Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Logfile von Errorsave

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.12.2006, 18:35   #1
Storch
 
Logfile von Errorsave - Standard

Logfile von Errorsave



Hallo,

Freund von mir hat seit paar Tagen ein neues Icon in der Tray-Leiste

rechte oder linke Maustaste drauf

öffnet die Seite hxxp://de.errorsafe.com im Browser.

Auch der Browser wurde die Startseite verändert, sprich wird immer wieder dorthin geleitet.

Seit heute kommt auch folgende Meldung bei ihm auf den Screen


wisst ihr was da los ist ?
gruß Storch


Hier die Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 23:33:11, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\VPNremote for Windows XP\AvVpnService.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~2\FireSvc.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\RCSERV.EXE
C:\WINNT\Explorer.EXE
C:\Program Files\Video ActiveX Object\isamonitor.exe
C:\Program Files\Video ActiveX Object\pmsngr.exe
C:\Program Files\Video ActiveX Object\pmmon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Video ActiveX Object\isamini.exe
C:\Program Files\FreePDF_XP\fpassist.exe
C:\WINNT\System32\hkcmd.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINNT\System32\DSentry.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe
C:\PROGRA~1\NETWOR~1\MCAFEE~2\Firetray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINNT\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\WINNT\system32\wuauclt.exe
C:\WINNT\srvany.exe
C:\Program Files\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Network Associates\Common Framework\McScript_InUse.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Documents and Settings\stm6fr\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.intranet.xxxxx.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://psoxap01.eng.xxxxx.com:7009/sox/log.on.do
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = provided by xxxxx-xxxxx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1a1ddc19-5893-43ab-a73f-f41a0f34d115} - C:\Program Files\Video ActiveX Object\isaddon.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: Protection Bar - {5d4831e0-5a7c-4a46-afd5-a79ab8ce36c2} - C:\Program Files\Video ActiveX Object\iesplugin.dll
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Customizing_EDS] cscript "C:\Program Files\Customizing_EDS\Run_Customizing_EDS.vbs"
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ChkBootRun] C:\WINNT\ChkBootRun.EXE 2 900 120 "Sicherheitspatch MS06-071 - i.A von xxxxx GmbH & Co. KG"
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [lcfep] "C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfep.exe" -x
O4 - HKLM\..\Run: [TivoliMobileService] "C:\WINNT\System32\Tivlogon.exe"
O4 - HKLM\..\Run: [McAfeeFireTray] C:\PROGRA~1\NETWOR~1\MCAFEE~2\Firetray.exe
O4 - HKLM\..\Run: [SwdisUsrPCN.TNDEXP-80205] "C:\PROGRA~1\Tivoli\lcf\dat\1\cache\lib\w32-ix86\wdusrpcn.exe" "C:\Program Files\Tivoli\swdis\1\wdusrpcn.envTNDEXP-80205"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7CD66D2D-8AB1-4F3A-9133-F7BE30A27498} - https://www.openbc.com/sync/index.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.corp.lan
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.corp.lan
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.corp.lan
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: xxxxx VPN Service (AvService) - Unknown owner - C:\Program Files\VPNremote for Windows XP\AvVpnService.exe
O23 - Service: McAfee Desktop Firewall Service (FireSvc) - McAfee, Inc. - C:\PROGRA~1\NETWOR~1\MCAFEE~2\FireSvc.exe
O23 - Service: killmobile - Unknown owner - C:\WINNT\srvany.exe
O23 - Service: Tivoli Endpoint (lcfd) - Unknown owner - C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: OracleClientCache80 - Unknown owner - C:\orant\BIN\ONRSD80.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: tivmobile - Unknown owner - C:\WINNT\srvany.exe
O23 - Service: Tivoli Remote Control Service (TME10RC) - TIVOLI Systems - C:\WINNT\RCSERV.EXE
__________________
leichter etwas aufzugeben, als es wieder aufzubauen

Alt 20.12.2006, 18:56   #2
nochdigger
 
Logfile von Errorsave - Standard

Logfile von Errorsave



Hallo auch

kann es sein, dass es sich hier um einen Firmenrechner handelt?

MFG
__________________


Alt 20.12.2006, 20:20   #3
Storch
 
Logfile von Errorsave - Standard

Logfile von Errorsave



Hallo nochdigger,
hast du richtig erkannt.

Er greift mit seinem Notebook meist aufs Firmennetzwerk zu.
Momentan scheint bei ihm nur noch Outlook zu funktionieren, auf Webseiten kann er gar nicht mehr zugreifen.


Das am Ende das System neu aufgesetzt werden muss, ist mir irgendwie jetzt schon klar, doch vielleicht gibt es ja noch hoffnung.

Gruß Storch
__________________
__________________

Alt 20.12.2006, 20:39   #4
felix1
/// Helfer-Team
 
Logfile von Errorsave - Standard

Logfile von Errorsave



Dann soll sich Dein Freund vertrauensvoll an seinen Admin wenden.
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 20.12.2006, 20:53   #5
Storch
 
Logfile von Errorsave - Standard

Logfile von Errorsave



Zitat:
Zitat von felix1 Beitrag anzeigen
Dann soll sich Dein Freund vertrauensvoll an seinen Admin wenden.
Hi felix1, erstmal danke für deine hilfreiche Antwort,
doch ich glaub die Admins da sind da nicht so kompetent wie manche Leute hier im Forum
grad in Sachen "security".

Hatte vor 3-4 Jahren das letzte (und erstemal) einen Hijacker bei mir auf dem System, und da wurde mir hier prima geholfen.
Seitdem nutz ich kein IE mehr und kamen auch keine Probleme mehr auf.
Nur würde mich persönlich ja nu auch interessieren, wie man diesen Müll von seinem Notebook wieder entfernen kann.

Bzw. was genau bei ihm murks ist?

Gruß Storch

__________________
leichter etwas aufzugeben, als es wieder aufzubauen

Alt 20.12.2006, 20:59   #6
Sunny
Administrator
> Competence Manager
 

Logfile von Errorsave - Standard

Logfile von Errorsave



Zitat:
Zitat von Storch Beitrag anzeigen
Hi felix1, erstmal danke für deine hilfreiche Antwort,
doch ich glaub die Admins da sind da nicht so kompetent wie manche Leute hier im Forum
grad in Sachen "security".
Und genau diese Leute werden dafür bezahlt Sicherheit zu geben bzw. dafür zu sorgen! Wir hier im Forum, stellen unser Wissen kostenlos zur Verfügung, aber nur für Privatanwender! (der rechtliche Hinbergrund ist dabei ausschlaggebend!)

Nicht auszudenken wenn ich hier diverse Tips gebe, und im Nachhinein macht mich eure Firma dafür haftbar wenn ich Schaden anrichte. (z.B. Firmendaten ausspionieren oder löschen...)

Daher kein Support für Produktiv-Systeme. (ohne Ausnahme(n)!)
__________________
--> Logfile von Errorsave

Alt 20.12.2006, 21:15   #7
Storch
 
Logfile von Errorsave - Standard

Logfile von Errorsave



hi sunny, klar das kann ich verstehen!

schade nur, muss ich wohl selbst versuchen ihm zu helfen wie wir das Teil von seinem System wieder runterbekommen. (auch wenn ich in sachen hijackern ein noob bin)

wird wieder eine lange Nacht

Danke allen postern nochmal für alles,
gruß Storch
__________________
leichter etwas aufzugeben, als es wieder aufzubauen

Alt 20.12.2006, 21:24   #8
felix1
/// Helfer-Team
 
Logfile von Errorsave - Standard

Logfile von Errorsave



@Hallo Sunny


@All
Ich habe dazu meine Meinung. Ich bin nicht bereit (wie sicherlich andere Regulars des Forums auch) anderen Leuten die Arbeit zu erledigen. Die werden dafür bezahlt.
Ende
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Antwort

Themen zu Logfile von Errorsave
adobe, bho, desktop, excel, explorer, firewall, google, hijack, hijackthis, icon, immer wieder, internet, internet explorer, logfile, maus, messenger, microsoft, object, pop-up-blocker, remote control, seite, software, system, system32, windows, windows xp, yahoo



Ähnliche Themen: Logfile von Errorsave


  1. Weißer Bildschirm - Taskmanager mit Polizeihinweis - bis zum Logfile alles durchgespielt - möchte nun logfile posten
    Log-Analyse und Auswertung - 04.09.2013 (17)
  2. Logfile ok?
    Log-Analyse und Auswertung - 10.07.2011 (31)
  3. Probleme trotz beseitigung von trojan.Zbot und Trojan.Downloader, OTL Logfile, MalwareByte Logfile!
    Plagegeister aller Art und deren Bekämpfung - 28.07.2010 (10)
  4. Logfile auswerten bzw. Logfile posten
    Mülltonne - 30.12.2008 (0)
  5. Hjt Logfile
    Log-Analyse und Auswertung - 10.06.2008 (21)
  6. logfile
    Mülltonne - 18.04.2008 (0)
  7. Logfile
    Log-Analyse und Auswertung - 20.09.2006 (1)
  8. Logfile
    Log-Analyse und Auswertung - 26.03.2006 (8)
  9. logfile
    Log-Analyse und Auswertung - 24.11.2005 (6)
  10. Logfile
    Log-Analyse und Auswertung - 04.09.2005 (1)
  11. Logfile
    Log-Analyse und Auswertung - 02.09.2005 (4)
  12. Logfile
    Log-Analyse und Auswertung - 06.08.2005 (1)
  13. Logfile
    Log-Analyse und Auswertung - 01.05.2005 (3)
  14. Logfile ok?
    Log-Analyse und Auswertung - 26.04.2005 (4)
  15. logfile ok?
    Log-Analyse und Auswertung - 29.12.2004 (6)
  16. Logfile Ok ?
    Log-Analyse und Auswertung - 15.11.2004 (2)
  17. Logfile
    Log-Analyse und Auswertung - 09.09.2004 (2)

Zum Thema Logfile von Errorsave - Hallo, Freund von mir hat seit paar Tagen ein neues Icon in der Tray-Leiste rechte oder linke Maustaste drauf öffnet die Seite hxxp://de.errorsafe.com im Browser. Auch der Browser wurde die - Logfile von Errorsave...
Archiv
Du betrachtest: Logfile von Errorsave auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.