Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Cansew.ca

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.01.2006, 09:43   #1
Drehteil2004
 
Cansew.ca - Icon21

Cansew.ca



Könnte jemand mal nachsehen wo der Trojaner versteckt ist.

Alt 18.01.2006, 09:56   #2
stupormundi
 
Cansew.ca - Standard

Cansew.ca



Jaja, gerne - und wo?
Wie wäre es mit einem HJT Logfile und einer ausführlichen Problembeschreibung?
stupormundi
__________________

__________________

Alt 18.01.2006, 11:45   #3
Drehteil2004
 
Cansew.ca - Standard

Cansew.ca



Logfile of HijackThis v1.99.1
Scan saved at 10:28:08, on 18.1.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\anti_troj.exe
C:\WINNT\system32\anti_troj.exe
C:\Programme\NetCommy\NetCommy.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\WINNT\explorer.exe
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
\File-server\Daten\Laudensack\Eigene Dateien\HiJack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {46577142-1D10-457D-9EE7-570DABDF8A0E} - C:\WINNT\system32\COMCAT32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - HKLM\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKCU\..\Run: [winshost.exe] C:\WINNT\system32\winshost.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - Startup: Lotus Notes 6 (2).lnk = C:\Programme\lotus\notes\notes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NetCommy-Autostart.lnk = C:\Programme\NetCommy\NetCommy.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pl: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = FIRNER-GmbH.local
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OracleOraHome817ClientCache - Unknown owner - C:\Oracle8Client\BIN\ONRSD.EXE
__________________

Alt 18.01.2006, 12:01   #4
stupormundi
 
Cansew.ca - Standard

Cansew.ca



Servus wieder!
So ist es übersichtlicher!
Du hast Dir ja einiges eingefangen!
Den und den und den und wahrscheinlich einiges anderes, was von diesen Böslingen nachgeladen worden ist, aber hier im Logfile nicht aufscheint, auch noch!
Um eine genaueres Bild zu bekommen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
Und nicht wieder einen neuen thread eröffnen!
Und zuletzt: Falls es ein Firmenrechner ist, bitte mit Deinem IT-Admin Kontakt aufnehmen - das ist dann dessen Bier und wir sind hier raus!
stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Geändert von stupormundi (18.01.2006 um 12:13 Uhr)

Alt 18.01.2006, 12:03   #5
dartus
 
Cansew.ca - Standard

Cansew.ca



kurz einmisch:
@Drehteil,

das sieht nach einem Firmenrechner aus. Falls ja, solltest Du Dich mit dem zuständigen IT-Spezie in Verbindung setzen.

dartus

Hi stupermondi.

Querposting!

Anm.
-------------------
Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974

Gruß Cidre
Admin TB

__________________
Kein Support per PN

Geändert von Cidre (18.01.2006 um 18:22 Uhr)

Alt 18.01.2006, 12:06   #6
stupormundi
 
Cansew.ca - Standard

Cansew.ca



Hi dartus!
Zitat:
Querposting
*AMOK*

@drehteil: 1 ein thread für ein Problem!
außerdem was dartus' Vermutung wegen des Firmenrechners angeht: Wenn es wirklich einer ist (wie es tatsächlich scheint) sind wir hier draußen, denn das ist alleine Sache Deiner IT-Admins (bei dieser Verseuchung umso mehr)
stupormundi

Anm.
-------------------
Beitrag wurde aus diesem Thread gelöst -> http://www.trojaner-board.de/showthread.php?t=25974

Gruß Cidre
Admin TB
__________________
--> Cansew.ca

Geändert von Cidre (18.01.2006 um 18:22 Uhr)

Antwort

Themen zu Cansew.ca
firmenrechner, gelöst, nachsehen, rechner, thread, troja, trojaner, verbindung, versteckt, zuständigen




Zum Thema Cansew.ca - Könnte jemand mal nachsehen wo der Trojaner versteckt ist. - Cansew.ca...
Archiv
Du betrachtest: Cansew.ca auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.