich aber bereits erwaehnt.


Trotzdem danke,

Gruss Tom

Antwort

Themen zu HJ-Log von 2 versch. XP - Installationen auf 2 Platten
adobe, antivirus, bho, bluescree, bluescreen, computer, ctfmon.exe, explorer, festplatte, firefox, hijack, hijackthis, home, icqtoolbar, installation, installation von xp, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, neue festplatte, programme, remote control, sekunden, software, symantec, system, trojaner, träge, unterschiede, urlsearchhook, windows, windows xp



Ähnliche Themen: HJ-Log von 2 versch. XP - Installationen auf 2 Platten


  1. Trojan.Microfake.D auf fabrikneuen Touro Mobile Platten 1 TB
    Diskussionsforum - 16.09.2014 (12)
  2. [XP netbook] versch. Viren
    Log-Analyse und Auswertung - 01.04.2014 (9)
  3. Versch. Trojaner: TR/Ransom, TR/Matsnu
    Log-Analyse und Auswertung - 05.05.2013 (12)
  4. Keine Verbindung zu versch. Servern möglich
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (2)
  5. Und nochmal: BKA-Trojaner, Windows7, zum 3. Mal auf zwei versch. Computern
    Plagegeister aller Art und deren Bekämpfung - 10.11.2011 (15)
  6. Notebook - Seitenaufbau mit versch. Browsern langsam
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (23)
  7. TR/Kazy.mekml.1 Platten fast leer
    Log-Analyse und Auswertung - 28.04.2011 (1)
  8. Platten mit 4k-Sektoren
    Netzwerk und Hardware - 22.11.2010 (9)
  9. Java/Agent, + versch. Tr/...
    Plagegeister aller Art und deren Bekämpfung - 25.09.2010 (26)
  10. Gen:Trojan.HEUR.41758AAFAF in versch. Dateien
    Log-Analyse und Auswertung - 20.03.2009 (1)
  11. BOO/Sinowal.c auf drei Platten
    Mülltonne - 11.12.2008 (0)
  12. Festplatte knackt (bzw. 2 Platten in einem Monat kaputgegangen)
    Netzwerk und Hardware - 12.04.2007 (13)
  13. mit pc die platten von mudern digitaliesieren
    Netzwerk und Hardware - 29.10.2006 (4)
  14. Bitte um Hilfe zu versch. Viren/spyware
    Plagegeister aller Art und deren Bekämpfung - 01.04.2005 (5)
  15. versch. TR/...
    Log-Analyse und Auswertung - 11.03.2005 (2)
  16. WIN XP und externe USB Platten
    Alles rund um Windows - 04.01.2005 (5)
  17. Gehen Platten mit 7200 bzw. 10000 U/min. schneller kaput als welche mit 5400 U/min ?
    Netzwerk und Hardware - 07.03.2003 (13)

Zum Thema HJ-Log von 2 versch. XP - Installationen auf 2 Platten - Hi! Ich habe gestern auf meiner SATA-Platte Erstinstallation von XP gemacht. Auf meiner andere IDE-Platte ist es bereits vorhanden, von dieser aus arbeite ich auch gerade. Nach ungefähr 15minuten im - HJ-Log von 2 versch. XP - Installationen auf 2 Platten...
Archiv
Du betrachtest: HJ-Log von 2 versch. XP - Installationen auf 2 Platten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.