Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.09.2005, 20:30   #1
Wölkchen
 
(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... - Standard

(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...



Guten Abend,

ich hatte gestern das Problem, dass ich nach dem Besuch einiger Webseiten (es waren nicht viele) plötzlich beim beabsichtigten Ausdruck eines Rätsels auf der Seite Skatsboard.de von AntiVir gemeldet bekam, in meiner explorer.exe sei der Wurm Worm/Bube.m.1.

AV hatte ich - wie jeden Abend - als erstes upgedated.
Obwohl ich mehrere Male mit AV scannte und jedes Mal die Anweisung gab den Wurm zu löschen, bin ich das Gepiepse nicht losgeworden.
Auch nach den Neustarts konnte AV den bösen Buben nicht loswerden.


Heute mittag hatte ich vom Büro aus diese Seite gefunden und mir HijackThis runtergeladen.

Auf Gigamails Anraten poste ich nun das Logfile, das ich von HJT erhalten habe:

Logfile of HijackThis v1.99.1
Scan saved at 20:02:15, on 21.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\PROGRA~1\MT\MT.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gmx.net/de/dienst/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Meine Traffic] C:\PROGRA~1\MT\MT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRA~1\Agnitum\OUTPOS~1\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - hxxp://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - hxxp://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - hxxp://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - hxxp://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2D27698-5FF1-493B-BEDC-3EB20925816D}: NameServer = 217.237.150.33 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe



Für mich liest sich das alles ziemlich verwirrend.
Das lästige HP-Update Programm würde ich gerne aus dem Autostart rausnehmen, ebenso wie den Acrobat Reader - finde aber nicht, wo ich das machen kann. Auch die Aldi-Foto-Suite möchte ich lieber manuell bei Bedarf starten, als gleich automatisch.
WinZip habe ich - denke ich jedenfalls - aus dem Autostart rausbekommen.

Könnt ihr euch mein Log bitte mal anschauen.
Was kann ich bitte wie verbessern?

Lieben Dank und viele Grüße
vom Wölkchen

Alt 21.09.2005, 20:47   #2
Rene-gad
 
(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... - Standard

(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...



@Wölkchen
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
SP2 fehlt.
Zitat:
Das lästige HP-Update Programm würde ich gerne aus dem Autostart rausnehmen, ebenso wie den Acrobat Reader - finde aber nicht, wo ich das machen kann.
Du kannst dir einen StartUp-Manager herunterladen: z.B. http://soft-ware.net/system/steuerun...art/p03551.asp
__________________


Alt 21.09.2005, 21:13   #3
Wölkchen
 
(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... - Standard

(Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...



Danke Rene-gad,

ich habe jede Menge Patches von MS installiert.
Die CD mit dem SP2 habe ich, aber nachdem ich damals gelesen hatte, dass dann u.U. nicht mehr alle Programme problemlos laufen würden, hatte ich mich nicht getraut, die zu installieren und haben lieber einzelne Patches runtergeladen und installiert.

Ich habe hier auch noch eine neuere Version von XP mit SP2 schon drin, aber so lange es nicht sein MUSS, würde ich eine komplette Neuinstallation doch lieber umgehen.

Hier im Forum hatte Gigamail im Thread Plagegeister aller Art und deren Bekämpfung Worm/Bube.m.1 am 3.1.2005 auch geschrieben, dass es sich wahrscheinlich um einen Fehlalarm von AV handeln würde.

Darf ich - nachdem nach dem heutigen Update von AntiVir auch keine Viren, Würmer usw. gemeldet wurden - davon ausgehen, dass es sich tatsächlich um einen Fehlalarm handelt?

Danke, den Start-up-Manager werde ich mir auf alle Fälle runterladen und benutzen.
__________________

Antwort

Themen zu (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...
adobe, adobe reader, antivir, antivirus, antivirus scan, askbar, bho, defender, drivers, ebay, excel, firewall, hijack, hijackthis, homepage, internet, internet explorer, logfile, mehrere, mein log, problem, rundll, scan, software, starten, symantec, system, windows, windows xp, wurm



Ähnliche Themen: (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich...


  1. Nach Instalation von Iminet,kein Netzwerk mehr (kein internet mehr) Goggle Chrome und IE lassen sich nicht öffnen(weißer Bildschirm)
    Plagegeister aller Art und deren Bekämpfung - 27.12.2014 (1)
  2. Win 7 : Kein Speicherplatz mehr auf C und nach Loeschen von Dateien wird C schnell gefuellt - aber wovon?
    Plagegeister aller Art und deren Bekämpfung - 09.03.2014 (38)
  3. Nach Virenbefall kein Internet und teilweise kein Netzwerk mehr
    Plagegeister aller Art und deren Bekämpfung - 08.01.2014 (3)
  4. hoffentlich kein trojaner?
    Plagegeister aller Art und deren Bekämpfung - 13.11.2013 (11)
  5. Gigamail.nl schickt Rechnung per Email - ich kenne die nicht! Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2012 (7)
  6. Gema-Virus (hoffentlich) entfernt, aber kein Desktop zu sehen
    Plagegeister aller Art und deren Bekämpfung - 22.03.2012 (12)
  7. Keine Anmeldung bei Windows mehr möglich. Passwort feld fehlt. Kein Internet mehr. Kein Admin mehr.
    Plagegeister aller Art und deren Bekämpfung - 15.02.2012 (5)
  8. PC läuft - kein fehlersignal - aber auch kein bild
    Netzwerk und Hardware - 16.07.2011 (3)
  9. Trojaner Kazy.26024.5 SpyEyes Trojan.FakeMS (hoffentlich) entfernt aber danach viele Probleme
    Plagegeister aller Art und deren Bekämpfung - 23.06.2011 (31)
  10. BAGLE (hoffentlich) losgeworden, aber WLAN unauffindbar
    Plagegeister aller Art und deren Bekämpfung - 12.10.2010 (2)
  11. Nach Entfernung der AV Security Suite kein Internet mehr....aber Ping geht
    Netzwerk und Hardware - 20.08.2010 (38)
  12. Msn&Icq läuft problemlos, nach einiger Zeit aber kein Seitenaufbau mehr
    Log-Analyse und Auswertung - 06.01.2010 (1)
  13. win32.agent.pz gelöscht bekommen, aber kein funktionierenden IE mehr
    Log-Analyse und Auswertung - 20.06.2008 (2)
  14. Kein Antiviren-Programm und auch kein abgesicherter Modus mehr möglich
    Log-Analyse und Auswertung - 12.02.2007 (1)
  15. Kein SpyAxe mehr, aber immernoch PopUps!
    Plagegeister aller Art und deren Bekämpfung - 05.12.2005 (5)
  16. Sytem (hoffentlich) wieder sauber aber Probleme mit der DLL "SHLWAPI.dll"
    Plagegeister aller Art und deren Bekämpfung - 26.07.2005 (1)

Zum Thema (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... - Guten Abend, ich hatte gestern das Problem, dass ich nach dem Besuch einiger Webseiten (es waren nicht viele) plötzlich beim beabsichtigten Ausdruck eines Rätsels auf der Seite Skatsboard.de von AntiVir - (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich......
Archiv
Du betrachtest: (Hoffentlich) kein Bube mehr da - aber auf Anraten von Gigamail poste ich... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.