Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: irgendwas ist faul,

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.09.2005, 18:15   #1
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



ich weiss nur nicht was ! Der HijackThis Report scheint i.O. zu sein:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:51, on 03.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**l://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

Trotzdem ist mein System teilweise sehr langsam, ab und an werde mit "yr computer might be at risk" daraufhingewiesen das sich zumindest Werbeverarsche eingeschlichen hat. Smartsurfer oeffnet sich ab und an auch von selbst - da will was online !

Die Programme Hoster, RegSeeker und FreshUI werden alle 3 beim Aufmachen aufgrund eines ungueltigen Vorgangs wieder geschlossen.

Seit heute wird beim Hochfahren gemeldet dass die Windowsgeraetedatei entweder absichtlich oder unabsichtlich geloescht wurde und entweder ordendlich entfernt oder neu aufgespielt werden soll. Ist wahrscheinlich ne' separate Baustelle durch meine Rumspielerei aber bin auch hier fuer einen Tip dankbar.

Habe win98se. Antivir, e-scan, spyboot und ad-aware finden nix entsprechendes. Zuletzt Spyfinder.a durch Spyboot gefunden und angeblich eliminiert.

Bin gespannt. Schoenes Wochenende
Gruss
bandog

Geändert von bandog (05.09.2005 um 12:22 Uhr)

Alt 04.09.2005, 17:16   #2
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hallo, aeh, sorry muss unten heissen findspy.a, nicht spyfinder.a

Dann habe ich gerade gesehen das es zu meinem Problem schon einen Thread gibt

http://www.trojaner-board.de/showthr...ight=findspy.a

Allerdings hat es auf beide Postings 1x im Mai und dann im Juli keine Antwort gegeben.
Ist ja komisch das Spybot den Trojaner schon so lange erkennt, aber noch nicht beseitigen kann. Ganz zu schweigen von AntiVir und E-scan.
Gruss
bandog
__________________


Alt 05.09.2005, 07:41   #3
hugHefner
 
irgendwas ist faul, - Icon19

irgendwas ist faul,



Nächstes mal bitte Links im Log auf H**P://www.blabla.de editieren sonst klickt wer drauf und hat sich was eingefangen ( ist aber auch ne art stammkunden zu bekommen XD )
__________________
__________________

Alt 05.09.2005, 12:24   #4
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hi, den muss ich uebersehen haben. Aber gefunden hast du auch nichts komisches, oder ?
Sonst irgendwelche Ideen zu dem findspy.a ?
Gruss
bandog

Alt 05.09.2005, 12:30   #5
Chris14
 

irgendwas ist faul, - Standard

irgendwas ist faul,



Ja ok das Log ist sauber. Das heißt allerdings nicht das dass System nun auch sauber ist.
Also führe eScan aus.


Alt 05.09.2005, 13:01   #6
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hi Chris, danke fuer Deine Antwort. E-scan up-date ich bei jeder I-net session, der findet nichts. Das System ist def. NICHT sauber.

Mir ist noch was eingefallen. Entweder mit Spybot oder mit Ad-aware habe ich kuerzlich "Wareout" entfernt. Koennte sein, dass da noch etwas (oder auch "etwas mehr") uebriggeblieben ist.

Die Geschichte mit den Programmen (Regseeker, freshdownload, hoster) die beim aufrufen die Windowsmeldung "Abbruch durch ungueltigen Vorgang" hervorrufen, hatte ich im Eingangsposting schon erwaehnt. Komisch ist das man mit diesen Programmen trotzdem ganz normal arbeiten kann, solange man diese Meldung nicht wegdrueckt oder mit OK bestaetigt. Kann das auch mit Spyware/Trojaner zusammenhaengen ?

Gruss
bandog

Alt 06.09.2005, 13:22   #7
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hallo, gross ist die Resonanz auf meinen Thread ja gerade nicht. Ich habe mich natuerlich selber umgeschaut und bin mir jetzt ziemlich sicher, dass - wie gestern schon vermutet das Problem mit Wareout zusammenhaengt. Dazu gibt es ja diverses in den verschiedenen Foren.

Mich wundert jetzt aber sehr, dass E-scan nichts mehr findet und ich habe mir verschiedene Beschreibungen angesehen - hier bei Tj-board aber auch woanders. Das klingt alles sehr kompliziert wie mwav.exe unter C:bases eingeben undsoweiter; Ich up-date mein e-scan indem ich unter "sonstiges" den up-date anklicke. Nachdem der download im Dos-Fenster durch ist schliesst sich dieses und ich klicke wieder unter "sonstiges", mache alle Haekchen und der Scan laeuft normal durch.
Kann es sein dass ich dabei etwas falsch mache und so die up-dates dem Scan nicht zur Verfuegung stehen ???
Danke vorab.
Gruss
bandog

Alt 06.09.2005, 13:26   #8
Yopie
Moderator, a.D.
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Halte dich beim eScan einfach an die Anleitung, dann bekommst du
a) bessere Ergebnisse
b) weitere Antworten.

Gruß
Yopie

Alt 06.09.2005, 13:33   #9
Chris14
 

irgendwas ist faul, - Standard

irgendwas ist faul,



das ist mir neu...

allerdings nur, wenn escan beim richtigen ausführen wieder nix findet;

wie wird der trojaner/wurm/virus bitte geladen? es gibt ja 5 möglichkeiten:
1.startmenü-autostart (wäre aufgeführt, wenn eintrag vorhanden)
2.registrierungseintrag run, runservices in HKLM und HKCU (wäre aufgeführt, wenn eintrag vorhanden)
3.winlogon notify (wäre aufgeführt, wenn eintrag vorhanden)
4.als treiber (nicht aufgeführt!)
5.systemdatei ersetzt, mitladung (nicht aufgeführt!)
ich vermute, da escan den nicht erkannt hat hast du es hier mit einem neueren trojaner zutun der noch nicht erkannt wird.
es wird zeit das wir heraus finden, welche dateien ersetzt wurden..
klicke auf start -> ausführen -> sfc eingeben
Einstellungen
Geänderte Dateien suchen (selektieren)
Gelöschte Dateien suchen (selektieren)
OK -> Starten
Jetzt poste die dateinamen die verändert wurden.

Alt 06.09.2005, 15:43   #10
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hallo Chris, werde ich heute abend so machen. Heisst das aus Deiner Sicht und nach meiner Beschreibung habe ich e-scan richtig ausgefuehrt ?
Nur zur Klarstellung: Ich habe E-scan als Programm schon einige Zeit drauf und nach der Installation ist ja auch einiges gefunden worden. Ich hatte auch gesehen, das am Programm und der Anwendung Aenderungen/Vereinfachungen vorgenommen wurden. Und die Beschreibungen hier sind ja auch schon ein paar Tage aelter.

@Yopie, meine Frage bezieht sich daher nur auf die Up-dates und ob da etwas schief gehen kann. Ich habe mir Cidres Anleitung noch mal durchgelesen und kriege da keine klare Antwort. Daher meine Frage und ich denke dass Du Dir nichts vergibts, mir darauf Deine Meinung zu meiner Vorgehensweise mitzuteilen, statt Selbstverstaendlichkeiten zu posten, die im Moment nicht weiterhelfen. Will heissen ich kann lesen und tue das auch ! Das heisst aber nicht zwangslaeufig, dass ich das gelesene auch - richtig - verstanden habe, gelle ?
Gruss
bandog

Alt 06.09.2005, 15:47   #11
Yopie
Moderator, a.D.
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Bei den Updates kann eigentlich nichts schiefgehen. Der Vorteil der Anleitung ist, dass du ein angepasstes Protokoll der Funde ins Forum posten kannst, und daraufhin massgeschneiderte Tips bekommst.

Scannst du im abgesicherten Modus?

Kein AV-Scanner erkennt alles, auch eScan nicht.

Gruß
Yopie

Alt 06.09.2005, 16:18   #12
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



thks yopie,
- gut zu hoeren; bei evtl. funden werd' ich dass dann nochmal lesen.
- nein, soll/muss ich bei win98se ?
- is' schon klar !
gruss
bandog

Alt 06.09.2005, 16:22   #13
Yopie
Moderator, a.D.
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Zitat:
Zitat von bandog
- nein, soll/muss ich bei win98se ?
Besser is das. Deswegen steht es ja auch, halt dich fest, in der Anleitung.

Gruß
Yopie

Alt 09.09.2005, 12:24   #14
bandog
 
irgendwas ist faul, - Standard

irgendwas ist faul,



Hi, habe jetzt Gelegenheit gehabt weiterzumachen.
Yopie, das ist z.B. so eine Sache wo ich mir unsicher war; das hab ich mit der Systemwiederherstellung in einen Topf geschmissen, die es ja bei win98se nicht gibt. Und da es keine - fuer mich ersichtlichen - Unterschiede im Ergebnis gab, egal ob ich im Normal- oder sicheren Modus e-scan ausgefuehrt habe, hatte ich es dann zuletzt nur im normalen Modus ausgefuehrt.

Ich habe jetzt noch einmal, Anti-vir, spybot, ad-aware und e-scan upgedated und jeweils den Scan im sicheren Modus durchlaufen lassen, kein Programm hat etwas gefunden.
Nach wie vor gehen ab und an die netten Fenster auf (yr comp. might be at risk, windows sec. center, balloon, etc) und smartsurfer oeffnet sich auch immer wieder allein (obwohl angeklickt ist, "nicht automatisch oeffnen").
Dazu ist das System nach wie vor sehr langsam.

Chris, sfc hat ergeben das angeblich Notepad defect ist und es wurde vorgeschlagen die Systemdiskette einzulegen. Habe ich aber zunaechst mal mit ignorieren uebersprungen, da Notepad ohne Probleme laeuft.

Ich koennte jetzt natuerlich abwarten was weiter passiert und ob demnaechst ein up-date der Schutzprogramme einen Fehler findet. Die Chancen stehen gut, denn ich lese immer haeufiger von den genannten Symptomen.

Ich habe auch die Moeglichkeit ein 2 Monate altes Image neu aufzuspielen, und dann zu up-daten.

Hat noch jemand eine Idee was ich jetzt tun koennte ?
schoenes Wochenende
bandog

Alt 09.09.2005, 19:20   #15
Chris14
 

irgendwas ist faul, - Standard

irgendwas ist faul,



ok dann wirds zeit für silentrunners.vbs
führe silentrunners aus.
dann poste den inhalt der datei (dessen namen er am ende anzeigt) hier.

Antwort

Themen zu irgendwas ist faul,
ad-aware, antivir, bho, computer, explorer, firefox, hijack, hijackthis, internet, internet explorer, langsam, microsoft, mozilla, mozilla firefox, neu, online, programme, registry, regseeker, rundll, rundll32.exe, sehr langsam, services, software, start, system, von selbst, windows



Ähnliche Themen: irgendwas ist faul,


  1. 2x Laptop arbeitet dauernd| Remote Dienste aktiv | seltsame Verbindungen | Bei mir ist bestimmt etwas gehörig faul..
    Mülltonne - 29.07.2014 (2)
  2. Da ist was faul * Antivir 2009
    Mülltonne - 19.11.2008 (0)
  3. zu faul zum system aufsetzen..
    Mülltonne - 10.10.2008 (0)
  4. hijackthis log file, irgendetwas faul?
    Mülltonne - 30.06.2007 (0)
  5. könnt hier auch was faul sein ??
    Log-Analyse und Auswertung - 04.06.2007 (1)
  6. svchost.exe - irgendwas faul
    Plagegeister aller Art und deren Bekämpfung - 27.05.2007 (5)
  7. Würd mich über analyse meines hjt logs freuen (glaub bei mir ist was faul =/ )
    Plagegeister aller Art und deren Bekämpfung - 20.04.2007 (1)
  8. Ist hier was Faul??
    Log-Analyse und Auswertung - 14.02.2006 (3)
  9. Hier muss was faul sein!
    Log-Analyse und Auswertung - 08.02.2006 (2)
  10. Kann jemand schauen ob irgendwas faul ist in der Log-file
    Log-Analyse und Auswertung - 08.01.2006 (4)
  11. Was ist faul auf meinem Rechner?
    Log-Analyse und Auswertung - 13.10.2005 (1)
  12. Bei mir ist irgendwas Faul ich weis aber nicht was
    Plagegeister aller Art und deren Bekämpfung - 03.08.2005 (8)
  13. bei mir ist was faul, nur was?
    Log-Analyse und Auswertung - 22.05.2005 (1)
  14. Bitte nochmal um Hilfe, ist da schon wieder was faul???
    Log-Analyse und Auswertung - 22.02.2005 (5)
  15. DA is was FauL! ]log hijackthis[
    Log-Analyse und Auswertung - 31.01.2005 (3)
  16. Irgendwas ist Faul bei mir....
    Log-Analyse und Auswertung - 09.01.2005 (11)
  17. Ist hier was faul ???
    Log-Analyse und Auswertung - 04.12.2004 (1)

Zum Thema irgendwas ist faul, - ich weiss nur nicht was ! Der HijackThis Report scheint i.O. zu sein: Logfile of HijackThis v1.99.1 Scan saved at 19:03:51, on 03.09.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: - irgendwas ist faul,...
Archiv
Du betrachtest: irgendwas ist faul, auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.