Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Auch einmal Ratlos

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.10.2005, 16:41   #1
charlie1
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hallo, ja nun habe ich auch mal eine Frage.
Da ja, als ich im Krankenhaus verweilen musste, einige Personen auch an meinem Arbeitsrechner waren, haben sie einiges verstellt.
Und ich bin nun, da zwei Monate Ausfall, nicht mehr ganz auf der Höhe der Zeit!
Nun zur Sache, ich habe im Hijackthis, einen Eintrag, den ich nicht interpretieren kann.
Ich vermute, weiß es aber nicht, dass das mit der Netzwerkeinstellung von VM ware zu tun hat, ich habe da „Use bridged networking“ eingestellt.
So nun mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:28:28, on 01.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
H:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\clapton\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119904152111
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

Ja, mit dem Eintrag, kann ich nichts anfangen!
Schon mal vielen Dank für die Hilfe.
Liebe Grüße, Charlie und ein schönes WE.

[edit]
links entfernt
[/edit]
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Geändert von GUA (02.10.2005 um 00:05 Uhr)

Alt 02.10.2005, 00:04   #2
contestedgenius
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hallo,

ich hab zwar nicht viel Ahnung von dem allem (fast gar keine ^^), jedoch hab ich denLog einfach mal bei
http://www.hijackthis.de/index.php?langselect=english
eingegeben ... Also genau der Eintrag den du da hast der wird als "böse" angezeigt.

Die engliche Beschreibung davon:
These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it.

Also meiner meinung nach solltest du dringendst fixen.

Aber naja... vertrau mir selbst nicht ganz richtig ... vllt. gibt ja auch jemand anderes seine meinung noch dazu!

Ich hoffe ich konnt en bissel helfen falls es richtig ist was ich hier geschrieben hab.

Mfg contestedgenius
__________________

__________________

Geändert von contestedgenius (02.10.2005 um 00:37 Uhr)

Alt 03.10.2005, 10:47   #3
charlie1
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hallo, erst einmal vielen Dank für deine Bemühungen.
Ja, aber ich bin kein Freund der automatischen Auswertung, den die macht mir zu viele Fehler, positiv, sowie auch negativ.
Was mich etwas irritiert ist, warum wird dieser Eintrag überhaupt erzeugt?
Denn ich habe weder auf dem Hostsystem noch Gastsystem die Win-FW aktiviert, ja das ganze Sicherheitscenter ist bei beiden Systemen deaktiviert.
Ja und mit fixen bin ich nicht so schnell, habe natürlich BA, auch sonst Sicherrungen, wie ein sauberes Image, aber ich möchte halt immer erst wissen was es ist und warum?
Ja und machen tut das“Teil“ gar nichts, denn mein Sniffer zeigt keinerlei Aktivitäten, weder im LAN, noch im WAN!
Ein HJT meiner Virtuellen Maschine folgt gleich, aber die muss ich erst mal starten.
Also bis gleich, liebe Grüße, Charlie.

Nachtrag:

Logfile of HijackThis v1.99.1
Scan saved at 10:51:10, on 03.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VMware\VMware Tools\VMwareTray.exe
C:\Programme\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\VMware\VMware Tools\VMwareService.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe

O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe
O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
__________________
__________________

Geändert von charlie1 (03.10.2005 um 10:52 Uhr)

Alt 03.10.2005, 10:56   #4
cacatoa
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hey charlie!
Hau den Eintrag doch einfach raus. Der ist nicht böse sondern einfach überflüssig, weil die dazugehörige Datei schlichtweg fehlt.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 03.10.2005, 11:18   #5
charlie1
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hallo Cacatoa, ja die Datei muss ja fehlen, denn ich habe ja die FW’s abgeschalten.
Aber das lustige ist, der Eintrag lässt sich mit HJT nicht fixen, Systemwiederherstellung ist deaktiviert, ja dass weiß ich noch.
Meine Güte, über zwei Monate keinen PC unter den Fingern und man fängt von Vorne wieder an, dass hätte ich vor Monaten noch mit Links gemacht.
Liebe Grüße und noch ein schönes Restwochenende, wünscht Charlie.

__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 03.10.2005, 11:32   #6
Cidre
Administrator, a.D.
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hi Charlie,

nun enttäuscht du mich aber...
Du weißt, daß es sich bei den O23 Einträge um Dienste handelt?
Wie beendet man diesen Dienst?
Genau...

Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf 'Windows-Firewall/Gemeinsame Nutzung der Internetverbindung' -> Eigenschaften -> 'Starttyp' deaktiviert und 'Dienststatus' beenden einstellen -> Übernehmen

Somit verschwindet auch der Eintrag...
__________________
--> Auch einmal Ratlos

Alt 03.10.2005, 12:01   #7
charlie1
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Danke Cidre, ich Rindvieh, und schon ist Ruhe in der Kiste, meine Güte Charlie, Charlie, welche Blamage!!
Wer weiß, was die bei meiner OP noch so alles entfernt haben, sollte eventuell auf mein Gehirn ein gutes Backup aufspielen!
Liebe Grüße, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Alt 03.10.2005, 12:16   #8
Expert
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



hey charlie1

Hast du schon irgendwelsche Einträge gefixt oder Dateien gelöscht?
#PC neustarten & poste mal dein aktuelle HijackThis Log

Gruss
Expert

Alt 03.10.2005, 13:03   #9
charlie1
 
Auch einmal Ratlos - Standard

Auch einmal Ratlos



Hallo @ All, da ich ja ein sturer Bock bin, gebe ich ja nicht zeitiger Ruhe, bis ich die Ursache gefunden habe, koste es, was es wolle, in dem Falle, halt zwei Tage.
Nun habe ich es endlich, zwei Fehler meinerseits!
Ich hatte bei VW ware Netzwerkeinstellungen, versehendlich, NAT eingestellt, oder es wurde in meiner Abwesenheit geändert.
Bei dieser Einstellung nutzt das Gastsystem die Netzwerkeinstellungen des Hostbetriebssystems um mit dem Netzwerk oder Internet zu kommunizieren, das war die genaue Ursache, des Eintrages und kein Bug von HJT, sondern einer meinerseits.
Es gibt ja für Alles eine Ursache und die will ich immer wissen, bin nu mal so, aber das mit den Diensten beenden ist mir jetzt noch peinlich, danke Cidre, dass hätte ich nun wirklich wissen müssen!
LG, Charlie
__________________
Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht.

Antwort

Themen zu Auch einmal Ratlos
adobe, bho, dateien, desktop, dll, einstellungen, ellung, explorer, firefox, hijack, hijackthis, internet, internet explorer, log, logfile, mein log, microsoft, mozilla, mozilla firefox, personen, programme, ratlos, rundll, scan, security, security suite, software, system, tuneup utilities, vielen dank, windows, windows xp



Ähnliche Themen: Auch einmal Ratlos


  1. Hab mir gestern auch "Live Security Platinum 3.6.1." eingefangen und bin ratlos.
    Plagegeister aller Art und deren Bekämpfung - 20.10.2012 (5)
  2. AKM Trojaner, Ratlos!
    Log-Analyse und Auswertung - 20.07.2012 (13)
  3. PC stürzt regelmäßig ab, bin ratlos.
    Log-Analyse und Auswertung - 28.06.2012 (1)
  4. 2 Mal selbes pogramm auf Pc (einmal 64 bit einmal normal)
    Alles rund um Windows - 21.02.2011 (2)
  5. Internet geht auf einmal so langsam und bleibt auch öfters stehen!
    Log-Analyse und Auswertung - 09.10.2010 (1)
  6. rqrrs.exe - ich bin ratlos
    Plagegeister aller Art und deren Bekämpfung - 12.02.2008 (14)
  7. W32.Viru!gen - Ich bin ratlos!
    Plagegeister aller Art und deren Bekämpfung - 05.11.2007 (12)
  8. Ratlos mit rundll32
    Alles rund um Windows - 07.07.2007 (2)
  9. Kompett ratlos! Virus?
    Plagegeister aller Art und deren Bekämpfung - 18.06.2007 (3)
  10. Bin ratlos und bräuchte Hilfe
    Log-Analyse und Auswertung - 29.04.2007 (7)
  11. auch ratlos hier ist auch mein logfile bitte helfen
    Mülltonne - 30.03.2006 (1)
  12. Ich bin absolut ratlos
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (2)
  13. Ratlos mit se.dll (oder auch noch was anderes?)
    Log-Analyse und Auswertung - 05.05.2005 (3)
  14. Bin Ratlos
    Plagegeister aller Art und deren Bekämpfung - 31.03.2005 (1)
  15. Bitte auch mir einmal mit AZE helfen :) Danke!
    Log-Analyse und Auswertung - 10.03.2005 (3)
  16. Ratlos
    Log-Analyse und Auswertung - 29.01.2005 (1)
  17. Ratlos mit Norton
    Log-Analyse und Auswertung - 12.10.2004 (1)

Zum Thema Auch einmal Ratlos - Hallo, ja nun habe ich auch mal eine Frage. Da ja, als ich im Krankenhaus verweilen musste, einige Personen auch an meinem Arbeitsrechner waren, haben sie einiges verstellt. Und ich - Auch einmal Ratlos...
Archiv
Du betrachtest: Auch einmal Ratlos auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.