Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Logfile W32.Myzor.FK@yf

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.07.2006, 13:50   #1
Henrik
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Hallo,

hab den Virus seit gestern drauf, dachte eigentlich ihn entfernt zu haben... dem war aber anscheinend nicht so...

Ich hoffe ihr könnt mir weiterhelfen...

Logfile of HijackThis v1.99.1
Scan saved at 13:50:54, on 15.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
K:\Norton Ghost 2003\GhostStartService.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Windows\system32\sndserv.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "K:\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://K:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d9dea923c04b3b1226c96c70f6618d18_35.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3695BC2-6CE0-4188-8543-A4BA7971C99B}: NameServer = 192.168.178.1
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: GhostStartService - Symantec Corporation - K:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Windows Sound (Sound Service) - Unknown owner - C:\Windows\system32\sndserv.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

mfg Henrik

Alt 15.07.2006, 14:17   #2
Henrik
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Hi,

hab mal dieses SmitfraudFix durchlaufen lassen im abgesicherten Modus...

SmitFraudFix v2.70

Scan done at 14:10:46,09, 15.07.2006
Run from L:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"cinnamomum"="{93ac7c30-3878-4eaa-9420-7977285df5b1}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\pmnqguh.dll ->
C:\WINDOWS\system32\pmnqguh.dll -> Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ishost.exe Deleted
C:\WINDOWS\system32\ismon.exe Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\issearch.exe Deleted
C:\WINDOWS\system32\ixt?.dll Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\DOKUME~1\Felgner\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

... hat genau die Files gelöscht, die m.E. die Probleme gemacht haben, die ich aber nicht löschen konnte...

Scheint als ob alles wiedere in Ordnung ist...

mfg Henrik
__________________


Alt 15.07.2006, 15:11   #3
BataAlexander
> MalwareDB
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Hallo,

scanne die Datei

C:\WINDOWS\system32\nvsvcd.exe

online bei http://www.virustotal.com
und poste das Ergebnis hier, sollte dieser sein, was Backup einspielen oder Neuaufsetzen bedeutet.
Du hast Ghost auf dem Rechner, wieso spielst Du kein Backup ein?

Gruß

Schrulli
__________________
__________________

Geändert von Schrulli (15.07.2006 um 15:22 Uhr)

Alt 15.07.2006, 15:23   #4
cronos
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Muß nicht gegengeprüft werden, handelt sich eindeutig um folgenden:

Backdoor-XTC

Da es sich um eine Backdoor handelt, ist das System als kompromittiert anzusehen

-->Neuaufsetzen und vor der ersten Internetverbindung vernünftig absichern (s.Link).
__________________
Only cronos endures

Alt 15.07.2006, 15:57   #5
Henrik
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Zitat:
Zitat von Schrulli
Hallo,

scanne die Datei

C:\WINDOWS\system32\nvsvcd.exe

online bei http://www.virustotal.com
und poste das Ergebnis hier, sollte dieser sein, was Backup einspielen oder Neuaufsetzen bedeutet.
Du hast Ghost auf dem Rechner, wieso spielst Du kein Backup ein?

Gruß

Schrulli
Dieser Prozess geht von den VGA-Treibern von Nvidia aus... der ist schon immer da und der ist auch auf allen andern PCs zu finden, nichts beunruhigendes... trotzdem danke! Achja, zum Ghostimage... ist schon zu alt, da kann ich auch richtig formatieren

Zitat:
Zitat von cronos
Muß nicht gegengeprüft werden, handelt sich eindeutig um folgenden:

Backdoor-XTC

Da es sich um eine Backdoor handelt, ist das System als kompromittiert anzusehen

-->Neuaufsetzen und vor der ersten Internetverbindung vernünftig absichern (s.Link).
Naja, im Moment hab ich keinerlei Probleme... hab zwar noch keinen Neustart gemacht, aber bevor hier nicht alles zerstört ist, werde ich das schön lassen
Mal schaun, wie es sich entwickelt...

mfg Henrik


Alt 15.07.2006, 16:02   #6
cronos
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



nvsvc32.exe gehört sicherlich zu NVidia.

nvsvcd.exe aber nicht.

Daher kann ich dir nur raten, was ich vorher geraten habe und dir zusätzlich nochmal die geposteten Links zu Gemüte führen.
__________________
--> Logfile W32.Myzor.FK@yf

Geändert von cronos (15.07.2006 um 16:20 Uhr)

Alt 15.07.2006, 16:20   #7
BataAlexander
> MalwareDB
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Hallo,

Zitat:
Naja, im Moment hab ich keinerlei Probleme... hab zwar noch keinen Neustart gemacht, aber bevor hier nicht alles zerstört ist, werde ich das schön lassen
Mal schaun, wie es sich entwickelt...
wenn Du Pech hast merkst Du es nie und irgendwann wird Dein Rechner von der Polizei abgeholt, weil er z.B. bei einer DOS Attacke beteiligt war oder verbotene Inhalte auf dem Rechner gelagert wurden.
Berfolge den Rat des Neuaufsetzens, diese Anleitung hilft Dir dabei, wie schon von cronos gepostet.
Wenn Du Ghost eh nicht verwendest, dann kannst Du es auch deinstallieren

Gruß

Schrulli
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 20.07.2006, 16:57   #8
Henrik
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Hi,

nachdem nun doch ein paar Probleme aufgetaucht sind (in Form von Popups und Verschiedenenmeldungen im Internet Explorer, die mich auf eine WinAntiVir Seite brachten), habe ich mich entschlossen C:\ platt zu machen und WinXP neu draufzuspielen...

Bis dahin ok, hab auch gerade wieder alles fertig (Treiber, Programme etc.) da kommt diese Meldungs erneut im IE... das ist frustrierend... vorallendingen wird mein Computer dadurch so langsam, dass eigentlich nur ein Neustart hilft...

hab noch mal ein logfile gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:03, on 20.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
K:\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
K:\AD-AWA~1\Ad-Aware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - K:\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "K:\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /S
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://K:\MICROS~1\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E95EC7F-6169-4E91-A749-EA955E7DE80A}: NameServer = 192.168.178.1
O23 - Service: GhostStartService - Symantec Corporation - K:\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hoffe ihr könnt mir weiterhelfen..

mfg Henrik

Alt 20.07.2006, 17:02   #9
Sunny
Administrator
> Competence Manager
 

Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



@Henrik,

Zitat:
habe ich mich entschlossen C:\ platt zu machen und WinXP neu draufzuspielen...
Wie hast du das denn gemacht? Einfach nur Windows "drüber-gebügelt"? Oder richtig gemacht mit Partition löschen usw?

Wenn du es nur drüber-gebügelt hast, kannst du gleich nochmal von vorne anfangen es sind zwar keine Einträge im Logfile zu erkennen, ist die Gefahr doch sehr groß das noch etwas übrig geblieben war

Gruß
Daniel
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 20.07.2006, 19:01   #10
Henrik
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Nene, hab schon richtig platt gemacht, also komplett gelöscht die Partition...

Hab allerdings insgesamt 9 Partitionen, meint ihr da kann auf den anderen auch noch irgendetwas draufsein?

Allerdings ist ja etwas da und dieses etwas stört ganz gewaltig... ich frag mich nur, was das sein könnte...

mfg Henrik

Alt 16.07.2007, 19:17   #11
malaria
 
Logfile W32.Myzor.FK@yf - Standard

Logfile W32.Myzor.FK@yf



Wieso gleich die Festplatte platt machen?
Mit Spybot Search&Destroy hättest du dir die Arbeit sparen können (kann man übrigens kostenfrei runterladen)..Kaspersky´s IS7 geht übrigens auch. Ich hab beides. Überhaupt nicht zu empfehlen ist AntiVir.

Alt 16.07.2007, 19:25   #12
mmk
 
Logfile W32.Myzor.FK@yf - Ausrufezeichen

Logfile W32.Myzor.FK@yf



Mal abgesehen davon, dass du da gleich einen alten Thread ausgegraben hast, ist diese Auskunft ist im Prinzip falsch. Zumal: "Damals" gab es noch gar kein KIS7. Man sollte vielleicht schlauer Weise auf's Datum schauen, bevor man anfängt zu posten.
__________________
Grüße, Markus

Antwort

Themen zu Logfile W32.Myzor.FK@yf
dateien, excel, explorer, google, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, nvidia, programme, rundll, software, sound, symantec, system, system32, virus, w32.myzor.fk@yf, windows, windows media player, windows xp



Ähnliche Themen: Logfile W32.Myzor.FK@yf


  1. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 22.05.2008 (1)
  2. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 14.03.2008 (4)
  3. W32.Myzor.FK@yf Trojaner
    Log-Analyse und Auswertung - 02.03.2008 (1)
  4. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 21.02.2008 (1)
  5. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 16.01.2008 (10)
  6. w32.myzor.fk@yf
    Plagegeister aller Art und deren Bekämpfung - 14.11.2007 (1)
  7. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 24.10.2007 (6)
  8. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 23.09.2007 (14)
  9. W32.Myzor.FK@YF
    Log-Analyse und Auswertung - 03.09.2007 (1)
  10. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 23.08.2007 (4)
  11. W32.Myzor.FK@yf
    Log-Analyse und Auswertung - 19.08.2007 (17)
  12. Virus W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 22.04.2007 (6)
  13. w32.MYZOR.fk
    Log-Analyse und Auswertung - 30.01.2007 (7)
  14. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 12.11.2006 (1)
  15. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 27.10.2006 (1)
  16. W32.Myzor.FK@yf
    Plagegeister aller Art und deren Bekämpfung - 04.10.2006 (21)
  17. logfile zum W32.Myzor.FK@yt - Trojaner weg??
    Log-Analyse und Auswertung - 24.07.2006 (9)

Zum Thema Logfile W32.Myzor.FK@yf - Hallo, hab den Virus seit gestern drauf, dachte eigentlich ihn entfernt zu haben... dem war aber anscheinend nicht so... Ich hoffe ihr könnt mir weiterhelfen... Logfile of HijackThis v1.99.1 Scan - Logfile W32.Myzor.FK@yf...
Archiv
Du betrachtest: Logfile W32.Myzor.FK@yf auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.