Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Log File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 29.12.2005, 09:00   #1
Urmel1000
 
Log File - Standard

Log File



Hallo erstmal,

habe mir gestern das Ding sachosts.exe eingefangen und danach gings drunter und drüber. Ständige Viruswarnungen von AntiVir. Hatte schon mal mit HijackThis zu tun und hab sachosts.exe und winhound.com gefixed. Scheinbar hat es nicht geholfen weil heute morgen war wieder alles beim alten (ständige wurm warnungen). Ein weiteres Problem ist das ich meinen Hintergrund aufm desktop nicht mehr ändern kann. Hatte da so eine warnhp.html file im windows system ordner die ich gelöscht hatte.
Vielleicht könnt ihr euch ja nochmal das hijack Log angucken und mir sagen was da noch alles falsch ist und noch ein paar tips geben. Adaware, the cleaner und spybot haben nicht gefunden. Nur Antivir findet ununterbrochen was.

Hijack Log

Logfile of HijackThis v1.99.1
Scan saved at 09:58:37, on 29.12.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
D:\Programme\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\The Cleaner\tca.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - HKLM\..\Run: [tcactive] D:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] D:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/06df225cb14d6d756d06/netzip/RdxIE601_de.cab
O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe



AntiVir Meldungen

C:\WINDOWS
sachostx.exe
[FUND!] Enthält Signatur des Wurmes WORM/LookSky.O
WURDE GELÖSCHT!
uninstIU.exe
[FUND!] Ist das Trojanische Pferd TR/Small.ev.300.B
WURDE GELÖSCHT!
C:\WINDOWS\system32
msvcrl.dll
[FUND!] Enthält Signatur des Wurmes WORM/LookSky.O.DLL
WURDE GELÖSCHT!
oleext.dll
[FUND!] Ist das Trojanische Pferd TR/Small.ev.300.C
WURDE GELÖSCHT!
sachostw.exe
[FUND!] Enthält Signatur des Wurmes WORM/LookSky.O.1
WURDE GELÖSCHT!
z12.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.awa.90
WURDE GELÖSCHT!
z13.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Small.cah.1
WURDE GELÖSCHT!
z14.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.AZ.A
WURDE GELÖSCHT!
z15.exe
[FUND!] Enthält Signatur des Wurmes WORM/Klone.B.130
WURDE GELÖSCHT!



Danke schon mal im voraus.

Gruss

Alt 29.12.2005, 09:41   #2
stupormundi
 
Log File - Standard

Log File



Servus!
Ich will Dir ja nicht den Tag versauen ...
Lass´ mal folgende Dateien
Zitat:
C:\WINDOWS\sysldr32.exe
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
wenn es das ist, was ich befürchte, kannst Du dich auf das neu Aufsetzen einstellen! Deine anderen Funde waren auch schon nicht ohne!
stupormundi
__________________

__________________

Alt 29.12.2005, 10:22   #3
Urmel1000
 
Log File - Standard

Log File



Erstmal danke für die schnelle Antwort. Bin deiner Anleitung in dem link in Deiner Signatur gefolgt nur leider ohne erfolg. Kann die Datei nirgends finden. In einem neuen hijack log steht sie allerdings noch drin.
__________________

Alt 29.12.2005, 10:29   #4
Urmel1000
 
Log File - Standard

Log File



hab aber anstatt der Datei das hier gefunden:

Startup Name Process Name Details
Config Loader sysldr32.exe "Added by the GAOBOT WORM!"

Alt 29.12.2005, 10:44   #5
stupormundi
 
Log File - Standard

Log File



Jaja, das habe ich auch gefunden! Dieser sog. Backdoor-Trojaner, verbunden mit Deinen anderen Funden (sachosts.exe - ebenfalls ein Backdoor) bringen mich zu der Überzeugung, dass die ganze Herumprobiererei ohnedies zu nichts G´scheitem führen würde.
Ich gebe Dir daher diesen Rat. Halte Dich an die Anleitung, Du kannst hier auch ausgiebig nachlesen, warum das bei Backdoor-Bfall die einzig sinnvolle Lösung ist!
stupormundi

__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 29.12.2005, 10:50   #6
Urmel1000
 
Log File - Standard

Log File



gut gut, eintrag sysldr32.exe lässt sich auch nicht fixen..

ist wahrscheinlich eh das beste und wieder mal fällig.. einmal neu bitte..

trotzdem danke

Antwort

Themen zu Log File
adobe, adobe reader, avg, besitzer, bho, desktop, downloader, einstellungen, explorer, file, hijack, hijackthis, icqtoolbar, internet, internet explorer, log, log file, microsoft, ordner, pop-up-blocker, problem, programme, software, system, temp, urlsearchhook, windows, windows system, windows xp, wurm, yahoo, ändern



Ähnliche Themen: Log File


  1. PWS:Win32/Zbot malware : Trojan.Phex.TGen (File) und Trojan.Agent.IET (Registry Value und File)
    Log-Analyse und Auswertung - 16.01.2013 (15)
  2. File Restore / File Recovery - bin ich wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  3. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 30.03.2012 (13)
  4. "Failed to save all components from the file System32\00001590. The file is corrupted unreadable.."
    Log-Analyse und Auswertung - 29.12.2011 (14)
  5. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 11.11.2011 (24)
  6. Firefox.exe "wird gerade verwendet" - HiJackThis Log-File und AntiVir Log-File
    Log-Analyse und Auswertung - 23.07.2009 (2)
  7. HiJackThis Log File und Gmer file Für Rootkit Problem
    Log-Analyse und Auswertung - 28.02.2009 (12)
  8. HiJack Log-File, Malwarebytes Log File und DSS, bitte um Rat!:-(
    Log-Analyse und Auswertung - 17.06.2008 (2)
  9. Log fIle von combofix und erneutes HiJack Log-file
    Mülltonne - 03.05.2008 (0)
  10. Log-File
    Log-Analyse und Auswertung - 18.08.2007 (2)
  11. Log File
    Log-Analyse und Auswertung - 26.04.2007 (8)
  12. HJT Log-File ok ?
    Log-Analyse und Auswertung - 21.01.2007 (3)
  13. LOG File
    Log-Analyse und Auswertung - 16.10.2005 (1)
  14. Log File
    Log-Analyse und Auswertung - 31.03.2005 (4)
  15. Log file
    Log-Analyse und Auswertung - 07.01.2005 (5)
  16. Log File
    Log-Analyse und Auswertung - 15.11.2004 (1)
  17. Log File
    Log-Analyse und Auswertung - 07.11.2004 (8)

Zum Thema Log File - Hallo erstmal, habe mir gestern das Ding sachosts.exe eingefangen und danach gings drunter und drüber. Ständige Viruswarnungen von AntiVir. Hatte schon mal mit HijackThis zu tun und hab sachosts.exe und - Log File...
Archiv
Du betrachtest: Log File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.