Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Was bedeutet der Eintrag unter "O 20" ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.04.2006, 17:24   #1
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Guten Tag,

hier mein Log !

Was für eine Bedeutung hat der Eintrag unter "O 20" und "O 2"

Seit dem Besuch der Seite "globalsecurity.com" ist bei mir der Eintrag vorhanden.

Vielen Dank für einen Rat.

Wolf

Logfile of HijackThis v1.99.1
Scan saved at 18:18:56, on 21.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} - C:\WINNT\system32\ddccd.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 21.04.2006, 22:36   #2
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Nach einigem Suchen habe ich die Lösung gefunden.

Hier die Dokumentation dazu :


[04/21/2006, 23:27:47] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Schink1\Desktop\VirtumundoBeGone.exe" )
[04/21/2006, 23:28:05] - Detected System Information:
[04/21/2006, 23:28:05] - Windows Version: 5.0.2195, Service Pack 4
[04/21/2006, 23:28:05] - Current Username: Wolfgang (Admin)
[04/21/2006, 23:28:05] - Windows is in SAFE mode with Networking.
[04/21/2006, 23:28:05] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} ()
[04/21/2006, 23:28:05] - WARNING: BHO has no default name. Checking for Winlogon reference.
[04/21/2006, 23:28:05] - Checking for HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:05] - Found: HKLM\...\Winlogon\Notify\ddccd - This is probably Virtumundo.
[04/21/2006, 23:28:05] - Assigning {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} MSEvents Object
[04/21/2006, 23:28:05] - BHO list has been changed! Starting over...
[04/21/2006, 23:28:05] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:05] - BHO 2: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F} (MSEvents Object)
[04/21/2006, 23:28:05] - ALERT: Found MSEvents Object!
[04/21/2006, 23:28:05] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:05] - *** Detected MSEvents Object
[04/21/2006, 23:28:05] - Trying to remove MSEvents Object...
[04/21/2006, 23:28:06] - Terminating Process: IEXPLORE.EXE
[04/21/2006, 23:28:06] - Terminating Process: RUNDLL32.EXE
[04/21/2006, 23:28:06] - Disabling Automatic Shell Restart
[04/21/2006, 23:28:06] - Terminating Process: EXPLORER.EXE
[04/21/2006, 23:28:06] - Suspending the NT Session Manager System Service
[04/21/2006, 23:28:06] - Terminating Windows NT Logon/Logoff Manager
[04/21/2006, 23:28:06] - Re-enabling Automatic Shell Restart
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!
[04/21/2006, 23:28:06] - Removing HKLM\...\Browser Helper Objects\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Removing HKCR\CLSID\{E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Adding Kill Bit for ActiveX for GUID: {E8DEC8EA-8D80-4ec6-AF6B-190A765F1D2F}
[04/21/2006, 23:28:06] - Deleting ATLEvents/MSEvents Registry entries
[04/21/2006, 23:28:06] - Removing HKLM\...\Winlogon\Notify\ddccd
[04/21/2006, 23:28:06] - Searching for Browser Helper Objects:
[04/21/2006, 23:28:06] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[04/21/2006, 23:28:06] - Finished Searching Browser Helper Objects
[04/21/2006, 23:28:06] - Finishing up...
[04/21/2006, 23:28:06] - A restart is needed.
[04/21/2006, 23:28:25] - Attempting to Restart via STOP error (Blue Screen!)

Kann ich davon ausgehen, daß der Rechner nun "sauber" ist ?

Viele Grüsse
Wolf
__________________

__________________

Alt 21.04.2006, 22:57   #3
rotaran
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Sauber ? Gute Frage... laut dem Log File hats Du ein Backdoor Trojaner auf deinem System. Allerdings kenn ich das Programm nicht was Du da zum reinigen verwendest hast...

Poste doch mal ein neues Log File.

Bin kein Profi... Also lieber warten was die andern "Chraks" dazu sagen.
__________________

Alt 21.04.2006, 23:20   #4
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hier ist das hjt-log nach dem hoffentlich erfolgreichen "Bereinigen" :

Logfile of HijackThis v1.99.1
Scan saved at 00:16:17, on 22.04.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Schink1\Eigene Dateien\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKCU\..\Run: [Registry Optimierer] C:\Programme\Registry Optimierer\RegOptimierer.exe /d
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Möglicherweise ist ja noch was versteckt an Malware
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 21.04.2006, 23:39   #5
Shes nubs
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hi wolfi,

lade dir auf jeden Fall AV PE herunter. Deinem Log zufolge hast du kein Antivirenprogramm...na dann wird's 'mal Zeit!! Da solltest du dann sehen, ob sich noch Malware auf einem PC versteckt. Oder lade dir Ad-Aware Se Personal herunter <----- ein ziemlich gutes Prog.


Ich bin eigentlich gegen das Downloaden von vielen Programmen, aber ein AV-Scanner ist unerlässlich.

An deinem neuen! Log konnte ich auf jeden Fall nichts merkwürdiges feststellen.
Ich denke, da hast du dir selbst geholfen....gute Arbeit.


Alt 22.04.2006, 00:08   #6
dartus
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



@rotaran,

wo siehst Du da einen Backdoor?
Wenn Du Dir nicht sicher bist, lass es mit Deinen Kommentaren!

@wolfi,

hast Du bereits mit HijackThis Einträge gefixt?
Mit Ausnahme dieser Einträge, die gefixt werden können, sieht Dein Logfile sauber aus:
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = about:blank
re\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = -

dartus
__________________
--> Was bedeutet der Eintrag unter "O 20" ?

Alt 22.04.2006, 00:38   #7
rotaran
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



@ dartus

Oki doki ........

Alt 22.04.2006, 16:08   #8
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Guten Tag,

ich bitte um einen Rat:

Der bei mir vorgefundene Trojaner wurde von "Dr.Web" beim Jottis Malwarescan als "Trojan.Virtumond" gefunden.

Was hätte er auf meinem Rechner "gemacht", wenn er nicht gelöscht worden wäre ?

Gibt es zu ihm weitere Infos ?

Viele Grüsse
Wolf
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 22.04.2006, 16:53   #9
Wildone
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hallo,
soweit mir bekannt ist spielt vundo.b (alias Virtumond) lediglich Popups ein. Du hast ihn ja schon mit der richtigen Methode entfernt, das sollte es dann eigentlich auch schon gewesen sein.


Grüße Wildone

Alt 22.04.2006, 17:19   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



@wolfi:
Zitat:
O20 - Winlogon Notify: ddccd - C:\WINNT\SYSTEM32\ddccd.dll
Ist die Datei ddccd.dll noch vorhanden?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 22.04.2006, 17:27   #11
Wildone
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hallo,
*hüstel*
Zitat:
[04/21/2006, 23:28:06] - File to disable: C:\WINNT\system32\ddccd.dll
[04/21/2006, 23:28:06] - Renaming C:\WINNT\system32\ddccd.dll -> C:\WINNT\system32\ddccd.dll.vir
[04/21/2006, 23:28:06] - File successfully renamed!

Grüße Wildone

Alt 22.04.2006, 17:44   #12
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Sie ist nicht mehr da.

Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec u.a. Dateien gelöscht und Dateien verändert sowie die
Systemleistung herabgesetzt.

Vermutlich ist dieser "Schaden" auch nach dem Entfernen des Trojaner noch
da.

Ich habe den Eindruck, daß der Rechner hier ein wenig "lahmer" geworden ist.

Wie kann ich denn das wieder verändern ?

Gibts dazu Erfahrungen ?

Viele Grüsse
Wolf
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 22.04.2006, 17:50   #13
Wildone
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hallo,
Zitat:
Aber noch eine Frage: Der Trojaner hat nach den Angaben von
Symantec
Link?
Meiner Erfahrung nach ist mit der Entfernung der betreffenden Datei und der Registryeinträge die Sache gegessen. Habe auch noch nichts von einer Verlangsamung des Systems danach gehört.


Grüße Wildone

Alt 22.04.2006, 21:02   #14
wolfi
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hier ist der Hinweis von Symantec (siehe unter "Schaden"):

http:http://www.symantec.com/region/de/te...n.vundo.b.html
__________________
Von mir bereut:
http://www.vermessung-schink.de

Alt 22.04.2006, 22:33   #15
Wildone
 
Was bedeutet der Eintrag unter "O 20" ? - Standard

Was bedeutet der Eintrag unter "O 20" ?



Hallo,
du weißt aber schon das n/a wahrscheinlich not available heißen soll, also es liegen keine Informationen vor das er soetwas macht. Also das einzige was über den Schaden gesagt wird ist:
Zitat:
Funktion: Zeigt Popup-Werbung auf dem angegriffenen Computer an.
Und das ist auch das einzige was mir als "Schaden" bekannt ist.


Grüße Wildone

Antwort

Themen zu Was bedeutet der Eintrag unter "O 20" ?
acrobat, adobe, bho, bla, dateien, dll, driver, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, log, mein log, microsoft, nvidia, programme, registry, rundll, seite, software, start, system, system32, windows



Ähnliche Themen: Was bedeutet der Eintrag unter "O 20" ?


  1. Fehlerhinweis "Ungültiges Bild" unter WINDOWS 7: "C:\PROGRA~2\SEARCH~2\SEARCH~1\bin\VC32LO~1.DLL" +
    Log-Analyse und Auswertung - 19.04.2015 (9)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Unbekannter Eintrag unter "Dienste"
    Plagegeister aller Art und deren Bekämpfung - 13.02.2014 (3)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. dxdiag: Grafiktreiber-Eintrag "Driver Date" fehlt komplett!
    Netzwerk und Hardware - 01.11.2013 (5)
  6. Infektion "Internet Security Pro"/ "wmdefender.exe" unter Vista; Keine Erkennung mit MBAM
    Log-Analyse und Auswertung - 22.08.2013 (19)
  7. "Redirect-Virus" unter Windows 8 / "document has moved redirecting..."
    Plagegeister aller Art und deren Bekämpfung - 23.01.2013 (11)
  8. Das "Folgender Eintrag fehlt: FQ10" Problem
    Plagegeister aller Art und deren Bekämpfung - 13.10.2012 (1)
  9. seltsamer Registry-Eintrag "S3r521"
    Plagegeister aller Art und deren Bekämpfung - 07.05.2009 (5)
  10. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  11. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  12. Kann HJT-Eintrag nicht fixen - "Security Toolbar 7.1"
    Log-Analyse und Auswertung - 24.10.2007 (22)
  13. "Twain-Log" / Was bedeutet es ?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2005 (1)
  14. Was bedeutet "routed" ?
    Antiviren-, Firewall- und andere Schutzprogramme - 05.07.2005 (0)
  15. was bedeutet die Zahl hinter "www"?
    Plagegeister aller Art und deren Bekämpfung - 29.06.2005 (25)
  16. Nochmals- was bedeutet der Link "Resultate"?
    Log-Analyse und Auswertung - 02.02.2005 (2)
  17. 1 trojaner gelöscht, 1 "böser" eintrag noch da ...
    Log-Analyse und Auswertung - 08.12.2004 (13)

Zum Thema Was bedeutet der Eintrag unter "O 20" ? - Guten Tag, hier mein Log ! Was für eine Bedeutung hat der Eintrag unter "O 20" und "O 2" Seit dem Besuch der Seite "globalsecurity.com" ist bei mir der Eintrag - Was bedeutet der Eintrag unter "O 20" ?...
Archiv
Du betrachtest: Was bedeutet der Eintrag unter "O 20" ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.