Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Log-Auswertung?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.08.2005, 10:11   #1
Unterhändler
 
Log-Auswertung? - Standard

Log-Auswertung?



Hallo,

es wär prima, wenn jemand mal mein log auswerten würde. Hab leider wenig Ahnung von Spyware/Trojaner etc., da es mich nun zum ersten Mal heftiger erwischt hat, fragt sich nur woher.

Ich habs schon mit herkömmlichen Spyware-Software versucht, aber vergeblich. Dieser CoolblablaSearch lässt damit nicht entfernen. Und wer weiß was noch alles drauf. Daher versuche ich hier mal Hilfe zu bekommen.

Also vielen Dank schon mal für Tipps!

Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:56:03, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Audio-Programme\Winamp\Winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\DTSTA.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\kernels32.exe
C:\winstall.exe
C:\WINDOWS\System32\symcsvc.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
D:\Internet-Programme\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\vxh8jkdq2.exe
C:\WINDOWS\System32\vxh8jkdq6.exe
C:\WINDOWS\System32\vxh8jkdq7.exe
C:\WINDOWS\system32\init32m.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\System-Programme\WinRAR 3\WinRAR.exe
C:\DOKUME~1\*\LOKALE~1\Temp\Rar$EX00.337\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [l]h++p://abosearch.com/sp.html[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [l]h++p://abosearch.com/index.html[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [l]h++p://www.manager-magazin.de/[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = []h++p://abosearch.com/sp.html[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [l]h++p://abosearch.com/index.html[/url]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.2.1
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik-Programme\Adobe-Reader 6\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E246FAE-8420-11D9-870D-000C2917DE7F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [WinampAgent] "D:\Audio-Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - Global Startup: ZoneAlarm.lnk = D:\Internet-Programme\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.178.84
O15 - Trusted IP range: 67.19.178.84 (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [l]http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33C8E07-5748-4A7A-BBA7-5A2695482BA2}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE84D9E5-DC5E-49DA-812C-BA1927B16A0B}: NameServer = 192.168.2.1
O21 - SSODL: System - {412322EA-FE30-41B5-AD4E-AA0FCE765E6B} - vr_sys.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 05.08.2005, 10:44   #2
felix1
/// Helfer-Team
 
Log-Auswertung? - Standard

Log-Auswertung?



Du hast einiges auf dem Rechner. Der Grund ist u.a ein unaktuelles und ungepatchtes System.

Logfile of HijackThis v1.99.1
Scan saved at 10:56:03, on 05.08.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)




Programm laden und ausführen:
http://www.derbilk.de/404.html
Danach installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken.
Lade und update Ad-aware, update Spybot und lasse die Programme laufen.
http://www.comsafe.de/download.html
Anschliessend mache den escan. Poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=17492
__________________


Alt 05.08.2005, 16:24   #3
Unterhändler
 
Log-Auswertung? - Standard

Log-Auswertung?



Hi,

danke erstmal für die schnelle Hilfe. Hab soweit alles gemacht, auch wenn es einige Probleme gab. Mit dem escan hat nicht so geklappt wie beschrieben mit dem entpacken und vorallem mit dem Verzeichnis. Aber kein problem. Dann hab ich den escan gemacht unde der hat gut was gefunden. Anschließend find.bat, wo ich erstmal die Pfade anpassen musste, da beim entpacken das verzeichnis c:\base_x oder so nicht angelegt wurde. Aber auch kein Problem denke ich. In der ...alt-Datei (es wurde keine .neu erzeugt) wurde nix gefunden, dann hab sicherheitshalber in der MWAV.LOG selbst gesucht und auch nix gefunden. Wundert mich aber, da escan im Durchlauf einiges gefunden hat.

Was mach ich nun? Hab nochmal spybot drüberlaufen lassen und der findet den cool-..... immer noch sowie spy-sheriff.

Zu meinem System: Das Windows läuf jetzt schon 3 jahre und deswegen hat sich einiges an Müll angesammelt. Daher wollte ich eigentlich in den nächsten 2 Wochen alles neu aufsetzen und nun passiert mir in den letzten Tagen sowas! Ich hab deswegen keine patches etc. installiert, weil alles immer 1a lief und ich nix ändern wollte. Hatte wie gesagt auch nie noch Probleme mit Spy/Trojaner und so.

Soviel dazu. Ich fahr jetzt übers WE weg und kann wohl erst wieder Montag antworten. Nochmal vielen Dank für die Hilfe.
__________________

Alt 05.08.2005, 16:35   #4
dartus
 
Log-Auswertung? - Standard

Log-Auswertung?



Hallo Unterhändler,

der Ordner "C:\bases_x" wird beim Entpacken nicht angelegt, sondern muss vorher von Dir erstellt werden!

Eine Neuinstalltion ist Dir IMHO anzuraten, da sich da zahlreiche Trojan-Downloader tummeln. Wer weiss was die bereits nachgeladen haben.
Hier eine empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

dartus
__________________
Kein Support per PN

Alt 05.08.2005, 16:44   #5
Unterhändler
 
Log-Auswertung? - Standard

Log-Auswertung?



Wie ´gesagt, werd eh alles in entsprechender Weise neu installieren. Will aber natürlich nicht bis dahin mit diesem Scheiß arbeiten. Mit dem Verzeichnis hat ja geklappt, aber lief halt nicht rund.

SO, ich meld mich dann am Montag nochmal.


Alt 11.08.2005, 17:07   #6
Unterhändler
 
Log-Auswertung? - Standard

Log-Auswertung?



Hallo,

ich hab nochmal alles durchlaufen lassen und es wurde einiges gefunden. Ich bin echt erstaunt wieviel! Hab aber trotzdem keinerlei Einschränkungen oder sonstwas bemerkt.

Bitte um Hilfe diesen Mist wegzubekommen.

Hier das Log von escan:

=> Datei C:\winstall.exe infiziert von "not-virus:Hoax.Win32.Renos.j" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\System32\vxh8jkdq2.exe infiziert von "not-virus:Hoax.Win32.Renos.j" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-50a67b1c-241810a9.zip infiziert von "Trojan.Java.ClassLoader.c" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\count.jar-28222fd8-78baef3c.zip infiziert von "Exploit.Java.ByteVerify" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx1.game infiziert von "Trojan-Dropper.Win32.Small.acg" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx2.game infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx3.game infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vx4.game infiziert von "Trojan-Clicker.Win32.Tiny.c" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vxt1.game infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\vxt2.game infiziert von "Trojan.Win32.LowZones.y" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0JK345O7\latest[1].exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\loader.exe infiziert von "Trojan-Downloader.Win32.Tibs.h" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\msxmidi.exe infiziert von "Trojan.Win32.StartPage.tp" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system\Loader.dll infiziert von "Trojan-Downloader.Win32.Agent.li" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system\svchost.dll infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system\svchosthook.dll infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\abc.exe infiziert von "Trojan-PSW.Win32.LdPinch.os" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\abirvalg32.dll infiziert von "Trojan-Proxy.Win32.Small.cn" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\abc.exe infiziert von "Trojan-PSW.Win32.LdPinch.os" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\abirvalg32.dll infiziert von "Trojan-Proxy.Win32.Small.cn" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\cssrs.exe infiziert von "Trojan-PSW.Win32.PdPinch.gen" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\init32m.exe infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\latest.exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\maxd1.exe infiziert von "Trojan.Win32.Dialer.ht" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgame1.exe infiziert von "Trojan-Dropper.Win32.Small.acg" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgame2.exe infiziert von "Trojan.Win32.Crypt.i" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgame3.exe infiziert von "Trojan-Downloader.Win32.Agent.ho" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgame4.exe infiziert von "Trojan-Clicker.Win32.Tiny.c" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgamet1.exe infiziert von "Backdoor.Win32.Agent.iw" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxgamet2.exe infiziert von "Trojan.Win32.LowZones.y" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxh8jkdq1.exe infiziert von "Trojan-Downloader.Win32.Small.bdz" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxh8jkdq5.exe infiziert von "Trojan-Downloader.Win32.Small.awa" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxh8jkdq6.exe infiziert von "Trojan-Downloader.Win32.Small.aux" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxh8jkdq7.exe infiziert von "Trojan-Downloader.Win32.Small.atl" Virus. Aktion vorgenommen: No Action Taken.
=> Datei C:\WINDOWS\system32\vxh8jkdq8.exe infiziert von "Trojan-Downloader.Win32.Small.bdz" Virus. Aktion vorgenommen: No Action Taken.

Alt 11.08.2005, 21:01   #7
dartus
 
Log-Auswertung? - Standard

Log-Auswertung?



Hallo Unterhändler,

Zitat:
C:\WINDOWS\system\svchost.dll infiziert von "Backdoor.Win32.Agent.iw
Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus
__________________
Kein Support per PN

Antwort

Themen zu Log-Auswertung?
auswerten, bho, button, drivers, excel, explorer, explorer.exe, hijack, hijackthis, hotkey, internet, internet explorer, log, log auswerten, mein log, messenger, microsoft, monitor, msn, msn messenger, office, prima, system, system32, temp, vielen dank, wenig ahnung, windows, windows installer, windows xp



Ähnliche Themen: Log-Auswertung?


  1. GVU - olt.txt auswertung
    Log-Analyse und Auswertung - 12.08.2013 (12)
  2. OTL Auswertung
    Log-Analyse und Auswertung - 10.03.2013 (3)
  3. LOG Auswertung
    Log-Analyse und Auswertung - 19.12.2012 (14)
  4. TOL auswertung
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (15)
  5. OTL Auswertung nach Hijackthis Online-Auswertung
    Log-Analyse und Auswertung - 11.11.2011 (3)
  6. Log Auswertung
    Log-Analyse und Auswertung - 17.05.2011 (3)
  7. Log-Auswertung!
    Log-Analyse und Auswertung - 10.02.2011 (4)
  8. Auswertung
    Log-Analyse und Auswertung - 14.09.2009 (1)
  9. Auswertung
    Mülltonne - 22.10.2008 (0)
  10. log-auswertung
    Log-Analyse und Auswertung - 11.03.2008 (4)
  11. log-auswertung
    Log-Analyse und Auswertung - 11.03.2008 (0)
  12. Log-Auswertung
    Log-Analyse und Auswertung - 01.10.2005 (19)
  13. Log-Auswertung
    Log-Analyse und Auswertung - 01.10.2005 (2)
  14. Auswertung
    Log-Analyse und Auswertung - 18.01.2005 (1)
  15. Rat bei Log Auswertung
    Log-Analyse und Auswertung - 19.11.2004 (11)
  16. Log Auswertung
    Log-Analyse und Auswertung - 08.10.2004 (2)
  17. Log Auswertung
    Log-Analyse und Auswertung - 29.09.2004 (5)

Zum Thema Log-Auswertung? - Hallo, es wär prima, wenn jemand mal mein log auswerten würde. Hab leider wenig Ahnung von Spyware/Trojaner etc., da es mich nun zum ersten Mal heftiger erwischt hat, fragt sich - Log-Auswertung?...
Archiv
Du betrachtest: Log-Auswertung? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.