Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Nach jedem Neustart sind sie wieder da !?!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.03.2006, 17:13   #1
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Pfeil

Nach jedem Neustart sind sie wieder da !?!



Hallo Leute,

seit einiger Zeit beobachte ich folgendes Schauspiel,
Adaware Scan --> 13 Objekte gefunden --> Objekte werden gelöscht
--> neustart --> Adaware Scan --> 13 Objekte gefunden

Hmmm

Also irgendwas tut die spyware etc. immer wieder installieren!

Nur was?

Hier mein HTJ-Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:05:03, on 12.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
D:\cFos 2.13\cFosSpeed.exe
D:\cFos 2.13\spd.exe
D:\Xfire\Xfire.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
C:\PROGRA~1\McAfee.com\Personal Firewall\MpfAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\GetRight\xx2gr.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\Personal Firewall\MpfTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [cFosSpeed] D:\cFos 2.13\cFosSpeed.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: Verknüpfung mit Xfire.lnk = D:\Xfire\Xfire.exe
O8 - Extra context menu item: Download with GetRight - D:\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\GetRight\GRbrowse.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Office03\OFFICE11\REFIEBAR.DLL
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC989894-5205-488D-9256-F14DBF4020E2}: NameServer = 192.168.0.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\cFos 2.13\spd.exe" -service (file missing)
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\system32\CTsvcCDA.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\Personal Firewall\MpfService.exe
O23 - Service: Sandra Service (SandraTheSrv) - Unknown owner - D:\Benchmarks\SiSoftware Sandra Lite 2005.SR2a\RpcSandraSrv.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Vieleicht könnt ihr mir ja helfen!

THX im Vorraus für eure Hilfe!

Ciao

ALI_G
__________________
Mein System

Alt 12.03.2006, 18:04   #2
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



eScan sagt folgendes:

Zitat:
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 12 18:54:02 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:02 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:05 2006 => System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:54:05 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:52 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:52 2006 => System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:54 2006 => System found infected with ezula Spyware/Adware (amazon.url)! Action taken: Keine Aktion vorgenommen.
Sun Mar 12 18:56:54 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 12 18:54:05 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\amazon.url
Sun Mar 12 18:54:05 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\ebay.url
Sun Mar 12 18:54:07 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Dokumente\monolith productions\fear\save
Sun Mar 12 18:56:54 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\amazon.url
Sun Mar 12 18:56:54 2006 => Offending file found: C:\Dokumente und Einstellungen\NooB\Favoriten\shop`s\shopping\ebay.url
Sun Mar 12 18:56:55 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Dokumente\monolith productions\fear\save
__________________

__________________

Alt 12.03.2006, 18:59   #3
BataAlexander
> MalwareDB
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



Hallo,

die eScan Meldung sind false postives.
Welche Meldung gibt Dir den AdAware und kannst Du an Deinem Rechner irgendwelche Aufmerksamkeiten feststellen?

Gruß

Schrulli
__________________
__________________

Alt 13.03.2006, 07:28   #4
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



Zitat:
Zitat von Schrulli
Hallo,

die eScan Meldung sind false postives.
Welche Meldung gibt Dir den AdAware und kannst Du an Deinem Rechner irgendwelche Aufmerksamkeiten feststellen?

Gruß

Schrulli
Hallo Schrulli,

also false postitives sind Dateien die zu Unrecht als Viren erkannt werden!

Richtig?

Aufmerksamkeiten:

Beim Runterfahren kann er öfters irgendeinen net.***-Dienst nicht richtig beenden.
Und Tuneup-Utilities findet nach jedem Neustart immer genau 1MB Temporäre-Internetfiles.
Und die meisten Sachen findet Adaware immer im Browsercache.

Was es genau findet schreibe ich heute abend, wenn ich wieder daheim bin.

Ciao

ALI_G
__________________
Mein System

Alt 13.03.2006, 20:56   #5
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



So Adaware sagt folgendes:

Zitat:
13.03.2006 21:47:28 - Scan started. (Full System Scan)

MRU List Object Recognized!
Location: : C:\Dokumente und Einstellungen\NooB\recent
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\direct3d\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : software\microsoft\direct3d\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : software\microsoft\directdraw\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\directinput\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\directinput\mostrecentapplication
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\microsoft\internet explorer
Description :


MRU List Object Recognized!
Location: : S-1-5-21-1757981266-1715567821-839522115-1003\software\winrar\dialogedithistory\extrpath
Description :

__________________
Mein System

Alt 15.03.2006, 18:12   #6
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



Hallo ???

Kann mir keiner weiterhelfen?
__________________
--> Nach jedem Neustart sind sie wieder da !?!

Alt 15.03.2006, 18:18   #7
Wildone
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



Hallo,
immmer schön ruhig bleiben, wir helfen hier alle nur in unserer Freizeit, da kann es schon mal passieren das ein thread durchrutscht, ein einfaches push hätte genügt.
Zum Thema, das sind alles nur Listeneinträghe die Adaware da findet, diese stellen nur ein Risiko da falls sie ausgesesen würden könnte man nachvollziehen welche Filme oder Programme aufgerufen wurden.
Also das ganze ist ziemlich harmlos, es gibt auch die Option sich die einträge nicht anzeigen zu lassen, weiß jetzt aber aus dem Stehgreiff nicht mehr wo, aber da sollte entweder die Programmhilfe oder google weiterhelfen.


Grüße Wildone

Alt 16.03.2006, 18:54   #8
ALI_G
 
Nach jedem Neustart sind sie wieder da !?! - Standard

Nach jedem Neustart sind sie wieder da !?!



Zitat:
Zitat von Wildone
Hallo,
immmer schön ruhig bleiben, wir helfen hier alle nur in unserer Freizeit, da kann es schon mal passieren das ein thread durchrutscht, ein einfaches push hätte genügt.
Zum Thema, das sind alles nur Listeneinträghe die Adaware da findet, diese stellen nur ein Risiko da falls sie ausgesesen würden könnte man nachvollziehen welche Filme oder Programme aufgerufen wurden.
Also das ganze ist ziemlich harmlos, es gibt auch die Option sich die einträge nicht anzeigen zu lassen, weiß jetzt aber aus dem Stehgreiff nicht mehr wo, aber da sollte entweder die Programmhilfe oder google weiterhelfen.


Grüße Wildone
THX für deine Antwort, das wollte ich wissen!
__________________
Mein System

Antwort

Themen zu Nach jedem Neustart sind sie wieder da !?!
ad-aware, adobe, bho, browser, dateien, download, excel, explorer, firewall, hijack, hijackthis, hotkey, immer wieder, internet, internet explorer, logfile, microsoft, neustart, programme, scan, software, spyware, system, tuneup utilities, windows, windows xp



Ähnliche Themen: Nach jedem Neustart sind sie wieder da !?!


  1. Reduzierter Speicherplatz nach jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 20.12.2014 (17)
  2. Firefox setzt Einstellung nach jedem Neustart zurück
    Alles rund um Windows - 16.10.2014 (3)
  3. Windows 7 nach jedem Neustart kein Internet mehr
    Plagegeister aller Art und deren Bekämpfung - 22.06.2014 (3)
  4. Hartnäckiger Registryfehler taucht nach jedem Neustart wieder auf.
    Log-Analyse und Auswertung - 12.04.2014 (1)
  5. Softwareupdater.Ui.exe-Meldung nach jedem Neustart
    Plagegeister aller Art und deren Bekämpfung - 16.11.2013 (13)
  6. Taskmanager nach jedem Neustart deaktiviert
    Log-Analyse und Auswertung - 27.12.2012 (15)
  7. Hostsdatei wird bei jedem Neustart des Rechners wieder überschrieben
    Mülltonne - 27.12.2010 (1)
  8. Backdoor.Bot ist nach jedem Neustart wieder da
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (29)
  9. Trojaner Dropper Gen der bei jedem Neustart wieder erscheint
    Plagegeister aller Art und deren Bekämpfung - 13.10.2010 (1)
  10. TR/Dropper.gen, getarnt als Bildschirmschoner! Nach jedem Neustart wieder da!
    Plagegeister aller Art und deren Bekämpfung - 06.09.2010 (3)
  11. Trojaner von Malwarebytes nach jedem Neustart (i. Registrierungsdatenschlüssel)
    Log-Analyse und Auswertung - 25.03.2010 (2)
  12. nach jedem Neustart immer ein Ordner Neuer Ordner auf dem Desktop
    Alles rund um Windows - 11.11.2009 (1)
  13. Bifrose ist bei jedem Neustart wieder in der Regitry aktiv
    Mülltonne - 05.01.2009 (0)
  14. Habe Trojaner TR/BHO.Ge alias W32/Podnuha, kommt bai jedem Neustart wieder
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (2)
  15. Nach jedem Neustart wieder spyware
    Log-Analyse und Auswertung - 27.07.2008 (4)
  16. TR/Dldr.180Instal.1 kommt nach jedem Start wieder
    Plagegeister aller Art und deren Bekämpfung - 22.08.2005 (6)
  17. Nach jedem 2 Reboot kommen alle Viren wieder!
    Plagegeister aller Art und deren Bekämpfung - 15.05.2005 (4)

Zum Thema Nach jedem Neustart sind sie wieder da !?! - Hallo Leute, seit einiger Zeit beobachte ich folgendes Schauspiel, Adaware Scan --> 13 Objekte gefunden --> Objekte werden gelöscht --> neustart --> Adaware Scan --> 13 Objekte gefunden Hmmm Also - Nach jedem Neustart sind sie wieder da !?!...
Archiv
Du betrachtest: Nach jedem Neustart sind sie wieder da !?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.