Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT Log-File nach Virenscanneralarm

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.11.2005, 07:16   #1
Sil-Vix
 
HJT Log-File nach Virenscanneralarm - Standard

HJT Log-File nach Virenscanneralarm



Guten Morgen!

Ich habe seit einigen Tagen immer wieder Ausfälle meiner DSL-Leitung, dergestalt dass meine FritzBox die Verbindung zur DSL-Gegenstelle der Telekom verliert. Nun habe ich bei einem Durchlauf von "AntiVir PE" (H+BEDV) vorhin diesen ungebetenen Gast entdeckt: remadmin.j
AntiVir hat dann mit seinem Aktionismus die betreffende Datei gelöscht und mir dann beim folgenden (diesmal sauberen) Scan leider auch gleich die Report-Datei überschrieben...
Ich habe dann noch einen Online-Scan bei PandaSoft laufen lassen, ebenfalls negativ.
Nach ein bisschen Stöbern über "remadmin.j" bin ich dann auf HJT und dann auch in diesem Forum gelandet.

Hier nun das HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 07:31:43, on 28.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: h**p://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Da ich mich -leider- als echten DAU bezeichnen muss, habe ich nun zwei Fragen:

1. Kann man aus dem HJT-Log erkennen ob jener "remadmin.j" nun eliminiert ist?

2. Kann sich einer von Euch vorstellen, dass meine DSL-Probleme der letzten Tage irgendwie damit zusammenhängen "können"? Bevor ich unflätig zu irgendeinem unschuldigen Telekom-Techniker werde...


Besten Dank schon mal!

Gruß,

Sil-Vix


--> Sollte ich versehentlich hier irgendeinen faux-pas begangen haben, seht es mir bitte nach...habe eine Nachtschicht hinter mir und entsprechend matschig im Kopf. Zudem überfordert mich diese Materie doch etwas...

Alt 28.11.2005, 07:37   #2
stupormundi
 
HJT Log-File nach Virenscanneralarm - Standard

HJT Log-File nach Virenscanneralarm



Servus!
Da Du selber ja schon ein bißchen gestöberst hast, wirst Du ja auch schon über das Wesen dieses 'remadmin.' Infos gefunden haben.
Wenn bei Dir ein derartiger Prozess gelaufen ist, kannst Du damit rechnen, dass jemand Dritter auf Deinem PC Zugriff hat/te. Auch wenn jetzt ein aktueller Scan keine Schädlinge zeigt, kannst Du nicht mehr wissen, inwieweit Dein PC nur mehr von Dir genutzt wird.
Zu Deinen beiden Fragen: ad 1: in Deinem geposteten Logfile ist nichts Auffälliges zu erkennen - ob die Folgen dieses Befalls auch eliminiert sind, kann daraus nicht zuverlässig geschlossen werden.
ad 2: ja, kann damit zusammenhängen, kann aber auch ein technisches Problem durch ev. Umstellungen im Leitungsnetz des Poviders sein (hatte v.a. zu Beginn mit meinem ADSL ähnliche/gleiche Probleme durch Umrouten seitens des Providers oder durch Inbetriebnahme eines ISDN Anlage in der Nähe und damit verbundenen Leitungsstörungen)
Um wirklich einen sicheren Zustand wieder herzustellen, kann ich Dir nur dazu http://www.trojaner-board.de/showthread.php?t=12154 raten. Hier ist beschrieben, was es mit derartiger Backdoor-Software auf sich hat und warum eben keine andere Maßnahme (Bereinigung) sinnvoll ist.
stupormundi
__________________

__________________

Alt 28.11.2005, 08:00   #3
Sil-Vix
 
HJT Log-File nach Virenscanneralarm - Standard

HJT Log-File nach Virenscanneralarm



Arrgghh....

Besten Dank für die schnelle Antwort!
Leider hatte ich befürchtet, dass mir eine Neuinstallation blüht. Dummerweise kann ich selber ja noch nicht mal ne Internet-Verbindung einrichten...

Wie habe ich mir das Teil egtl. eingefangen? Emails waren in letzter Zeit keine "auffälligen" dabei, zudem läuft mein Mail-Dienst über einen sehr sicherheitsbewussten Verein...
Via Browser? Ich benutze egtl. nur Mozilla und ab und an Opera. Dabei sollte aber doch egtl. der "AntiVir Guard" den laufenden Datenverkehr überwachen?
Datenträger hatte ich auch keine fremden hier in letzter Zeit...zumindest keine beschreibbaren.

Jetzt hau ich mich erst mal in die Falle und schlaf über dieses Elend...

Danke nochmal und Gute Nacht...
__________________

Alt 28.11.2005, 08:08   #4
stupormundi
 
HJT Log-File nach Virenscanneralarm - Standard

HJT Log-File nach Virenscanneralarm



Servus wieder!
Zitat:
Wie habe ich mir das Teil egtl. eingefangen?
das wissen die Götter, und die sind sich da offenbar manchmal auch nicht sicher!
Derartige Fragen kann man idR nur beantworten, wenn man den Befall live beobachtet - dann kannst Du auch nachvollziehen, woher er kommt.
Aber so ...? Möglicherweise von jemanden installiert, der zu Deinem Rechner Zugriff hat. Oder mal beim Surfen ein codec installiert, welches angeblich zum Abspielen eines Clips als unbedingt notwendig angeboten worden ist (nach der Installation ist aber scheinbar nichts passiert) ... etc. blabla
Und AV Scanner können nicht helfen, wenn Du als User eine Datei mit Absicht dowloadest und installierst! Du siehst, es gibt eine große Anzahl von Möglichkeiten und Gelegenheiten!
Achte nach der Installation auf alle Ratschläge von Cidre zur Absicherung Deines Systems
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Antwort

Themen zu HJT Log-File nach Virenscanneralarm
adobe, antivir, avg, bho, cyberlink, datei gelöscht, desktop, dll, explorer, firefox, frage, hijack, hijackthis, hängen, immer wieder, internet, internet explorer, log-file, mozilla, mozilla firefox, mozilla thunderbird, nvidia, rundll, scan, software, system, windows, windows xp



Ähnliche Themen: HJT Log-File nach Virenscanneralarm


  1. Hijackthis file kontrolle nach confickeratacke
    Log-Analyse und Auswertung - 16.03.2010 (10)
  2. Log-File nach Neuinstallation
    Log-Analyse und Auswertung - 19.06.2009 (1)
  3. Bitte um Log-File Check nach Virus/Trojaner
    Log-Analyse und Auswertung - 14.03.2009 (1)
  4. Hilfe! 4GB File nach beendetem Download unauffindbar
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (2)
  5. Log-File bitte nach Trojaner & Co. Meldung prüfen
    Mülltonne - 12.01.2009 (8)
  6. Bitte Log-File nach Reinigung checken...
    Mülltonne - 03.01.2009 (0)
  7. HiJackThisLog-File nach Bereinigung
    Log-Analyse und Auswertung - 05.02.2008 (22)
  8. log file nach backdoor-trojaner
    Log-Analyse und Auswertung - 26.12.2007 (3)
  9. HJT Log-File nach Trojaner Entfernung!?
    Log-Analyse und Auswertung - 08.07.2007 (19)
  10. HiJackThis Log File nach RE-Start
    Mülltonne - 18.05.2007 (0)
  11. Auswertung log-file nach Systemabsturz
    Log-Analyse und Auswertung - 28.01.2007 (6)
  12. Bitte um Auswertung von Log-File nach Virenfund
    Log-Analyse und Auswertung - 26.09.2006 (9)
  13. Viren nach Umstieg auf DSL: HiJackThis Log-File
    Log-Analyse und Auswertung - 21.05.2006 (2)
  14. HiJackThis Log-File ... nach Virenbefall
    Log-Analyse und Auswertung - 05.05.2006 (11)
  15. HiJackThis Log-File nach W32.Spybot.Worm
    Log-Analyse und Auswertung - 23.04.2006 (2)
  16. highjackthis Log File...mein computer nach der Problembehandlung
    Log-Analyse und Auswertung - 23.11.2005 (3)
  17. Nach Gobot.35570 dieses LOG File
    Log-Analyse und Auswertung - 03.02.2005 (1)

Zum Thema HJT Log-File nach Virenscanneralarm - Guten Morgen! Ich habe seit einigen Tagen immer wieder Ausfälle meiner DSL-Leitung, dergestalt dass meine FritzBox die Verbindung zur DSL-Gegenstelle der Telekom verliert. Nun habe ich bei einem Durchlauf von - HJT Log-File nach Virenscanneralarm...
Archiv
Du betrachtest: HJT Log-File nach Virenscanneralarm auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.