Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich glaub ich habn Prob <.<

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2006, 13:11   #1
2sic
 
Ich glaub ich habn Prob <.< - Unglücklich

Ich glaub ich habn Prob <.<



Hallo erstmal alle zusammen!
Kürzlich war ich bei einer Freundin da sie diesen sober worm draufhatte, der sich aktivierte sobald man ins Internet geht und den PC dann runterfuhr. Als ich den beheben wollte (gab da mal son Patch) fiel mir auf, dass sie ziemlich viele Viren aufm PC hat -> also formatieren wir ihren. Vorher habe ich aber nen HijackThis Log erstellt und mir den an meine eMail geschickt. Jetzt läuft bei mir ein Task der vorher nie lief, "csrss.exe" und auch "smss.exe", diese liefen auch bei meiner Bekannten!
Durch Google hab ich erfahren, dass es sich nicht um einen Virus o.ä. handelt, solang die Datei im system32 Ordner ist - ist sie bei mir. Nur vorher hatte ich die nie im Taskmanager? Naja hier mein HiJackThis - könnt ihr mir helfen?
Logfile of HijackThis v1.99.1
Scan saved at 13:03:24, on 16.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Office keyboard utility\1.4\nhksrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\sfmgr\sfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Fraps\fraps.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Download\Mozilla\mozilla\mozilla.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WBSrv - C:\Programme\Stardock\Object Desktop\Windowblinds\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Office keyboard utility\1.4\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\sfmgr\sfmgr.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

Alt 17.11.2006, 09:13   #2
ApexX
 
Ich glaub ich habn Prob <.< - Standard

Ich glaub ich habn Prob <.<



Die csrss / csrss.exe (Client Server Runtime Process) gehört zu Windows.
Aber es gibt einen Virus namens W32.NIMDA.E@mm der sich als Varibale in die Datei reinkopiert. Hast du sie schonmal mit einen Virenscanner überprüfen lassen?
smss.exe - Session Manager Subsystem und ist eine Systemdatei.

Aber ansonsten müssten diese beiden Anwendungen komplett ungefährlich sein.
Dein HijackThis Log habe ich jetzt nicht so genau durchgeschaut. Aber das was ich gesehen habe sah recht verdächtig aus.
Wenn es niemand anders macht, schreibe ich heute Abend mal was mir aufgefallen ist
__________________


Alt 17.11.2006, 16:15   #3
nochdigger
 
Ich glaub ich habn Prob <.< - Standard

Ich glaub ich habn Prob <.<



mOIn auch

@Ápêx meinst du zufällig diesen Eintrag im Log
O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)?

Dieser Eintrag stammt von einem Backdoortrojaner der in dem System aktiv war (Haxdoor), was für den TO bedeutet er sollte dieser Anleitung folgen.

MFG
__________________

Alt 17.11.2006, 16:41   #4
2sic
 
Ich glaub ich habn Prob <.< - Standard

Ich glaub ich habn Prob <.<



Würde es nicht reichen die xptptt.dll einfach zu löschen?

Edit: Ist eh nimmer da. Ist die Haxdoor denn noch aktiv bzw gefährlich?

Alt 17.11.2006, 17:09   #5
nochdigger
 
Ich glaub ich habn Prob <.< - Standard

Ich glaub ich habn Prob <.<



mOIn

niemand wirklich niemand kann dir mit 100% Sicherheit sagen, ob nicht eine Backdoor eingerichtet und Daten auf deinem Rechner verändert wurden.

Wenn du damit leben kannst, dass evtl. jemand auf deinem Rechner unterwegs war und was auch immer damit angestellt hat ist es OK, wie gesagt es ist deine Entscheidung.
Meine Empfelung hast gelesen und heißt Neuinstallation

MFG


Alt 17.11.2006, 18:09   #6
2sic
 
Ich glaub ich habn Prob <.< - Standard

Ich glaub ich habn Prob <.<



lol ok danke ^^

Antwort

Themen zu Ich glaub ich habn Prob <.<
1.exe, adobe, antivir, avira, bho, desktop, drivers, email, excel, explorer, google, handel, hijack, hijackthis, hijackthis log, internet, internet explorer, mozilla, nvidia, object, rundll, software, system, taskmanager, temp, viele viren, viren, virus, windows, windows xp



Ähnliche Themen: Ich glaub ich habn Prob <.<


  1. Ich glaub ich hab nen Virus
    Plagegeister aller Art und deren Bekämpfung - 28.10.2013 (11)
  2. Ick glaub en virus
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (9)
  3. Ich glaub ich hab DOPPELT
    Mülltonne - 22.07.2011 (2)
  4. Ich glaub ich hab nen Virus!
    Plagegeister aller Art und deren Bekämpfung - 10.05.2011 (23)
  5. Virus glaub
    Log-Analyse und Auswertung - 27.02.2010 (0)
  6. Ich glaub ich hab mir was eingefangen
    Log-Analyse und Auswertung - 26.11.2008 (0)
  7. Glaub hab 'n Zombie-Pc
    Plagegeister aller Art und deren Bekämpfung - 23.10.2007 (1)
  8. glaub ich hab nen nen problem - glaub worm/VB.DZ.1.....
    Log-Analyse und Auswertung - 20.04.2006 (2)
  9. smitefraud-c. ..glaub ich
    Log-Analyse und Auswertung - 08.04.2006 (2)
  10. new dot net, glaub ich und wie geht das weg?
    Log-Analyse und Auswertung - 31.03.2006 (16)
  11. Ich glaub ich bin infiziert xD!!
    Log-Analyse und Auswertung - 21.01.2006 (5)
  12. Ich glaub ich hab mir da was eingefangen ?!?!
    Log-Analyse und Auswertung - 15.12.2005 (3)
  13. Hm ich glaub ich hab was drauf
    Log-Analyse und Auswertung - 18.10.2005 (8)
  14. Wer kann mir helfen?hab glaub ein big prob.
    Log-Analyse und Auswertung - 27.07.2005 (3)
  15. Ich glaub ich hab sie alle...
    Plagegeister aller Art und deren Bekämpfung - 24.01.2005 (29)
  16. glaub ich hab mir was eingefangen
    Log-Analyse und Auswertung - 19.12.2004 (4)

Zum Thema Ich glaub ich habn Prob <.< - Hallo erstmal alle zusammen! Kürzlich war ich bei einer Freundin da sie diesen sober worm draufhatte, der sich aktivierte sobald man ins Internet geht und den PC dann runterfuhr. Als - Ich glaub ich habn Prob <.<...
Archiv
Du betrachtest: Ich glaub ich habn Prob <.< auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.