Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Liebe Trojaner-Task-Force

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.09.2005, 23:17   #1
cashcowboy
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



...eine realtiv unbedarfte Freundin, erzählte mir am Telefon, dass Ihr PC unglaublich langsam arbeitet. Habe Ihr zuerst mal die einfachen Tipps gegeben, aber schon das Defragmentieren war dann nicht möglich.

Habe Sie dann highjackthis loaden lassen. Den Log hat sie mir geschickt und ich gebe Ihn euch mal zum vorab check. die files (ich weiß auf Klammer drücken) kann ich von hier aus nun mal nicht prüfen.Aber vieleicht fällt Euch ja auch so spontan das Böse ins Auge.

Vielen Dank im voraus und ein Kompliment an die Task-Force hier

Logfile of HijackThis v1.99.1
Scan saved at 21:27:28, on 27.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Acer\ePM\EPM-DM.exe
C:\PROGRA~1\LAUNCH~1\LManager.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\WLANSTA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AIM95\aim.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX99.078\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.tiscali.de/web/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

h**p://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.tiscali.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

provided by Tiscali
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} -

C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton

AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton

AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef

/Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] C:\Acer\ePM\EPM-DM.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Sitecom WL-112 Utility.lnk = C:\Programme\Sitecom\Sitecom Wireless Network

PC Card 54G WL-112\Installer\WINXP\WLANUTL.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop

Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) -

h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. -

C:\Acer\eManager\anbmServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation -

C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation -

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -

C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation -

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec

Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame

Dateien\Symantec Shared\Security Center\SymWSC.exe

[edit]
links entfernt
[/edit]

Geändert von GUA (28.09.2005 um 05:43 Uhr)

Alt 28.09.2005, 14:26   #2
BlackDraft
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Ich bin in dem Bereich nicht so erfahren, aber "C:\WINDOWS\system32\igfxtray.exe" ist auf jeden Fall ein Trojaner!
__________________

__________________

Alt 28.09.2005, 14:36   #3
stupormundi
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



@BlackDraft
Zitat:
Ich bin in dem Bereich nicht so erfahren, aber "C:\WINDOWS\system32\igfxtray.exe" ist auf jeden Fall ein Trojaner!
was veranlasst Dich zu dieser Annahme? http://www.sysinfo.org/startuplist.p...=15&submit.y=3 und http://www.neuber.com/taskmanager/pr...xtray.exe.html sagen durchaus etwas anderes-gehört zu Intel(R) integrated graphics controller!
@cashcowboy: Organisier mal für Deine Freundin einen Check mit escan im abgesicherten Modus nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 und poste wie beschrieben das Ergebnis der find.bat von Haui45. Bitte alle Anweisungen genau einhalten, sonst funzt die find.bat nicht!
Bis dann, stupormundi
__________________

Alt 28.09.2005, 14:39   #4
BlackDraft
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Das hier!
__________________
Das Geheimnis des Lebens steckt in diesem Satz:
Die Banane ist groß, aber ihre Schale ist noch größer!

___________________________________________________

Kokosnüsse am Baum sind besser als Ökonüsse im Beckenraum!

Alt 28.09.2005, 15:08   #5
stupormundi
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Worin besteht jetzt konkret die Verbindung zwischen http://www.sophos.de/virusinfo/analy...ojpadmina.html und C:\WINDOWS\system32\igfxtray.exe ?
stupormundi


Alt 28.09.2005, 15:25   #6
BlackDraft
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



->
Erläuterung

->
...
"Der Trojaner legt außerdem die Datei igfxtray.exe ab und führt sie aus. Diese Datei wird von Sophos Anti-Virus als Troj/Netstop-A erkannt."

http://www.trojaner-board.de/76731-i...-igfxtray.html
__________________
--> Liebe Trojaner-Task-Force

Alt 28.09.2005, 15:33   #7
stupormundi
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Ok, gut - aber eben nicht die hier
Zitat:
What is it?
Intel Graphics Tray- igfxtray.exe
What does it do?
igfxtray.exe - This application gives you easy access to your Intel graphics configuration by giving options to you in the system tray
The normal location of this file is C:\WINNT\System32\igfxtray.exe
Warten wir escan ab, dann wissen wir mehr!
cu, stupormundi

Alt 29.09.2005, 23:24   #8
cashcowboy
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



So, endlich hier die logs im Anhang(mußte wegen der Größe zwei Dateien dranhängen). War eine schwierige Geburt via Telefonberatung;-)
Die Ergebnisse sind ertwartungsgemäß "spannend".....

Nochmals Thxx vorab

Alt 30.09.2005, 00:02   #9
cashcowboy
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Ergänzen möchte ich noch, dass ebenso unzählige Errors in der Registry ausgewiesen wurden, die ich aber nicht hinzugefügt habe. Kann das aber noch posten, wenn Ihr die benötigt.

Alt 30.09.2005, 00:06   #10
dartus
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



Hallo cashcowboy,

Deine unbedarfte Freundin sollte sich clearprog 1.4.1 final downloaden. Das Programm installieren und starten --> Häckchen bei "Alles Löschen" und auf "Löschen" klicken.

Dann in den abgesichertem Modus bei deaktivierter Systemwiederherstellung wechseln http://www.systemwiederherstellung-d...indows-xp.html
und folgende Dateien manuell löschen:
C:\WINDOWS\uninstall.ini
C:\WINDOWS\system32\objsafe.tlb

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Diese Datei:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\symantec\common client\settings.dat

hier online-scannen:
http://virusscan.jotti.org/de

Da dies IMHO ein Fehlalarm ist und das Ergebnis mitteilen.

Zum Surfen zukünftig einen sicheren Browser benutzen. Desweiteren sind
hier lesenswerte Links, insbesondere die „12 Punkte“.

dartus
__________________
Kein Support per PN

Alt 30.09.2005, 00:52   #11
cashcowboy
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



@dartus

Wie ich es mir schon fast gedacht habe, kommt bei Deinem Online-Scanner, wie auch bei Kaspersky folgende Meldung bei dem Versuch die Date zu scannen: Der Server kann nicht gefunden werden.

Werden jetzt das mit dem clearprog machen. Allerdings rechne ich mir damit nur einen bedingten Erfolg aus, gerade im Bezug auf den "Whenu" Befall

Alt 30.09.2005, 02:14   #12
cashcowboy
 
Liebe Trojaner-Task-Force - Standard

Liebe Trojaner-Task-Force



So, sie hat mit clearprog alles gelöscht. Über 700 MB, die vorher nicht gelöscht werden konnten. Defragmentieren aber immer noch nicht möglich. Die Datei konnte jetzt online gescannt werden. Kein Virusbefall.
Was Nu?

Antwort

Themen zu Liebe Trojaner-Task-Force
adobe, antivirus, bho, cyberlink, desktop, drivers, explorer, firewall, highjackthis, hijack, hijackthis, internet, internet explorer, langsam, launch, log, monitor, notebook, programme, security, security center, settings manager, software, symantec, system, tan, temp, tiere, windows, windows xp



Ähnliche Themen: Liebe Trojaner-Task-Force


  1. Brute-Force-Angriff auf iCloud-Konten: Apple wusste angeblich um Schwachstelle
    Nachrichten - 25.09.2014 (0)
  2. delta-force als startseite lässt sich nicht entfernen
    Plagegeister aller Art und deren Bekämpfung - 04.07.2013 (5)
  3. lost+found: Trojanerknacker, Brute-Force-Blockade und Bollywood
    Nachrichten - 04.01.2013 (0)
  4. Brute-Force-Angriff auf Oracle-Passwörter möglich
    Nachrichten - 21.09.2012 (0)
  5. Hallo liebe community (Windows verschlüsselungs Trojaner) :(
    Plagegeister aller Art und deren Bekämpfung - 17.07.2012 (9)
  6. Brüderle startet Task Force "IT-Sicherheit in der Wirtschaft"
    Nachrichten - 29.03.2011 (0)
  7. Nike Air Force 1 25th Anniversary
    Mülltonne - 29.05.2007 (1)
  8. liebe board mitgleider könntet ihr mal schauen
    Mülltonne - 17.04.2007 (1)
  9. Unbekannter Task im Task-Manager Win XP
    Plagegeister aller Art und deren Bekämpfung - 16.01.2007 (1)
  10. Die liebe Zeit
    Lob, Kritik und Wünsche - 22.04.2006 (7)
  11. Bitte Auswerten, Liebe User!
    Log-Analyse und Auswertung - 02.04.2006 (5)
  12. Delta Force BHD
    Archiv - 05.06.2003 (2)

Zum Thema Liebe Trojaner-Task-Force - ...eine realtiv unbedarfte Freundin, erzählte mir am Telefon, dass Ihr PC unglaublich langsam arbeitet. Habe Ihr zuerst mal die einfachen Tipps gegeben, aber schon das Defragmentieren war dann nicht möglich. - Liebe Trojaner-Task-Force...
Archiv
Du betrachtest: Liebe Trojaner-Task-Force auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.