Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: CWS.Msconfd hat mich...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 10.12.2005, 16:21   #1
BenSanderson
 
CWS.Msconfd hat mich... - Standard

CWS.Msconfd hat mich...



Hi erstmal.

Hab mir mal wieder so eine ratte eingefangen, jetzt reichts mir aber mit neu aufsetzten. Diesmal will ich das ding so loswerden. Hoffe ihr könnt mir helfen, bin ein ziemlicher noob...

Also hier mein HijackThis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:14:05, on 10.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Winamp 5.11\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp 5.11\winamp.exe
E:\Programme\CWShredder\Update 3\cwshredder.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\HijackThis\1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp 5.11\winampa.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83E273B1-1185-4132-AD64-3A326C49AA93}: NameServer = 85.255.115.42,85.255.112.118
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


CWShredder findet CWS.Msconfd.

Das scheissding haut mir pornolinks in die favourites und verlinkt mich auch auf fremde seiten weiter...

Bin unendlich dankbar für jeden tip.

Da hat man Firewall (ZoneAlarm), Virenschutz (AVG free), und sogar den SpyBot SD Resident laufen und die scheissdinger infiltrieren den rechner trotzdem ^^

mfg BS

Alt 10.12.2005, 16:46   #2
Wildone
 
CWS.Msconfd hat mich... - Standard

CWS.Msconfd hat mich...



Hallo,
sieht nicht gut aus für dein System, aber lass mal F-secure Blacklight drüberlaufen und poste das Ergebnis.


Grüße Wildone
__________________


Alt 10.12.2005, 17:31   #3
BenSanderson
 
CWS.Msconfd hat mich... - Standard

CWS.Msconfd hat mich...



Also erstmal danke für die schnelle antwort!

Was ich vorhin vergas zu erwähnen is dass der virusschutz zeitweise aufpopt mit einer viruswarnung:

While opening file: C:\WINDOWS\system32\logo_big.exe
Trojan Horse Downloader.Generetic.KMT

und das selbe mit

While opening file: C:\WINDOWS\system32\sphlp32.exe
Trojan Horse Clicker.FR

Natürlich geht weder Heal noch Delete noch Move to Vault. Auch finde ich die dateien nicht...

Nun zum Blacklight scan. Super tool!

12/10/05 17:16:47 [Info]: BlackLight Engine 1.0.29 initialized
12/10/05 17:16:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/10/05 17:16:47 [Note]: 7019 4
12/10/05 17:16:47 [Note]: 7005 0
12/10/05 17:16:57 [Note]: 7006 0
12/10/05 17:16:57 [Note]: 7011 1392
12/10/05 17:16:57 [Note]: 7018 1792
12/10/05 17:16:57 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe
12/10/05 17:16:57 [Note]: FSRAW library version 1.7.1013
12/10/05 17:17:25 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/10/05 17:17:25 [Note]: 10002 1
12/10/05 17:17:32 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/10/05 17:17:32 [Note]: 10002 1
12/10/05 17:17:39 [Info]: Hidden file: C:\WINDOWS\system32\csuwi.exe
12/10/05 17:17:39 [Note]: 7002 32
12/10/05 17:17:39 [Note]: 7003 1
12/10/05 17:17:39 [Note]: 10002 1
12/10/05 17:17:46 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/10/05 17:17:46 [Note]: 10002 1
12/10/05 17:17:52 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/10/05 17:17:52 [Note]: 10002 1
12/10/05 17:18:01 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
12/10/05 17:18:01 [Note]: 10002 1
12/10/05 17:18:07 [Info]: Hidden file: C:\WINDOWS\system32\logo_big.exe
12/10/05 17:18:07 [Note]: 7002 5
12/10/05 17:18:07 [Note]: 7003 1
12/10/05 17:18:07 [Note]: 10002 1
12/10/05 17:18:18 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/10/05 17:18:18 [Note]: 10002 1
12/10/05 17:18:25 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
12/10/05 17:18:25 [Note]: 7002 5
12/10/05 17:18:25 [Note]: 7003 1
12/10/05 17:18:25 [Note]: 10002 1
12/10/05 17:26:24 [Note]: 7007 0

Jetzt fang ich langsam an zu verzweifeln ^^

mfg BS
__________________

Alt 10.12.2005, 18:07   #4
Wildone
 
CWS.Msconfd hat mich... - Standard

CWS.Msconfd hat mich...



Hallo,
das hatte ich befürchtet, sorry, aber bei Rootkitbefall solltest du dein System neu aufsetzen, das gräbt sich einfach zu tief ein.
Wo bzw. wie du dir das eingefangen hast kann ich nicht sagen, würde aber auf unzureichend abgesicherten IE tippen oder bei der Installation unseriöser Software (Cracks?).
Hier ist eine Anleitung wie du beim neu aufsetzen und anschließenden absichern vorgehen solltest damit das nicht wieder passiert, lies dir mal besonders intensiv das Konzept unter eingeschränkten Rechten zu surfen durch.



Grüße Wildone

Alt 10.12.2005, 18:20   #5
BenSanderson
 
CWS.Msconfd hat mich... - Standard

CWS.Msconfd hat mich...



Verfluchtes Active Scripting kann ich da nur sagen.

War einfach fahrlässig von mir, werde in Zukunft wohl browsertechnische änderungen vornehmen müssen.

Danke für deine hilfe ! !

mfg BenSanderson


Antwort

Themen zu CWS.Msconfd hat mich...
alert, avg free, bho, browser, dll, download, e-mail, explorer, firewall, helfen, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, monitor, neu, nvidia, programme, rundll, schutz, seiten, software, system, windows, windows xp



Ähnliche Themen: CWS.Msconfd hat mich...


  1. Bedanke mich bei M-K-D-B.
    Lob, Kritik und Wünsche - 24.08.2015 (0)
  2. Virus hat mich erwischt und mich Infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (3)
  3. Gvu 2.07. Mich hats erwischt!
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (4)
  4. virtumonde hat mich am A!§$h :(
    Mülltonne - 10.12.2008 (2)
  5. Silentbanker - er hat mich!!
    Mülltonne - 01.12.2008 (1)
  6. Mich hat's erwischt...
    Log-Analyse und Auswertung - 17.10.2008 (6)
  7. PC quält mich
    Log-Analyse und Auswertung - 16.08.2008 (1)
  8. Könnt mich mal!
    Lob, Kritik und Wünsche - 22.11.2007 (2)
  9. Mich freue
    Lob, Kritik und Wünsche - 28.11.2006 (9)
  10. Mich hat es erwischt
    Plagegeister aller Art und deren Bekämpfung - 25.11.2006 (20)
  11. Mich hat's erwischt :(
    Log-Analyse und Auswertung - 15.12.2005 (2)
  12. Irgendwelche tips für mich?
    Plagegeister aller Art und deren Bekämpfung - 14.12.2005 (3)
  13. Mich hat es erwischt! :-(
    Log-Analyse und Auswertung - 03.09.2005 (3)
  14. Der ist zu schwer für mich!
    Log-Analyse und Auswertung - 09.05.2005 (6)
  15. will mich vergewisern!!!!
    Plagegeister aller Art und deren Bekämpfung - 11.04.2005 (5)
  16. das kotzt mich an !!
    Plagegeister aller Art und deren Bekämpfung - 03.02.2005 (1)
  17. Hat es mich erwischt?
    Antiviren-, Firewall- und andere Schutzprogramme - 03.06.2003 (3)

Zum Thema CWS.Msconfd hat mich... - Hi erstmal. Hab mir mal wieder so eine ratte eingefangen, jetzt reichts mir aber mit neu aufsetzten. Diesmal will ich das ding so loswerden. Hoffe ihr könnt mir helfen, bin - CWS.Msconfd hat mich......
Archiv
Du betrachtest: CWS.Msconfd hat mich... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.