Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte mal anschauen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.12.2005, 21:17   #1
sugo
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Hallo

Mein Rechner ist in letzter Zeit ein bischen "merkwürdig". Manchmal funzt mein Mailprog nicht. Manchmal komm ich auf anderen Links raus, die ich nicht angeklickt habe. Und er rödelt manchmal lange auf der Platte rum. Vielleicht könnt ihr mir helfen und was mit dem escan log anfangen:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 18:26:53 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Dec 11 18:26:54 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Dec 11 19:00:39 2005 => Scanning File H:\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav
Sun Dec 11 19:29:06 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 18:26:34 2005 => Offending Key found: HKLM\Software\gnu !!!
Sun Dec 11 18:26:53 2005 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\insthelp.dll
Sun Dec 11 18:26:54 2005 => Offending file found: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Dec 11 19:29:06 2005 => Total Virus(es) Found: 3
Sun Dec 11 19:29:06 2005 => Total Errors: 25
Sun Dec 11 19:29:06 2005 => Time Elapsed: 01:03:06
Sun Dec 11 19:29:06 2005 => Total Objects Scanned: 46611
Sun Dec 11 18:11:06 2005 => Virus Database Date: 2005/12/02
Sun Dec 11 18:11:52 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 18:25:29 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 19:29:06 2005 => Virus Database Date: 2005/12/11
Sun Dec 11 19:47:37 2005 => Virus Database Date: 2005/12/11
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Vielen Dank im Voraus
sugo

Alt 11.12.2005, 21:22   #2
chaosman
 
Bitte mal anschauen - Standard

Bitte mal anschauen



@sugo
poste bitte auch ein HJT logfile
anleitung

chaosman
__________________

__________________

Alt 11.12.2005, 21:47   #3
sugo
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Wow, danke für die schnelle Antwort.
Ich habe das hijacklog im abgesicherten Modus gemacht. Ich hoffe das war richtig so.:

Logfile of HijackThis v1.99.1
Scan saved at 20:41:10, on 11.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
H:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [KAVPersonal50] "h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [LexPPS.exe] C:\WINNT\system32\lexpps.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Microsoft Office\Office\FINDFAST.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O15 - Trusted Zone: http://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130612790618
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe


sugo
__________________

Alt 11.12.2005, 22:06   #4
chaosman
 
Bitte mal anschauen - Standard

Bitte mal anschauen



@sugo

*Ahem* in der anleitung steht nichts von logfile erstellen der abgesicherten modus. bitte erstelle eins aus den normalen modus

chaosman
__________________
Bonus vir semper tiro

Alt 11.12.2005, 23:33   #5
sugo
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Ähm, tschuldigung
Jetzt aus`m normalen Modus. :

Logfile of HijackThis v1.99.1
Scan saved at 22:24:43, on 11.12.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINNT\system32\lexpps.exe
H:\Spybot - Search & Destroy\TeaTimer.exe
H:\Microsoft Office\Office\FINDFAST.EXE
H:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gmx.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von GMX
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\System32\pmxinit.exe
O4 - HKLM\..\Run: [KAVPersonal50] "h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] h:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = H:\Microsoft Office\Office\FINDFAST.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gmx.de
O15 - Trusted Zone: h**p://download.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130612790618
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - h:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Scheint auf den ersten Blick kein unterschied zu sein.
Ich habe mich als Administrator angemeldet um diese scans zu machen. Normalerweise melde ich mich immer als Benutzer an meinem PC an um zu arbeiten, weil das sicherer sein soll. Wenn ich als Benutzer versuche zu scannen, kommen einige Fehlermeldungen.

Kannst du damit jetzt was anfangen, oder mach ich mir zuviel, oder in die falsche Richtung Sorgen?

sugo


Alt 13.12.2005, 16:14   #6
sugo
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Hallo
Ich würde mich sehr über eine Antwort freuen!

sugo

Alt 18.12.2005, 15:21   #7
Haui45
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Das Log schaut sauber aus.
Leere den Cache des IE mit www.clearprog.de

Beherzige die Tipps, die auf
www.cidres-security.de
und
http://malware.derbilk.de
gegeben werden.

Alt 18.12.2005, 18:35   #8
sugo
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Nochmals vielen Dank, entschuldigt meine Ungeduld, ich weiß eure Hilfe sehr zu schätzen

Alt 18.12.2005, 18:36   #9
Haui45
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Ich kann dich durchaus verstehen, aber wie ich schon schrieb, es ist nicht unwahrscheinlich, dass ein Thread einfach "untergeht".

Alt 18.12.2005, 20:15   #10
MightyMarc
 
Bitte mal anschauen - Standard

Bitte mal anschauen



Du sprachst von Links, die in die falsche Richtung laufen. Prüfe bitte

1. Die Hosts-Datei

a) Ist sie richtig in der Registry eingertagen. Hierzu öffnest Du den Registrierungseditor (Start > Ausführen > regedit). Nun klickst Du Dich zu folgendem Ziel durch:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Rechts findest Du einen Eintrag, der DatabasePath heisst. Überprüfe bitte, ob er wie folgt aussieht:

%SystemRoot%\System32\drivers\etc

%SystemRoot% ist Dein Windowsordner.

b) Du suchst nun gemäß der Ortsangabe (die in DatabasePath steht) die Hosts-Datei und postest bitte deren Inhalt.


2. Lade Dir bitte folgende Tools:

a) KProcCheck

http://www.security.org.sg/code/KProcCheck-0.2beta2.zip

b) Rootkit Revealer

http://www.sysinternals.com/Files/RootkitRevealer.zip

3. Scanne mit den Tools

a) KProcCheck

Start > Ausführen > cmd

In das Verzeichnis gehen wo KProcCheck sich befindet und ausführen

KProcCheck.exe -d >> C:\kproc.txt
KProcCheck.exe -t >> C:\kproc.txt
KProcCheck.exe -g >> C:\kproc.txt

Inhalt der kproc.txt bitte posten.

b) Rootkitrevealer entpacken und starten.

Scannen (Options > beide Häckchen setzen)

Nach dem Scan, Log sichern (File > save) und Inhalt posten.
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Antwort

Themen zu Bitte mal anschauen
anderen, dokumente, einstellungen, escan, file, files, found, funzt, gen, infected, kaspersky, kaspersky lab, lange, links, log, lokale, merkwürdig, personal, platte, rechner, scanning, software, system, temp, total



Ähnliche Themen: Bitte mal anschauen


  1. Bitte mal anschauen
    Mülltonne - 16.11.2008 (0)
  2. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 18.09.2006 (14)
  3. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 12.08.2006 (3)
  4. bitte anschauen
    Log-Analyse und Auswertung - 11.06.2006 (1)
  5. Bitte anschauen!
    Log-Analyse und Auswertung - 05.06.2006 (1)
  6. Bitte anschauen!!
    Mülltonne - 23.05.2006 (3)
  7. bitte anschauen
    Log-Analyse und Auswertung - 06.09.2005 (4)
  8. Bitte anschauen ;)
    Log-Analyse und Auswertung - 05.09.2005 (16)
  9. Wie kommen bloß die ganzen Trojaner auf meinem Rechner-Logfile bitte ,bitte anschauen
    Log-Analyse und Auswertung - 15.07.2005 (3)
  10. Bitte mal anschauen!
    Log-Analyse und Auswertung - 25.03.2005 (1)
  11. Bitte mal anschauen...
    Log-Analyse und Auswertung - 22.03.2005 (3)
  12. Bitte die Log anschauen !
    Log-Analyse und Auswertung - 11.03.2005 (2)
  13. log bitte mal anschauen :)
    Log-Analyse und Auswertung - 02.03.2005 (3)
  14. bitte mal anschauen
    Log-Analyse und Auswertung - 02.03.2005 (1)
  15. Bitte mal anschauen
    Log-Analyse und Auswertung - 24.02.2005 (5)
  16. Bitte anschauen
    Log-Analyse und Auswertung - 26.01.2005 (15)
  17. Bitte mal anschauen
    Log-Analyse und Auswertung - 12.01.2005 (5)

Zum Thema Bitte mal anschauen - Hallo Mein Rechner ist in letzter Zeit ein bischen "merkwürdig". Manchmal funzt mein Mailprog nicht. Manchmal komm ich auf anderen Links raus, die ich nicht angeklickt habe. Und er rödelt - Bitte mal anschauen...
Archiv
Du betrachtest: Bitte mal anschauen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.