Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Fehlalarm oder nicht?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.04.2006, 01:12   #1
lunix
 
Fehlalarm oder nicht? - Frage

Fehlalarm oder nicht?



Ich habe gerade ein schlafloses langes WE hinter mir.
Jedenfalls habe ich eigentlich nach menschlichem Ermessen alle Vorsichtsmaßnahmen gegen Schädlingsbefall getroffen, aber meine Gutmütigkeit hat mich nun doch wohl ausgetrixt. Wie schon öfters, wollte ich wieder eine Phishing-Mail an CastleCops weiterleiten, allein das copy&paste hat wohl schon zur Infektion gereicht.
Jedenfalls rödelt die HDD jetzt ständig vor sich hin. Es riecht förmlich nach Trojaner.

Allerdings finden folgende Programme nix verdächtiges:
Spybot S&D,
Kasperski Online Scan,
Symantec Online Scan,
Antivir 7 PE classic,
Ad-Aware SE personal

Allerdings findet Spyware Doctor 51 Infekte, davon 9 schwere.

selbst HiJack sagt nur eventuell+vielleicht:

Logfile of HijackThis v1.99.1
Scan saved at 21:54:15, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Atievxx.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\SPYWAR~1\swdoctor.exe
C:\Dokumente und Einstellungen\gm\Eigene Dateien\Downloads\Proggies\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.ebay.de/ws/eBayISAPI.dll?MyeBay&ssPageName=h%3Ah%3Amebay%3ADE
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.med.uni-magdeburg.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://atlas-proxy.imed.uni-magdeburg.de:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {55F2FE00-C6E1-11D4-84BC-009027889212} - http://www.seagate.com/support/disc/asp/dw/English/bin/npdscwiz.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121789768889
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF146496-7143-4025-8073-B306C40DF061}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Meiner Meinung nach alles im grünen Bereich, GMX Clicktionary ist ein Englisch Wörterbuch.

Hier das Logfile vom Spyware Doctor:

Name der Infizierung Standort Risiko
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@adknowledge[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@as1.falkag[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@maz[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@oneforall-int[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@promarkt.122.2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@46343922[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@xiti[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@70444867[1].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@com[2].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@infospace[1].txt Niedrig
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@ad.zanox[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@ccbill[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@ad.yieldmanager[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@15816569[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@pcworld.pricegrabber[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@burstnet[2].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@hit.gemius[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@stat.dealtime[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@ads.pointroll[1].txt Niedrig
Common Components for Claria C:\Dokumente und Einstellungen\gm\Cookies\gm@belnk[1].txt Erh?/td>
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@pricegrabber[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@indextools[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@forum[3].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@yadro[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@tribalfusion[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@cnn.122.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@vr-networld[1].txt Mittel
2nd-thought.com C:\Dokumente und Einstellungen\gm\Cookies\gm@as-eu.falkag[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@xmts[2].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@germanfriendfinder[1].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@atwola[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@m.webtrends[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@de[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@dealtime[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@microsofteup.112.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@adtech[2].txt Niedrig
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@acronis.122.2o7[1].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@redcoon[2].txt Mittel
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@interland.122.2o7[1].txt Mittel
Common Components for Claria C:\Dokumente und Einstellungen\gm\Cookies\gm@dist.belnk[1].txt Erh?/td>
Tracking Cookie(s) C:\Dokumente und Einstellungen\gm\Cookies\gm@hasenet.122.2o7[1].txt Mittel
Advertising C:\Dokumente und Einstellungen\gm\Cookies\gm@casalemedia[1].txt Niedrig
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}## Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore## Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Type Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Count Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Time Hoch
ISTbar HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959}\iexplore##Blocked Hoch


Vor allem stören 8 Registry Einträge mit dem ISTbar Trojan downloader
sowie 2nd-thought.com

Ich denke mal, das ist Ernst, aber was meint Ihr?

Oder werden hier nur die Pferde scheu gemacht, damit man noch ein weiteres Proggy kauft?

Alt 18.04.2006, 01:17   #2
BataAlexander
> MalwareDB
 
Fehlalarm oder nicht? - Standard

Fehlalarm oder nicht?



Hallo,

aber ein Thread reicht oder?

Hier hin.

Gruß

Schrulli
__________________

__________________

Alt 18.04.2006, 07:21   #3
lunix
 
Fehlalarm oder nicht? - Standard

Fehlalarm oder nicht?



Zitat:
Zitat von Schrulli
Hallo,

aber ein Thread reicht oder?

Hier hin.

Gruß

Schrulli

Danke, Du bist eine echte Hilfe!:aplaus:
Ich hatte nur einmal gepostet, keine Ahnung, wieso das zweimal erscheint.
Garantiert war das keine Absicht.
Aber ein Mod könnte ja die Doublette löschen...
__________________

Alt 19.04.2006, 01:21   #4
lunix
 
Fehlalarm oder nicht? - Icon17

Fehlalarm oder nicht?



Der aktuelle Stand:

Ich habe das Symantec removal tool für den ISTbar Trojan downloader laufen lassen, das hat 6 Stunden rumgerödelt u. dann den Scan abgeschlossen, ohne mir zu verraten, ob der gefunden wurde oder nicht.

Allerdings zeigt der Spyware Doc unverdrossen noch diese u. die andere Bedrohung an.

Womit ich wieder am Augangspunkt meiner obigen Frage wäre...

Alt 19.04.2006, 01:57   #5
Markus1234
 
Fehlalarm oder nicht? - Standard

Fehlalarm oder nicht?



Lösche die IstBar einträge manuel aus der Registrierung.
Dazu öffnest du über Start->Ausführen->Regedit den Registrierungseditor und suchst dir die genannten Verzeichnisse raus und löschst sie.

Danach scannst du dein System mit Blacklight

In deinem HJT Logfile finde ich nichts auffälliges, was nicht heißt, dass nichts drin ist. Die Blacklight Logfile (die nach dem Scan im selben Ordner ist wie Blacklight) wird vielleicht weiter Aufschluss geben.

mfg,
Markus


Alt 19.04.2006, 08:26   #6
lunix
 
Fehlalarm oder nicht? - Standard

Fehlalarm oder nicht?



Danke, das werde ich heute abend mal erledigen.
Jetzt bin ich gerade arbeiten.

Alt 23.04.2006, 21:21   #7
lunix
 
Fehlalarm oder nicht? - Standard

Fehlalarm oder nicht?



Zitat:
Zitat von Markus1234
Lösche die IstBar einträge manuel aus der Registrierung.
Dazu öffnest du über Start->Ausführen->Regedit den Registrierungseditor und suchst dir die genannten Verzeichnisse raus und löschst sie.

Danach scannst du dein System mit Blacklight

In deinem HJT Logfile finde ich nichts auffälliges, was nicht heißt, dass nichts drin ist. Die Blacklight Logfile (die nach dem Scan im selben Ordner ist wie Blacklight) wird vielleicht weiter Aufschluss geben.

mfg,
Markus
Auch das Schwarzlicht meinte, alles clean.

Die vom Spydoc monierten Registry-Einträge konnte ich trotz intensiver Suche nicht finden.

Antwort

Themen zu Fehlalarm oder nicht?
ad.yieldmanager, adobe, antivirus, antivirus scan, avg, bho, browser, components, downloader, dsl, einstellungen, explorer, fehlalarm, hijack, hijackthis, index, internet, internet explorer, microsoft, monitor, object, outlook express, pc tools spyware doctor, phishing-mail, programme, registry, scan, software, spyware, standort, system, trojan downloader, träge, tuneup utilities, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: Fehlalarm oder nicht?


  1. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (3)
  2. Fehlalarm, oder nicht/Virenscanner/Wie das herausfinden?
    Antiviren-, Firewall- und andere Schutzprogramme - 03.03.2015 (12)
  3. AVG Meldet Trojaner BackDoor Generic_c. Fehlalarm oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2015 (3)
  4. Windows 7: Avast erkennt Win32:Evo-gen im Steam Ordner - Fehlalarm oder nicht?
    Log-Analyse und Auswertung - 13.01.2014 (7)
  5. Whistler A im MBR, oder Fehlalarm von NOD 32 ?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  6. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (25)
  7. BKA-Trojaner oder nur Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (0)
  8. virtumonde.dll Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2009 (9)
  9. Fehlalarm oder echt
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (1)
  10. Trojaner oder Fehlalarm? :O
    Log-Analyse und Auswertung - 11.02.2009 (2)
  11. Fehlalarm oder virus
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (8)
  12. IE7 vs Ebay oder Fehlalarm?
    Alles rund um Windows - 16.06.2008 (1)
  13. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (1)
  14. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (12)
  15. Problem oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2007 (8)
  16. Fehlalarm oder nicht?
    Mülltonne - 18.04.2006 (0)
  17. Trojaner, oder Fehlalarm ?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (4)

Zum Thema Fehlalarm oder nicht? - Ich habe gerade ein schlafloses langes WE hinter mir. Jedenfalls habe ich eigentlich nach menschlichem Ermessen alle Vorsichtsmaßnahmen gegen Schädlingsbefall getroffen, aber meine Gutmütigkeit hat mich nun doch wohl ausgetrixt. - Fehlalarm oder nicht?...
Archiv
Du betrachtest: Fehlalarm oder nicht? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.