Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hier stimmt was nicht.....

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.01.2006, 00:35   #1
Batto
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hallo Leute,

Irgend etwas stimmt nicht mit meinem Rechner. Antivir funktioniert nicht mehr. Habe das Gefühl ich kann auch nicht mehr auf die Antivir Webseite zugreifen und updates laden (Mag ich mir einbilden).

Alle Nase lang öffnet sich ein Fenster und will ein File downloaden:
b..php von w**.cansew.ca

Hier ist ein aktueller Logfile, ich hoffe ihr könnt mir hier aus der Patsche helfen.

Schon mal Dankeschön
Batto


Logfile of HijackThis v1.99.1
Scan saved at 23:07:44, on 01/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
C:\WINDOWS\system32\pctspk.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\TCM\TCM Mouse Only\MouseDrv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\anti_troj.exe
C:\WINDOWS\system32\winlog.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\ADownload\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
h**p://www.google.co.uk/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program
Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [CR INSPECTOR] C:\Program Files\Generic\USB Card Reader Driver
v1.8d\CR INSPECTOR.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe
SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program
Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\TCM\TCM Mouse
Only\MouseDrv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Systems.exe] D:\KGB Spy\Systems.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program
Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_sit
e.cab?1124643474266
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit
e.cab?1124643457121
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. -
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Alt 02.01.2006, 02:05   #2
dartus
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hallo Batto,

eine saubere Bereinigung ist IMHO kaum möglich, da durch diverse Würme Dein Antivir-Programm abgeschaltet wurde. Dadurch wurde noch mehr "nachgeladen".

Mein Rat:
http://www.trojaner-board.de/showthread.php?t=12154
dartus
__________________

__________________

Alt 09.01.2006, 00:07   #3
Batto
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hi Dartus,

Danke für deine Antwort. Ich habe sofort formatiert und Windows neu aufgesetzt. (Hat ein wenig gedauert bis alles wieder halbwegs lief)

Meine Daten lagen alle auf der D Partition (Desktop, Eigene Daten usw). Muss ich davon ausgehen, dass auch dort Daten manipuliert worden sind?

Ich habe die Daten ersteinmal auf DVD kopiert und würde die wichtigsten Sachen gerne wieder einspielen. Ist das riskant und gibt es eine Möglichkeit diese daten vorher gründlich zu scannen.

Batto
__________________

Alt 09.01.2006, 00:17   #4
dartus
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hallo Batto,

sofern sich auf Deiner Sicherungskopie keine ausführende Dateien befinden (z.B. "exe" usw), sollte es kein Problem sein. Zur Vorsicht mit einem Virenscanner mit aktuellen Signaturen vor der Überspielung prüfen.

dartus
__________________
Kein Support per PN

Alt 09.01.2006, 00:49   #5
Batto
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hi Dartus,

Muss noch einmal nachhaken.

Die Daten waren zum Zeitpunkt der Virusattacke auf dem Rechner. Ich hatte jedoch die Festplatte in eine C und eine D Partition geteilt. Auf der C Partition war das Betriebssystem und die Programme installiert. Alle Daten ( bis auf die Outlook pst Datei) befanden sich auf der D Partition. Mit einem Hilfsprogramm (Powertools) wurden Desktop, Eigene Daten usw dann umgelenkt.

Ich frage mich nun, ist der Virus oder was auch immer auf meinem Rechner getobt hat, so schlau und hat die Daten dort gefunden und evtl infiziert?

Inzwischen habe ich die Daten auf DVD gespeichert und lasse nun alle möglichen Virenscanner darüber laufen. Bislang sieht es so aus als ob sie clean sind.

Batto


Alt 09.01.2006, 00:57   #6
MightyMarc
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Wo Du die Daten hast, also ob auf Partition X, Y oder Z, ist erstmal egal. Wie bereits geschrieben, sollte man ausführbaren Dateien nicht Vertrauen. Sind diese aber überlebensnotwendig, kann man, wie Du es getan hast, diese mit Virenscannern, welche eine aktuelle Signatur haben, scannen. Ein gewisses Restrisiko bleibt.
__________________
--> Hier stimmt was nicht.....

Alt 22.01.2006, 18:21   #7
Batto
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



Hello again!

Nachdem ich das System neu aufgesetzt habe sieht es nun so aus:

Logfile of HijackThis v1.99.1
Scan saved at 17:11:12, on 22.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe
C:\WINDOWS\System32\pctspk.exe
C:\WINDOWS\System32\ESB.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\ADownload\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xxx.google-de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CR INSPECTOR] C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe +c
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Ich frage mich nun, ob da noch immer ein Virus oder Backdoor Programm im Hintergrund auf meinem System läuft. Könnt ihr etwas erkennen?

Es ist noch ein ziemliches Durcheinander, zB habe ich neben AntiVir noch den Kaspersky drauf. Antivir ist deaktiviert. Ich habe das Gefühl das Kaspersky das System zusehens verlangsamt. Ist das Programm wirklich so gut, dass ich das in Kauf nehmen sollte?

Wie immer bin ich für eure Meinung dankbar

Thks
Batto

Alt 22.01.2006, 19:34   #8
hoerni26
 
Hier stimmt was nicht..... - Standard

Hier stimmt was nicht.....



hallo,

also wenn das hier dein logfile nach einem Neuaufsetzen ist dann kann ich nix mehr sagen..
hier laufen 2 virenprogramme gleichzeitig,die du vor allem ja installiert haben musst..
und vor allem fehlt hier das SP2 !!
wo ist dieses??
im link steht alles beschrieben,bist du der beschreibung gefolgt??
__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Antwort

Themen zu Hier stimmt was nicht.....
adobe, antivir, bho, excel, explorer, file, generic, hijack, hijackthis, ics, internet, internet explorer, logfile, microsoft, nvidia, realplayer, rundll, software, system, system32, updates, usb, windows, windows xp, öffnet



Ähnliche Themen: Hier stimmt was nicht.....


  1. Irgendetwas stimmt hier nicht...
    Log-Analyse und Auswertung - 05.01.2012 (1)
  2. Was stimmt hier nicht?
    Plagegeister aller Art und deren Bekämpfung - 20.07.2010 (2)
  3. nwiz.exe - irgendwas stimmt hier nicht
    Plagegeister aller Art und deren Bekämpfung - 09.09.2009 (6)
  4. Stimmt hier was nicht?
    Mülltonne - 02.11.2008 (0)
  5. Stimmt hier was nicht?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2008 (7)
  6. Was stimmt hier nicht ?
    Log-Analyse und Auswertung - 05.07.2008 (0)
  7. Hier stimmt was nicht
    Log-Analyse und Auswertung - 28.06.2006 (2)
  8. was stimmt hier nicht?
    Log-Analyse und Auswertung - 27.03.2006 (7)
  9. stimmt hier was nicht?
    Log-Analyse und Auswertung - 24.12.2005 (3)
  10. was stimmt hier nicht?
    Log-Analyse und Auswertung - 16.05.2005 (3)
  11. ich glaube hier stimmt was nicht...???
    Log-Analyse und Auswertung - 14.05.2005 (8)
  12. Was stimmt hier nicht?!
    Log-Analyse und Auswertung - 30.03.2005 (4)
  13. Hier Stimmt schon wieder was nicht plz help!
    Plagegeister aller Art und deren Bekämpfung - 18.03.2005 (11)
  14. Bitte mal schauen, hier stimmt was nicht
    Log-Analyse und Auswertung - 28.02.2005 (7)
  15. Was stimmt hier nicht?
    Log-Analyse und Auswertung - 31.12.2004 (11)
  16. Hier stimmt was nicht ?????????
    Log-Analyse und Auswertung - 20.10.2004 (6)

Zum Thema Hier stimmt was nicht..... - Hallo Leute, Irgend etwas stimmt nicht mit meinem Rechner. Antivir funktioniert nicht mehr. Habe das Gefühl ich kann auch nicht mehr auf die Antivir Webseite zugreifen und updates laden (Mag - Hier stimmt was nicht........
Archiv
Du betrachtest: Hier stimmt was nicht..... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.