Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: systemauslastung&logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.03.2006, 12:18   #1
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hallo zusammen,

Mein Rechner läuft öfters ohne erkennbaren Grund auf 100% cpu-Leistung
und ist dann auch sehr langsam; vielleicht liegts an Malware? Es wäre sehr nett, wenn jemand das logfile mal durchgucken würde (vielen Dank schonmal).Außerdem tauchen pop-ups auf, obwohl die vom Browser (firefox,obwohl das logfile IE explorer anzeigt)
unterdrückt werden sollten.
Ich habe das File schon mal bei http://www.hijackthis.de/ automtisch durchschauen lassen, und dort hieß es, das Logfile wäre sauber; ich weiß leider nicht, wie zuverlässig das ist (?).

Grüsse & Dankeschön

Schabadu



Logfile of HijackThis v1.99.1
Scan saved at 13:11:48, on 22.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\wincmd\TOTALCMD.EXE
c:\download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {98FFF5CC-78AF-49BF-B278-D1526AB87C3F} - C:\WINDOWS\System32\fkbdro.dll (file missing)
O3 - Toolbar: (no name) - {3B01B67F-EB38-4C5B-AB2E-B0D25C87ED43} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {73542959-6A08-4D44-920C-AA778B5F2581} - C:\Dokumente und Einstellungen\Ich\Desktop\onlineTV.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093710112468
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 22.03.2006, 12:25   #2
stupormundi
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Servus!

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 13:11:48, on 22.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Da schreit normalerweise selbst die automatische Logauswertung - hast Du nie daran gedacht, Dein System mal zu aktualisieren (Servicepack 2, Sicherheitsupdates)
Welcher Prozess (Blick in den taskmanager) verursacht denn die hohe Prozessorauslastung?
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi
__________________

__________________

Alt 22.03.2006, 13:03   #3
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hallo,

danke für den tipp mit escan, leider meinte das prog bei der Installation, das es Probleme geben wird, falls ich ein anderes Antivirustool installiert habe.Da ich Antivir benutze, habe ich es dann nicht installiert und wollte erstmal nachhören, ob das System es verkraftet, falls beide progs gleichzeitig installiert sind ?
Zu der Auslastung: Task manager sagt jedesmal "Leerlaufprozess" , wenn die cpu rappelt & keine Anwendung läuft . (Danke, bill)

Grüße
__________________

Alt 22.03.2006, 13:05   #4
stupormundi
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Servus wieder!

Wegen escan brauchst Du dir keine Sorgen machen - der wird nicht installiert, sondern nur entpackt - kannst also ruhig mal laufen lassen!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 22.03.2006, 13:26   #5
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hallo,

danke für dei schnelle Antwort.Vielleicht stelle ich mich ja blöd an,
aber der download ist keine .rar sondern die Datei awn2k3e.exe, und die startet
direkt mit der installation (?).

Grüße & nochmal sorry, falls es an meiner langen leitung liegt!

systemauslastung&logfile-unbenannt-1-kopie.jpg


Alt 22.03.2006, 13:33   #6
stupormundi
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hast Du auch nach der Registrierung aus der Angebotsliste das Gratistool (ganz unten) heruntergeladen?

Das ist eine selbstentpackende *.exe (da ist die Anleitung möglicherweise ein bißchen ungenau). Nach dem Download am besten zuerst auf C: das Verzeichnis C:\bases_x erstellen, dann Winrar (oder Winzip) öffnen und die *.exe nach "C:\bases_x" entpacken. Das exakte Verzeichnis ist wichtig! Dann die 'mwavscan.com' ausführen und weiter wie in der Anleitung!

stupormundi
__________________
--> systemauslastung&logfile

Alt 22.03.2006, 16:03   #7
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Sorry, Hat n bisserl gedauert, da ich noch weg musste.
-
Ich hab mit winrar und zip versucht die .exe zu entpacken, sowohl die, die Du
verlinkt hattest(mwav.exe), als auch die ursprüngliche setup (awn2k3.exe).
Leider ging beides nicht, rar und zip habens nicht gerafft ("... kann die datei nicht öffnen").
Daher habe ich vorübergehend Antivir runtergeschnissen und escan installiert & scannen lassen (nach c:\x_base installiert).Naja, das logfile ist ziemlich lang, und ich konnte den scan nicht komplett durchlaufen lassen, weil keine Zeit, werd ich die nächsten tage machen & posten, obwohl das file nach 15 min. schon seeeeehr groß war.
escan hat aber schon was gefunden , und zwar:

Object "mybar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "kazoom Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "clipgenie Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "statblaster Spyware/Adware" found in File System! Action Taken: No Action Taken.

Object "family keylogger Commercial KeyLogger" found in File System! Action Taken: No Action Taken.

Was mach ich mit diesen Dingern (Ort, wos gefunden wurde hat escan nicht geagt)?

vielen Danke schon mal für Geduld und Ratschläge

Alt 22.03.2006, 20:40   #8
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Also, hab den escan mal durchlaufen lassen, und folgendes gefunde:

Wed Mar 22 17:26:55 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Mar 22 17:26:55 2006 => Loading Spyware Signatures from new External Database (Size: 154040).
Wed Mar 22 17:26:57 2006 => Indexed Spyware Databases Successfully Created...

Wed Mar 22 17:27:13 2006 => System found infected with mybar Spyware/Adware

({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Wed Mar 22 17:27:15 2006 => Offending Key found: HKLM\Software\blue haven media !!!
Wed Mar 22 17:27:15 2006 => Object "kazoom Spyware/Adware" found in File System! Action Taken: No

Action Taken.

Wed Mar 22 17:27:15 2006 => Offending Key found: HKCU\Software\kazaa !!!
Wed Mar 22 17:27:15 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No

Action Taken.

Wed Mar 22 17:27:18 2006 => Offending file found: C:\DOKUME~1\Ich\LOKALE~1\Temp\cmdlineext02.dll
Wed Mar 22 17:27:18 2006 => System found infected with whenu.savenow Spyware/Adware

(cmdlineext02.dll)! Action taken: No Action Taken.

Wed Mar 22 17:27:19 2006 => Offending file found: C:\Dokumente und

Einstellungen\Ich\Anwendungsdaten\chessbase\channels.ini
Wed Mar 22 17:27:19 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action

taken: No Action Taken.

Wed Mar 22 17:27:32 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale

Einstellungen\temp\cmdlineext02.dll
Wed Mar 22 17:27:32 2006 => System found infected with whenu.savenow Spyware/Adware

(cmdlineext02.dll)! Action taken: No Action Taken.

Wed Mar 22 17:27:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale

Einstellungen\tempwm_fuins.bat
Wed Mar 22 17:27:44 2006 => System found infected with statblaster Spyware/Adware

(tempwm_fuins.bat)! Action taken: No Action Taken.

Wed Mar 22 17:27:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Wed Mar 22 17:27:47 2006 => System found infected with family keylogger Commercial KeyLogger

(C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.


Wed Mar 22 17:47:56 2006 => Scanning File C:\download\netpumper\netpumper-1.20.1-setup.exe
Wed Mar 22 17:47:59 2006 => File C:\download\netpumper\netpumper-1.20.1-setup.exe tagged as

"not-a-virus:AdWare.Win32.SaveNow.v". Action Taken: No Action Taken.

Wed Mar 22 19:00:40 2006 => Scanning File C:\Sicherheit\netpumper-1.20-setup.exe
Wed Mar 22 19:00:42 2006 => File C:\Sicherheit\netpumper-1.20-setup.exe tagged as

"not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.

Wed Mar 22 20:39:12 2006 => Scanning File C:\treiber\netpumper-1.10.5-setup.exe
Wed Mar 22 20:39:14 2006 => File C:\treiber\netpumper-1.10.5-setup.exe tagged as

"not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.

Scheint einiges zu sein. Was tun?
Danke im vorraus.

Alt 23.03.2006, 10:40   #9
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hallo,

wahrscheinlich hab ich mich beim installieren von eScan bisschen dumm angestellt, es wäre trotzdem nett, wenn mir jemand sagen könnte, was ich mit den Funden von eScan machen sollte & evtl. auch noch mal gucken könnte, ob das HijackThis log vom Anfang sauber ist (trotz nicht upgedatetem sp2).

Dankeschön & Grüße

Alt 23.03.2006, 10:44   #10
stupormundi
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Servus wieder!

Da liegt/lag keine böse Absicht dahinter, dass niemand (auch ich nicht) bisher geantwortet hat.
Öffne mal das Logfile von escan und Suche nacheinander nach den Begriffen "offending", "tagged" und "Infected" und poste das Ergebnis hier.

Das was man bisher sieht, ist möglicherweise nicht alles!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 23.03.2006, 11:23   #11
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hi,

bin mwav.log nochmal durchgegangen, die angezeigten funde sind tatsächlich alle, unter "scan complete" werden auch nur insg. 11 objekte angezeigt.
Ich habe noch die zwei "scanning folder " Einträge mitgeposted, weil "infected" im text auftauchte, glaube aber, das die jeweils nur quarantäne verzeichnisse von Av o.ä. sind.

Grüße

P.S.: Dankeschön!


Wed Mar 22 17:26:55 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Wed Mar 22 17:26:55 2006 => Loading Spyware Signatures from new External Database (Size: 154040).
Wed Mar 22 17:26:57 2006 => Indexed Spyware Databases Successfully Created...

Wed Mar 22 17:27:13 2006 => System found infected with mybar Spyware/Adware ({0494d0d9-f8e0-41ad-92a3-14154ece70ac})! Action taken: No Action Taken.
Wed Mar 22 17:27:15 2006 => Offending Key found: HKLM\Software\blue haven media !!!
Wed Mar 22 17:27:15 2006 => Object "kazoom Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Mar 22 17:27:15 2006 => Offending Key found: HKCU\Software\kazaa !!!
Wed Mar 22 17:27:15 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.

Wed Mar 22 17:27:18 2006 => Offending file found: C:\DOKUME~1\Ich\LOKALE~1\Temp\cmdlineext02.dll
Wed Mar 22 17:27:18 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Wed Mar 22 17:27:19 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\chessbase\channels.ini
Wed Mar 22 17:27:19 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.

Wed Mar 22 17:27:32 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\temp\cmdlineext02.dll
Wed Mar 22 17:27:32 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Wed Mar 22 17:27:44 2006 => Offending file found: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\tempwm_fuins.bat
Wed Mar 22 17:27:44 2006 => System found infected with statblaster Spyware/Adware (tempwm_fuins.bat)! Action taken: No Action Taken.

Wed Mar 22 17:27:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
Wed Mar 22 17:27:47 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: No Action Taken.

=> Scanning Folder: C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 176c5a6a13c1796237573cc68824cea0f35.zip\iNFECTED\*.*
=> Scanning File C:\Dokumente und Einstellungen\Ich\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für 176c5a6a13c1796237573cc68824cea0f35.zip\iNFECTED\install.txt

Wed Mar 22 17:47:59 2006 => File C:\download\netpumper\netpumper-1.20.1-setup.exe tagged as "not-a-virus:AdWare.Win32.SaveNow.v". Action Taken: No Action Taken.

Wed Mar 22 19:00:42 2006 => File C:\Sicherheit\netpumper-1.20-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action

Wed Mar 22 20:39:14 2006 => File C:\treiber\netpumper-1.10.5-setup.exe tagged as "not-a-virus:AdWare.Win32.Cydoor". Action Taken: No Action Taken.







22 21:17:30 2006 => ***** Scanning complete. *****

Wed Mar 22 21:17:30 2006 => Total Objects Scanned: 129081
Wed Mar 22 21:17:30 2006 => Total Critical Objects: 11
Wed Mar 22 21:17:30 2006 => Total Disinfected Objects: 0
Wed Mar 22 21:17:30 2006 => Total Objects Renamed: 0
Wed Mar 22 21:17:30 2006 => Total Deleted Objects: 0
Wed Mar 22 21:17:30 2006 => Total Errors: 7
Wed Mar 22 21:17:30 2006 => Time Elapsed: 03:50:17
Wed Mar 22 21:17:30 2006 => Virus Database Date: 3/22/2006
Wed Mar 22 21:17:30 2006 => Virus Database Count: 179400

Wed Mar 22 21:17:30 2006 => Scan Completed.

Wed Mar 22 21:29:14 2006 => Virus Database Date: 3/22/2006
Wed Mar 22 21:29:14 2006 => Virus Database Count: 179400
Wed Mar 22 21:29:16 2006 => AV Library Unloaded (3)...


Einige der files habe ich schon gelöscht: die beiden "cmdlineext02.dll"; "channels.ini" ;"tempwm_fuins.bat" ; und die drei "netpumper-1.20.1-setup.exe." -- "ctfmon.exe" hab ich gelassen weil kaspersky online scanner gesagt hat das die datei sauber ist und die keys in der registry hab ich zwar gefunden, aber die Finger von gelassen.

Edit:
Is mir grad noch eingefallen: vielleicht sind die Errors ja wichtig?:


Wed Mar 22 17:26:28 2006 => ERROR!!! Invalid Entry = C:\WINDOWS\System32\fkbdro.dll (in key

Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper

Objects\{98FFF5CC-78AF-49BF-B278-D1526AB87C3F}). No Action Taken.



Wed Mar 22 17:26:41 2006 => ERROR!!! Invalid Entry Patches Value = WinGamed.exe (in key

.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.


Wed Mar 22 17:26:41 2006 => ERROR!!! Invalid Entry Patches Value = WinGamed.exe (in key

.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken.


Wed Mar 22 17:26:44 2006 => ERROR!!! Invalid Entry \??\E:\INSTALL\GMSIPCI.SYS in

SYSTEM\CurrentControlSet\Services\GMSIPCI...


Wed Mar 22 17:26:49 2006 => ERROR!!! Invalid Entry

\SystemRoot\\SystemRoot\System32\DRIVERS\sr.sys in SYSTEM\CurrentControlSet\Services\sr...



Wed Mar 22 17:44:51 2006 => Result: ERROR!!! File C:\download\adaware\aawsepersonal.exe is Not

Scanned


Wed Mar 22 18:25:32 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!

Wed Mar 22 18:25:32 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys


Wed Mar 22 18:42:11 2006 => Result: ERROR!!! File C:\Programme\Lavasoft\Ad-Aware SE

Personal\Skins\Ad-Aware SE default.ask is Not Scanned

Geändert von schabadu (23.03.2006 um 11:45 Uhr)

Alt 23.03.2006, 11:56   #12
stupormundi
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Servus wieder!
Hol Dir folgende Tools: clearprog 1.4.1 final, Spybot S&D(falls Du das noch nicht hast) und regseeker, update Adaware und Spybot.
Wechsle dann in den abgesicherten Modus und lass regseeker laufen und mit reinige mit der Option "clear registry" die error-Meldungen (Achte hier darauf, dass die Rücksicherungsfunktion - Häkchen unten - aktiviert ist)
Lass dann mal auch im abgesicherten Modus adaware und Spybot laufen und entferne, was vorgeschlagen wird.
Anschließend lass dann clearprog-Option "Clear all" laufen.
Jetzt neu starten und unbedingt Windows Updaten - Servicepack2 und Sicherheitsupdates nachholen!
Dir muss klar sein, dass Dein Uraltsystem in Verbindung mit P2P (kazaa) ein Eiertanz ist.
Abschließend neues HJT Logfile (nach Systemaktualisierung) und Ergebnisbericht posten!

stupormundi
__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 23.03.2006, 12:54   #13
schabadu
 
systemauslastung&logfile - Standard

systemauslastung&logfile



Hallo,

Erstmal Danke für die tipps, ich habe die tools im abgesicherten Modus laufen lassen, und regseeker hat eine Menge Einträge (~900) gefunden & gelöscht, ebenso hat clearprog einiges entfernt.
Ad-aware & spybot haben nix gefunden, die lasse ich aber auch jeden Tag updaten & suchen.
Unten ist das aktuelle hijackthis-log angehängt, auf SP2 hab ich allerdings nicht upgegraded, da ich demnächst den Rechner sowieso komplett neu einrichte;
kannst Du trotzdem was zum log sagen oder bringt das nix solange SP2 nicht drauf ist?
Falls das so ist, muß ich halt bis zum Neuinstallation mit dem Risiko leben.
Auf jeden Fall vielen Dank für die Mühe und die Tipps!

Grüße

P.S. Kazaa et cetera nutze ich nicht, kann ich den Key hkcu\\software\kazaa entfernen?



Logfile of HijackThis v1.99.1
Scan saved at 13:46:53, on 23.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\TBPanel.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\wincmd\TOTALCMD.EXE
c:\download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {98FFF5CC-78AF-49BF-B278-D1526AB87C3F} - (no file)
O3 - Toolbar: (no name) - {3B01B67F-EB38-4C5B-AB2E-B0D25C87ED43} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: concept/design's onlineTV - {73542959-6A08-4D44-920C-AA778B5F2581} - C:\Dokumente und Einstellungen\Ich\Desktop\onlineTV.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093710112468
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Antwort

Themen zu systemauslastung&logfile
100%, adobe reader, antivir, avira, bho, browser, desktop, downloader, dsl, excel, firefox, gainward, icqtoolbar, ie explorer, internet, internet explorer, langsam, logfile, malware, malware?, mozilla, mozilla firefox, rundll, security, security center, sehr langsam, server, software, symantec, system, urlsearchhook, vielen dank, windows, windows xp



Ähnliche Themen: systemauslastung&logfile


  1. Systemauslastung: svchost.exe 100 % CPU-Auslastung
    Plagegeister aller Art und deren Bekämpfung - 22.05.2013 (14)
  2. bump.exe - 70-90% Systemauslastung
    Log-Analyse und Auswertung - 29.01.2012 (1)
  3. 70-90% Systemauslastung bump.exe??? bzw. cmd.exe
    Log-Analyse und Auswertung - 21.10.2010 (5)
  4. 100 % systemauslastung und Offlinebetrieb
    Log-Analyse und Auswertung - 05.08.2010 (30)
  5. IE 100% Systemauslastung
    Mülltonne - 03.10.2008 (0)
  6. Internet Explorer 99% systemauslastung
    Log-Analyse und Auswertung - 29.08.2008 (14)
  7. Systemauslastung plötzlich hoch u.a. !
    Log-Analyse und Auswertung - 03.07.2008 (18)
  8. explorer.exe 100% Systemauslastung: Bitte Hilfe bei LogFile Auswertung
    Log-Analyse und Auswertung - 13.03.2008 (5)
  9. Dll Datei 100% Systemauslastung
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  10. hohe systemauslastung
    Mülltonne - 17.08.2007 (0)
  11. Mal wieder 100% Systemauslastung
    Plagegeister aller Art und deren Bekämpfung - 08.06.2007 (31)
  12. HiJackThis Logfile - rundll32.exe --> 100% Systemauslastung
    Log-Analyse und Auswertung - 14.12.2006 (1)
  13. CCproxy.exe - Systemauslastung 99%
    Log-Analyse und Auswertung - 21.04.2006 (2)
  14. Systemauslastung immer 100%
    Alles rund um Windows - 23.10.2005 (1)
  15. Trojaner?? 100% Systemauslastung !!
    Log-Analyse und Auswertung - 25.09.2005 (3)
  16. 100% Systemauslastung HiJackThisLog
    Log-Analyse und Auswertung - 30.12.2004 (8)
  17. avguard und 100%ige Systemauslastung
    Log-Analyse und Auswertung - 19.08.2004 (3)

Zum Thema systemauslastung&logfile - Hallo zusammen, Mein Rechner läuft öfters ohne erkennbaren Grund auf 100% cpu-Leistung und ist dann auch sehr langsam; vielleicht liegts an Malware? Es wäre sehr nett, wenn jemand das logfile - systemauslastung&logfile...
Archiv
Du betrachtest: systemauslastung&logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.