Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Frage wegen "dumprep 0 -k" und "kernel.exe"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.09.2005, 02:39   #1
Freiburger
 
Frage wegen "dumprep 0 -k" und "kernel.exe" - Standard

Frage wegen "dumprep 0 -k" und "kernel.exe"



Hallo zusammen!

Habe eben ein HijackThis Log erstellt und bin auf zwei Prozesse gestossen, die mir etwas zweifelhaft erschienen.

Nun erstmal die Log Datei:

Logfile of HijackThis v1.99.1
Scan saved at 02:27:25, on 06.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\ADI USB ADSL LAN Adapter\DSLMON.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\DOWNLOAD_FILES\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\ADI USB ADSL LAN Adapter\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1123711631016
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1123711621703
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6FB66BA-6F51-4A38-A67D-605A57044E31}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe



1. "D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe"

Das ist ja eigentlich eine ganz normale T-Online datei, ich habe aber auch in anderer Quelle gelesen, dass sich hierbei um eine versteckte infizierte Datei handeln kann. Wie finde ich das raus?


2. "O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k"

Auch hier bin ich mir nicht sicher, ob man das braucht oder ob es unnötig oder gar schädlich ist.

Besten Dank im Voraus!

Alt 06.09.2005, 07:19   #2
stupormundi
 
Frage wegen "dumprep 0 -k" und "kernel.exe" - Standard

Frage wegen "dumprep 0 -k" und "kernel.exe"



Servus Freiburger

Zitat:
Das ist ja eigentlich eine ganz normale T-Online datei, ich habe aber auch in anderer Quelle gelesen, dass sich hierbei um eine versteckte infizierte Datei handeln kann. Wie finde ich das raus?
-ganz allgemein: Du hast die Möglichkeit, Dir suspekt erscheinende Dateien über Onlinescanner checken zu lassen. zB.:http://virusscan.jotti.org/de/ oder
http://www.malwareupload.com/ (Anmeldung notwendig)
Folge einfach den Anleitungen dort und Du erhältst binnen kurzer Zeit das Ergebnis. Vorteil ist, dass hier die Dateien von einer ganzen Reihe verschiedener Scanner gecheckt werden.
zu
Zitat:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep
Auch hier bin ich mir nicht sicher, ob man das braucht oder ob es unnötig oder gar schädlich ist.
konkret: schädlich ist sie nicht, aber brauchen tust Du sie auch nicht unbedingt. Du kannst Sie eventuell deaktivieren und bei Bedarf starten Guckst Du hier: http://castlecops.com/s1773-dumprep_0_u.html oder auch hier http://www.processlibrary.com/directory/files/dumprep/. Im Zweifel lass Sie einfach - Sie tut Dir nichts.

Zu
Zitat:
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
die steht, wo sie für T-Online stehen muss. Der Trojaner wäre als kernel.exe im Systemordner zu finden. Siehe dazu http://securityresponse.symantec.com...door.sazo.html und im Zweifel kannst Du die Datei ja prüfen lassen (siehe oben)

Btw.: Du hast eine Menge "Security"-Programme installiert: Norton, AntiVir, ewido, ZoneAlarm. Ich gehe davon aus, dass Du zum Thema Sicherheit hier am Board schon eine Menge gelesen hast, u.a. die Empfehlung, nur einen Virenscanner im Hintergrund laufen zu lassen. Und über die vermeintliche Leistungsfähigkeit von Firewalls ist hier im board auch schon einiges geschrieben worden. Zusammenfassend gesagt: Es bringt keinen Gewinn an zusätzlicher Sicherheit, möglichst viele "Sicherheitsprogramme" parallel laufen zu lassen. Es würde aber eine Menge bringen, die hier im board vorgeschlagenen Tipps zu beachten. Falls noch nicht gelesen, schau Dir mal Cidres Tipps zur Absicherung hier an http://www.trojaner-board.de/showthread.php?t=12154
Zitat:
Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten
(Achtung: Ich meine hier nicht, dass Du sofort Neu-Aufsetzen sollst - nur die Tipps weiter unter mal nachlesen ). Dazu auch der Vortrag von Volker Birk http://www.trojaner-board.de/showthread.php?t=13150
Bis denn, stupormundi
__________________


Alt 06.09.2005, 21:39   #3
Freiburger
 
Frage wegen "dumprep 0 -k" und "kernel.exe" - Standard

Frage wegen "dumprep 0 -k" und "kernel.exe"



Zitat:
Zitat von stupormundi
Btw.: Du hast eine Menge "Security"-Programme installiert: Norton, AntiVir, ewido, ZoneAlarm. Ich gehe davon aus, dass Du zum Thema Sicherheit hier am Board schon eine Menge gelesen hast, u.a. die Empfehlung, nur einen Virenscanner im Hintergrund laufen zu lassen. Und über die vermeintliche Leistungsfähigkeit von Firewalls ist hier im board auch schon einiges geschrieben worden. Zusammenfassend gesagt: Es bringt keinen Gewinn an zusätzlicher Sicherheit, möglichst viele "Sicherheitsprogramme" parallel laufen zu lassen.

Vielen Dank für deine ausführliche Antwort stupormundi! Habe die Files gecheckt und sie sind wie erwartet harmlos.


Diese Seite hat mir in der Tat schon weiter geholfen mich über das Thema Sicherheit zu informieren. Dass es nur Sinn macht einen Virenscanner laufen zu lassen ist bekannt. Wobei ich nicht weiß weshalb ich noch Spuren von Norton auf dem PC habe, hab das Programm vor langer Zeit gelöscht..
__________________

Alt 07.09.2005, 06:44   #4
stupormundi
 
Frage wegen "dumprep 0 -k" und "kernel.exe" - Standard

Frage wegen "dumprep 0 -k" und "kernel.exe"



Hallo, freiburger!
Jaja, der Norton ...

Ist hier im board schon mehrmals ein Thema gewesen
http://www.trojaner-board.de/showthr...rton+entfernen
http://www.trojaner-board.de/showthr...rton+entfernen
da gibt es ein paar nützliche Tipps, um die Reste wegzubekommen!

Bis denn stupormundi

Antwort

Themen zu Frage wegen "dumprep 0 -k" und "kernel.exe"
adobe, antivirus, antivirus scan, bho, download, excel, explorer, frage, handel, hijack, hijackthis, hijackthis log, icq, icqtoolbar, infizierte, infizierte datei, internet, internet explorer, kernel.exe, lan, log, log datei, microsoft, nicht sicher, programme, prozesse, security, security suite, software, symantec, system, t-online, usb, windows, windows xp



Ähnliche Themen: Frage wegen "dumprep 0 -k" und "kernel.exe"


  1. "Kernel Live Patching": Sicherheitslücken im Linux-Kernel jetzt zur Laufzeit korrigierbar
    Nachrichten - 11.02.2015 (0)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  5. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  6. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  7. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  8. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. Frage zum Neuaufsetzen ( "Client für Microsoft Netzwerke" / "Druckerfreigabe")
    Alles rund um Windows - 28.04.2010 (1)
  13. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  14. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  15. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Frage wegen "dumprep 0 -k" und "kernel.exe" - Hallo zusammen! Habe eben ein HijackThis Log erstellt und bin auf zwei Prozesse gestossen, die mir etwas zweifelhaft erschienen. Nun erstmal die Log Datei: Logfile of HijackThis v1.99.1 Scan saved - Frage wegen "dumprep 0 -k" und "kernel.exe"...
Archiv
Du betrachtest: Frage wegen "dumprep 0 -k" und "kernel.exe" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.