Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Auswertung Log-File weil http://localhost:9100/proxy.pac

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 27.06.2006, 14:18   #1
perki
 
Auswertung Log-File weil http://localhost:9100/proxy.pac - Standard

Auswertung Log-File weil http://localhost:9100/proxy.pac



Arbeite mit Laptop auf Wireless-Lan zu Hause über einen Proxy-Server der Universität (ProxyServer = proxy.unizh.ch:3128). Habe Firewall von Windows XP und AntiVir PersonalEdition Premium (täglihes Update, täglicher Scan), der mir am 24.06.2006 folgendes zeigte.

C:\System Volume Information\_restore{F263DE1C-8683-449F-85B6-5A3BD13B561D}\RP163\A0072209.exe
[FUND] Enthält Signatur der Ad- oder Spyware ADSPY/AdsAlert.A.2

Hab das File sofort in Quarantäne geschoben und gelöscht. Arbeite eigentlich nur mit Firefox, der in den letzten Tagen zunehmend langsamer geworden ist.

Beim genauen Überprüfen der Internetverbindungen erkenne ich, dass im Feld der Box 'Automatisches Konfigurationsscript verwenden' immer

h**p://localhost:9100/proxy.pac

steht und sich nicht löschen lässt. Eine Recerche auf dem Googl hat mich schliesslich in dieses Forum geführt, da ich davon ausgehe, dass dies ein Hinweis für eine Malware ist. Hab zudem den 'Web-Accelerator' von Google daktiviert, weil ich von dem im Zusammenhang mit 'h**p://localhost:9100/proxy.pac' auch gelesen habe.

Habe jetzt auch noch einen System-Fixpunkt gemacht. Beim Durchschauen des Logfile's habe ich den Verdacht, dass folgende Files Malware sind

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Da ich jedoch kein Fachmann bin, wäre ich um Eure Hilfe dankbar.


Logfile of HijackThis v1.99.1
Scan saved at 13:45:21, on 27.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Avvenu\agent.exe
C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\dcu.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\Reminder.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Avvenu\updater.exe
C:\Programme\Avvenu\cachescheduler.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Dorada Software\RSSRadio\RSSRadio.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Daten\Ablage\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [RSSRadio] "C:\Programme\Dorada Software\RSSRadio\RSSRadio_Loader.exe" /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - Startup: DCU.lnk = ?
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: reminder.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvenu.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe with RSSRadio - file://C:\Programme\Dorada Software\RSSRadio\subscribe.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137623353046
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

Geändert von perki (27.06.2006 um 15:03 Uhr)

Alt 27.06.2006, 14:21   #2
felix1
/// Helfer-Team
 
Auswertung Log-File weil http://localhost:9100/proxy.pac - Standard

Auswertung Log-File weil http://localhost:9100/proxy.pac



Bevor Dir hier geholfen werden kann, sollte eine Schilderung des Problemes erfolgen. Siehe dazu die NUB und die 7 Regeln:
http://www.trojaner-board.de/extra/impressum.html#NUB
__________________

__________________

Alt 27.06.2006, 15:28   #3
felix1
/// Helfer-Team
 
Auswertung Log-File weil http://localhost:9100/proxy.pac - Standard

Auswertung Log-File weil http://localhost:9100/proxy.pac



Das Problem
C:\System Volume Information\_restore{F263DE1C-8683-449F-85B6-5A3BD13B561D}\RP163\A0072209.exe
[FUND] Enthält Signatur der Ad- oder Spyware ADSPY/AdsAlert.A.2

lässt sich mit den Ausschalten der Systemwiederherstellung und einem Reboot lösen. Die Systemwiederherstellung kann hinterher wieder eingeschalten werden. (siehe meine Signatur).
Ich gehe mal davonaus, dass Du auf dem PC als Administrator arbeitest? Du kennst auch die Programme, die laufen?
__________________
__________________

Alt 07.03.2007, 18:36   #4
ferdybossy
Gesperrt
 
Auswertung Log-File weil http://localhost:9100/proxy.pac - Standard

Auswertung Log-File weil http://localhost:9100/proxy.pac



[edit]
der spaminator war wieder da

GUA
[/edit]

Alt 07.03.2007, 18:44   #5
hoerni26
 
Auswertung Log-File weil http://localhost:9100/proxy.pac - Standard

Auswertung Log-File weil http://localhost:9100/proxy.pac



Was denn hier los??
Was sollen denn diese unnützen Posts hier?

__________________


Anleitung Neuaufsetzen des Systems

Anleitung Hijackthis

Virusscan Jotti

Fehler sind Menschlich.....

Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm..

Antwort

Themen zu Auswertung Log-File weil http://localhost:9100/proxy.pac
adobe, antivir, appinit_dlls, avira, besitzer, bho, cyberlink, desktop, einstellungen, excel, firefox, google, hijack, hijackthis, internet explorer, logfile, malware, monitor, proxy-server, quara, rundll, scan, security, software, spyware, system, windows, windows xp, wireless-lan



Ähnliche Themen: Auswertung Log-File weil http://localhost:9100/proxy.pac


  1. Samsung Monte will Proxy-Passwort, aber kein Proxy installiert
    Smartphone, Tablet & Handy Security - 16.06.2014 (2)
  2. Firefox leitet eventuell auf Localhost weiter
    Plagegeister aller Art und deren Bekämpfung - 02.06.2014 (9)
  3. Windows 7: Proxy angeblich auf localhost:21320
    Log-Analyse und Auswertung - 04.04.2014 (17)
  4. Trojaner > http://boxtralsurvisv.pl/gis/file.php
    Plagegeister aller Art und deren Bekämpfung - 12.04.2013 (20)
  5. Startfenster - VLC - Taskmanager - wmcfg - localhost
    Plagegeister aller Art und deren Bekämpfung - 11.09.2012 (4)
  6. localhost, 127.0.0.1, stealthy.co
    Log-Analyse und Auswertung - 30.04.2012 (1)
  7. Traffic an localhost abhörbar?
    Überwachung, Datenschutz und Spam - 10.12.2011 (2)
  8. advantastar.us als localhost
    Plagegeister aller Art und deren Bekämpfung - 22.06.2009 (0)
  9. Log-file Auswertung
    Mülltonne - 05.09.2008 (0)
  10. Log-File-Auswertung
    Log-Analyse und Auswertung - 27.01.2008 (4)
  11. Log-File Auswertung
    Mülltonne - 25.09.2007 (1)
  12. Internet explorer startet immer mit http:/// - Bitte um Auswertung des Hijackthis-log
    Log-Analyse und Auswertung - 19.04.2007 (7)
  13. Log-File weil Netzwerk nicht funzt
    Log-Analyse und Auswertung - 14.07.2006 (24)
  14. Bitte um HiJack This auswertung, weil selber nicht gekonnt
    Log-Analyse und Auswertung - 02.04.2006 (7)
  15. HJT Log File -Auswertung Help
    Log-Analyse und Auswertung - 22.01.2006 (7)
  16. Skriptfehler: http://www.richfind.com/news.php + HijackThis log file
    Log-Analyse und Auswertung - 02.12.2004 (20)
  17. Wieder mal http://a-search.biz/ + Mein LOG File
    Log-Analyse und Auswertung - 17.11.2004 (15)

Zum Thema Auswertung Log-File weil http://localhost:9100/proxy.pac - Arbeite mit Laptop auf Wireless-Lan zu Hause über einen Proxy-Server der Universität (ProxyServer = proxy.unizh.ch:3128). Habe Firewall von Windows XP und AntiVir PersonalEdition Premium (täglihes Update, täglicher Scan), der mir - Auswertung Log-File weil http://localhost:9100/proxy.pac...
Archiv
Du betrachtest: Auswertung Log-File weil http://localhost:9100/proxy.pac auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.