Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus, Trojaner oder defektes Betriebssystem?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.07.2005, 15:58   #1
Fudi
 
Virus, Trojaner oder defektes Betriebssystem? - Standard

Virus, Trojaner oder defektes Betriebssystem?



Hallo,

ich habe seit ein paar Tagen ein großes Problem.


Seit ich einen neuen DSL-Router (FRITZ!BOX Phone WLAN 7050) über einen Switch angestöpselt habe, und danach noch das Programm CFOS deinstalliert habe kann ich keine Office 2000 Anwendungen und Photoshop 6.0 mehr starten.

System: WIN2000

Meldung:
Programmfehler

photoshop.exe hat einen Fehler verusacht. Das Programm wird
geschlossen. Starten Sie die Anwendung neu.


Was ich bisher versucht habe:

escan -> nichts gefunden
gegoogelt -> nichts gefunden
chkdsk -> Fehler gefunden und behoben
hijackthis -> ich denk das passt alles


Ich hoffe Ihr könnt mir helfen, vielen Dank schon mal.

Gruß Fudi

hier nun zwei log-Files zum einen die von HijackThis und von DrWatson.

Logfile of HijackThis v1.99.1
Scan saved at 15:20:09, on 26.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
D:\F-Prot\fpavupdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\Tablet.exe
C:\WINNT\system32\TSSsvc.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\F-Prot\F-Sched.exe
D:\F-Prot\F-StopW.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\WTablet\TabUserW.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINNT\system32\taskmgr.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Install File\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [FRISK FP-Scheduler] D:\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] D:\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINNT\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/099dddd4...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C4C44E2-AC62-4189-9DCB-43D38408704A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\ISDN\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - D:\F-Prot\fpavupdm.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINNT\system32\Tablet.exe
O23 - Service: TSStalk Windows 2000 Service (TSSsvc) - Thursby Software Systems, Inc. - C:\WINNT\system32\TSSsvc.EXE



DRWTSN32.LOG



Anwendungsausnahme aufgetreten:
Anwendung: (pid=364)
Wann: 26.07.2005 @ 14:41:30.062
Ausnahmenummer: c0000005 (Zugriffsverletzung)

*----> Systeminformationen <----*
Computername: BENNY
Benutzername: Benny
Prozessoranzahl: 1
Prozessortyp: x86 Family 6 Model 10 Stepping 0
Windows 2000-Version: 5.0
Aktuelles Build: 2195
Service Pack: 4
Aktueller Typ: Uniprocessor Free
Firma:
Besitzer: Benny

*----> Taskliste <----*
0 Idle.exe
8 System.exe
144 smss.exe
172 csrss.exe
192 winlogon.exe
220 services.exe
232 lsass.exe
412 svchost.exe
440 SPOOLSV.exe
468 ati2evxx.exe
500 svchost.exe
520 fpavupdm.exe
564 regsvc.exe
604 mstask.exe
640 Tablet.exe
728 tsssvc.exe
776 winmgmt.exe
788 svchost.exe
972 explorer.exe
1032 rundll32.exe
1056 htpatch.exe
1012 atiptaxx.exe
1100 iTunesHelper.ex.exe
1112 qttask.exe
1120 F-Sched.exe
1136 F-StopW.exe
1160 jusched.exe
1172 DATALA~1.exe
1180 TRAYAP~1.exe
1188 realsched.exe
1196 TabUserW.exe
1296 iPodService.exe
1356 SERVIC~1.exe
364 Photoshp.exe
1548 taskmgr.exe
288 drwtsn32.exe
0 _Total.exe

(00400000 - 011BF000)
(77880000 - 77901000)
(77E70000 - 77F36000)
(79350000 - 793B2000)
(77D20000 - 77D91000)
(77E00000 - 77E65000)
(77F40000 - 77F7C000)
(76B00000 - 76B3F000)
(70A70000 - 70AD4000)
(78000000 - 78045000)
(71710000 - 71794000)
(77580000 - 777CE000)
(10000000 - 10133000)
(00230000 - 0037F000)
(77A40000 - 77B37000)
(77540000 - 77571000)
(750E0000 - 7512F000)
(79430000 - 7943F000)
(75130000 - 75136000)
(750C0000 - 750CF000)
(74FA0000 - 74FB4000)
(74F90000 - 74F98000)
(77940000 - 7796B000)
(77970000 - 77994000)
(74FC0000 - 74FC9000)
(00380000 - 003A5000)
(011C0000 - 01229000)
(77810000 - 77817000)
(75940000 - 75946000)
(779A0000 - 77A3B000)
(671B0000 - 671BD000)
(78310000 - 783A1000)
(791A0000 - 79203000)
(02AA0000 - 02C84000)
(02C90000 - 02F09000)
(02F10000 - 02F20000)
(777F0000 - 7780E000)
(782F0000 - 78301000)
(60600000 - 60644000)

Statusabbild für Threadkennung 0x604

eax=00000844 ebx=00000000 ecx=00000211 edx=00000000 esi=00000000 edi=00161328
eip=6061fdc3 esp=0012eb2c ebp=0012eb34 iopl=0 nv up ei pl nz ac po nc
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 efl=00000216


Funktion: DrvConvertDevMode
6061fda4 3bfe cmp edi,esi
6061fda6 7608 jbe DrvConvertDevMode+0x80c4 (606238b0)
6061fda8 3bf8 cmp edi,eax
6061fdaa 0f8278010000 jb DrvConvertDevMode+0x473c (6061ff28)
6061fdb0 f7c703000000 test edi,0x3
6061fdb6 7514 jnz DrvDocumentEvent+0xef1 (6062becc)
6061fdb8 c1e902 shr ecx,0x2
6061fdbb 83e203 and edx,0x3
6061fdbe 83f908 cmp ecx,0x8
6061fdc1 7229 jb 6062f0ec
FEHLER ->6061fdc3 f3a5 rep movsd ds:00000000=???????? es:00161328=00000000
6061fdc5 ff2495d8fe6160 ds:00000000=????????
jmp dword ptr [DrvConvertDevMode+0x46ec (6061fed8)+edx*4]
6061fdcc 8bc7 mov eax,edi
6061fdce ba03000000 mov edx,0x3
6061fdd3 83e904 sub ecx,0x4
6061fdd6 720c jb DrvConvertDevMode+0xc8f8 (606280e4)
6061fdd8 83e003 and eax,0x3
6061fddb 03c8 add ecx,eax
6061fddd ff2485f0fd6160 ds:00000844=????????
jmp dword ptr [DrvConvertDevMode+0x4604 (6061fdf0)+eax*4]
6061fde4 ff248de8fe6160 ds:00000211=????????
jmp dword ptr [DrvConvertDevMode+0x46fc (6061fee8)+ecx*4]
6061fdeb 90 nop
6061fdec ff248d6cfe6160 ds:00000211=????????
jmp dword ptr [DrvConvertDevMode+0x4680 (6061fe6c)+ecx*4]

*----> Stack Back Trace <----*

FramePtr ReturnAd Param#1 Param#2 Param#3 Param#4 Function Name
0012EB34 6062A627 00161328 00000000 00000844 00000000 !DrvConvertDevMode
0012ED64 6062A277 03033538 60600000 0012EDAC FFFFFFFF !DrvAdvancedDocumentProperties
0012EDD0 76B02E3C 00000000 00135104 0015F9F2 00161328 !DrvDocumentPropertySheets
0012EDFC 76B02D9A 00000000 00135104 0015F9F2 00000000 comdlg32!PrintDlgA
0012F680 0015B5B0 00000000 00000000 00000000 00000000 comdlg32!PrintDlgA
00000000 00000000 00000000 00000000 00000000 00000000 <nosymbols>

*----> Raw Stack Dump <----*
0012eb2c ac ed 12 00 00 00 00 00 - 64 ed 12 00 27 a6 62 60 ........d...'.b`
0012eb3c 28 13 16 00 00 00 00 00 - 44 08 00 00 00 00 00 00 (.......D.......
0012eb4c ac ed 12 00 ac ed 12 00 - 00 00 00 00 00 00 00 00 ................
0012eb5c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012eb6c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012eb7c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012eb8c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012eb9c 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012ebac 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012ebbc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012ebcc 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
0012ebdc 00 00 00 00 43 00 3a 00 - 5c 00 57 00 49 00 4e 00 ....C.:.\.W.I.N.
0012ebec 4e 00 54 00 5c 00 73 00 - 79 00 73 00 74 00 65 00 N.T.\.s.y.s.t.e.
0012ebfc 6d 00 33 00 32 00 5c 00 - 73 00 70 00 e8 85 63 60 m.3.2.\.s.p...c`
0012ec0c 60 85 63 60 00 00 00 00 - 06 00 00 00 64 ec 12 00 `.c`........d...
0012ec1c d2 88 88 77 d2 ec 12 00 - 0c 00 00 00 00 00 60 60 ...w..........``
0012ec2c b8 85 63 60 e8 85 63 60 - d0 ec 12 00 01 00 00 00 ..c`..c`........
0012ec3c 00 00 00 00 f8 00 60 60 - 34 ec 12 00 cc ec 12 00 ......``4.......
0012ec4c 28 ed 12 00 01 00 00 00 - 74 ec 12 00 74 22 89 77 (.......t...t".w
0012ec5c 00 00 60 60 00 00 00 00 - 38 ed 12 00 85 2c 89 77 ..``....8....,.w

Statusabbild für Threadkennung 0x2f0

eax=00acd290 ebx=00000000 ecx=0001004f edx=00000000 esi=77894086 edi=000000a8
eip=77894091 esp=0302ff58 ebp=0302ff7c iopl=0 nv up ei pl zr na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000246


Funktion: ZwWaitForSingleObject
77894086 b8ea000000 mov eax,0xea
7789408b 8d542404 lea edx,[esp+0x4] ss:03ab9e3f=????????
7789408f cd2e int 2e
77894091 c20c00 ret 0xc
77894094 8a5001 mov dl,[eax+0x1] ds:01557176=??
77894097 3a5101 cmp dl,[ecx+0x1] ds:00a99f35=c0
7789409a 0f8598c7ffff jne RtlEqualPrefixSid+0x44 (77890838)
778940a0 84d2 test dl,dl
778940a2 7410 jz RtlQueryAtomInAtomTable+0x31 (77894fb4)
778940a4 0fb6d2 movzx edx,dl
778940a7 33ff xor edi,edi
778940a9 8d72ff lea esi,[edx+0xff] ds:00a89ee6=027c249c
778940ac 85f6 test esi,esi
778940ae 0f8f04100100 jnle RtlEraseUnicodeString+0x4e (778a50b8)
778940b4 b001 mov al,0x1

*----> Stack Back Trace <----*

FramePtr ReturnAd Param#1 Param#2 Param#3 Param#4 Function Name
0302FF7C 77E81B1B 000000A8 FFFFFFFF 00000000 00ACD11B ntdll!ZwWaitForSingleObject
0302FFEC 00000000 00ACD290 00000000 00000000 000000C8 kernel32!WaitForSingleObject

*----> Raw Stack Dump <----*
0302ff58 c2 c4 e8 77 a8 00 00 00 - 00 00 00 00 00 00 00 00 ...w............
0302ff68 0c 1b e8 77 02 00 00 00 - 00 00 00 00 01 01 00 00 ...w............
0302ff78 01 01 00 00 ec ff 02 03 - 1b 1b e8 77 a8 00 00 00 ...........w....
0302ff88 ff ff ff ff 00 00 00 00 - 1b d1 ac 00 a8 00 00 00 ................
0302ff98 ff ff ff ff 00 00 00 00 - 01 00 00 00 a4 d2 ac 00 ................
0302ffa8 b4 ff 02 03 02 00 00 00 - bc f8 12 00 00 00 00 00 ................
0302ffb8 7c 98 e7 77 00 00 00 00 - bc f8 12 00 01 00 00 00 |..w............
0302ffc8 00 00 00 00 00 d0 fd 7f - 4f 00 01 00 c0 ff 02 03 ........O.......
0302ffd8 4f 00 01 00 ff ff ff ff - b4 f0 e8 77 60 d3 e7 77 O..........w`..w
0302ffe8 00 00 00 00 00 00 00 00 - 00 00 00 00 90 d2 ac 00 ................
0302fff8 00 00 00 00 00 00 00 00 - c8 00 00 00 00 01 00 00 ................
03030008 ff ee ff ee 02 10 00 00 - 00 00 00 00 00 fe 00 00 ................
03030018 00 00 10 00 00 20 00 00 - 00 02 00 00 00 20 00 00 ..... ....... ..
03030028 57 01 00 00 ff ef fd 7f - 0e 00 08 06 00 00 00 00 W...............
03030038 00 00 00 00 00 00 00 00 - 00 00 00 00 98 05 03 03 ................
03030048 0f 00 00 00 f8 ff ff ff - 50 00 03 03 50 00 03 03 ........P...P...
03030058 40 06 03 03 00 00 00 00 - 00 00 00 00 00 00 00 00 @...............
03030068 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
03030078 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................
03030088 00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00 ................

Antwort

Themen zu Virus, Trojaner oder defektes Betriebssystem?
?????, adobe, antivirus, anwendungen, besitzer, bho, computer, dateien, dll, explorer, hotkey, internet, internet explorer, log-files, microsoft, monitor, neue, photoshop, programm, programme, rundll, software, system32, trojaner, update, vielen dank, virus, windows, wlan



Ähnliche Themen: Virus, Trojaner oder defektes Betriebssystem?


  1. Backdoor in den Chips oder im Betriebssystem
    Überwachung, Datenschutz und Spam - 08.09.2015 (8)
  2. Kann ein Virus auf ein anderes Betriebssystem übergehen?
    Plagegeister aller Art und deren Bekämpfung - 22.03.2015 (9)
  3. Trojaner oder Virus oder sonst was schädliches ?
    Log-Analyse und Auswertung - 09.12.2012 (28)
  4. Windows Verschlüsselungstrojaner u defektes CD Laufwerk
    Log-Analyse und Auswertung - 13.05.2012 (28)
  5. 50 € Virus blockiert Betriebssystem
    Plagegeister aller Art und deren Bekämpfung - 21.04.2012 (10)
  6. (2x) virus- betriebssystem gesperrt mit zahlungsaufforderung...
    Mülltonne - 11.04.2012 (1)
  7. 50€-Virus: Betriebssystem blockiert
    Plagegeister aller Art und deren Bekämpfung - 05.04.2012 (21)
  8. 50€-Virus: Betriebssystem blockiert
    Log-Analyse und Auswertung - 22.03.2012 (1)
  9. 50€ Virus- Betriebssystem geperrt
    Plagegeister aller Art und deren Bekämpfung - 15.03.2012 (11)
  10. 50€ AKM Virus - mit zweitem Betriebssystem entfernen?
    Plagegeister aller Art und deren Bekämpfung - 04.03.2012 (1)
  11. Virus oder Trojaner? Browser reagieren nicht oder verzögert.
    Log-Analyse und Auswertung - 20.10.2010 (26)
  12. Defektes Word Dokument wiederherstellen + Bilder
    Alles rund um Windows - 02.03.2010 (15)
  13. TCP/IP-Fehler - Betriebssystem beschädigt oder Trojaner?
    Log-Analyse und Auswertung - 08.06.2009 (1)
  14. Explorer öffnet automatisch + defektes Internet
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (33)
  15. Defektes Rechtsklick-Menü
    Alles rund um Windows - 30.09.2007 (3)
  16. Defektes Netzteil?
    Netzwerk und Hardware - 04.07.2007 (6)
  17. Browser oder Betriebssystem
    Netzwerk und Hardware - 28.03.2006 (4)

Zum Thema Virus, Trojaner oder defektes Betriebssystem? - Hallo, ich habe seit ein paar Tagen ein großes Problem. Seit ich einen neuen DSL-Router (FRITZ!BOX Phone WLAN 7050) über einen Switch angestöpselt habe, und danach noch das Programm CFOS - Virus, Trojaner oder defektes Betriebssystem?...
Archiv
Du betrachtest: Virus, Trojaner oder defektes Betriebssystem? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.