Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: könntet ihr hier mal schauen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.12.2006, 03:06   #1
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



hi....könnt ihr hier mal bitte nachschauen?...3 zeilen kommen mir sehr merkwürdig vor

(habe gestern nen link vonner freundin bekommen...jedoch hat sie den mir net geschickt-->hat sich reingemogelt inne icq nachricht...und ich habe ihn angeklickt...)

die nachricht war:

Hi, you've just received a postcard.

To view the postcard click this link or copy it to your browser's address bar.
h**p://cards.betionkdefunjdewinmsa.com/1/show.xml?id=52d75b901c34f449b038a0b1d0fc86b3

The postcard will be kept for 10 weeks.

DEN LINK NICHT EINGEBEN!!!

nun meine log:

Logfile of HijackThis v1.99.1
Scan saved at 02:46:23, on 26.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Autostart\Maus\MOUSE32A.EXE
C:\Autostart\Tastatur\KbdAp32A.exe
C:\Autostart\Daemon Tools\daemon.exe
C:\Autostart\PTB Sync\PTBSync.exe
C:\Autostart\TV Genial\TVgenial.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ipv6rasm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX90.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://klamm.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Schreibprogramme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Internet\Java\bin\ssv.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Autostart\Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\AUTOST~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Autostart\Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Autostart\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PTBSync] C:\Autostart\PTB Sync\PTBSync.exe /Start
O4 - HKCU\..\Run: [TVgenial] C:\Autostart\TV Genial\TVgenial.exe -d
O20 - AppInit_DLLs: ssdprasa.dll e1.dll
O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll

wäre geil wenn mir jemand helfen könnte!=)

ps: wenn ich die ipv6rasm.exe im task manager beende...startet sie sich automatisch nach 5min. wieder neu...=/

Geändert von herbstie (26.12.2006 um 03:31 Uhr)

Alt 26.12.2006, 09:50   #2
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



die dateien:
- ipv6rasm.exe
- ipv6rasm.dll
- ssdprasa.dll
- KbdAp32A.exe

mit Virustotal oder Jotti prüfen lassen (richtig suchen) und ergebnis präsentieren.


ps: *grübel* die log kommt mir so kurz vor.. ^^
ach und ein antivirus programm wäre auch nicht schlecht
__________________


Alt 26.12.2006, 14:01   #3
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



naja....so die extra buttons und den kram habe ich über hijacker schon alles gelöscht gehabt

KbdAp32A.exe is ne exe für meine tastatur...die ist safe!

bei ipv6rasm.exe kommt das raus:

Antivirus Version Update Result
AntiVir 7.3.0.21 12.25.2006 no virus found
Authentium 4.93.8 12.22.2006 W32/Warezov.gen4
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.25.2006 no virus found
BitDefender 7.2 12.26.2006 Worm.Stration.JI
CAT-QuickHeal 8.00 12.25.2006 no virus found
ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-4
DrWeb 4.33 12.26.2006 Win32.HLLM.Limar
eSafe 7.0.14.0 12.26.2006 suspicious Trojan/Worm
eTrust-InoculateIT 23.73.98 12.24.2006 Win32/Stration.Variant!Worm
eTrust-Vet 30.3.3271 12.23.2006 no virus found
Ewido 4.0 12.26.2006 no virus found
Fortinet 2.82.0.0 12.25.2006 suspicious
F-Prot 3.16f 12.22.2006 W32/Warezov.gen4
F-Prot4 4.2.1.29 12.22.2006 W32/KillAV.gen1
Ikarus T3.1.0.27 12.26.2006 no virus found
Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji
McAfee 4925 12.22.2006 no virus found
Microsoft 1.1904 12.26.2006 no virus found
NOD32v2 1939 12.26.2006 no virus found
Norman 5.80.02 12.26.2006 no virus found
Panda 9.0.0.4 12.25.2006 no virus found
Prevx1 V2 12.26.2006 Spyware.SpyFalcon
Sophos 4.12.0 12.26.2006 Troj/StraDr-Gen
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.136 12.24.2006 no virus found
UNA 1.83 12.25.2006 no virus found
VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.19:9 12.25.2006 no virus found

Aditional Information
File size: 99328 bytes
MD5: a771efe56d2e4af98f832fc7cdfffba9
SHA1: 4874636224cd59506b86adafa6f2e3137be269a0
packers: UPX
packers: UPX
packers: UPX
packers: UPX, embedded
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=258a65627318

bei ipv6rasm.dll kommt das:

Antivirus Version Update Result
AntiVir 7.3.0.21 12.25.2006 WORM/Stration.Gen
Authentium 4.93.8 12.22.2006 W32/Warezov.gen4
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.25.2006 no virus found
BitDefender 7.2 12.26.2006 DeepScan:Generic.Stration.B99581F6
CAT-QuickHeal 8.00 12.25.2006 no virus found
ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-5
DrWeb 4.33 12.26.2006 Win32.HLLM.Limar
eSafe 7.0.14.0 12.26.2006 Win32.Warezov.ev
eTrust-InoculateIT 23.73.98 12.24.2006 no virus found
eTrust-Vet 30.3.3271 12.23.2006 no virus found
Ewido 4.0 12.26.2006 no virus found
Fortinet 2.82.0.0 12.25.2006 no virus found
F-Prot 3.16f 12.22.2006 W32/Warezov.gen4
F-Prot4 4.2.1.29 12.22.2006 W32/Warezov.gen4
Ikarus T3.1.0.27 12.26.2006 Email-Worm.Win32.Warezov.gen
Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji
McAfee 4925 12.22.2006 W32/Stration.gen@MM
Microsoft 1.1904 12.26.2006 no virus found
NOD32v2 1939 12.26.2006 no virus found
Norman 5.80.02 12.26.2006 no virus found
Panda 9.0.0.4 12.25.2006 no virus found
Prevx1 V2 12.26.2006 no virus found
Sophos 4.12.0 12.26.2006 W32/Strati-Gen
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.136 12.24.2006 no virus found
UNA 1.83 12.25.2006 I-Worm.Warezov
VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.19:9 12.25.2006 no virus found

Aditional Information
File size: 122880 bytes
MD5: e3f73cd84f7c6a26701bf5812c436b77
SHA1: 5130c42f2999add8ef0cf0c205b8efe7d7798540

bei ssdprasa.dll kommt das raus:

Antivirus Version Update Result
AntiVir 7.3.0.21 12.25.2006 WORM/Stration.Gen
Authentium 4.93.8 12.22.2006 W32/KillAV.gen1
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.26.2006 no virus found
BitDefender 7.2 12.26.2006 no virus found
CAT-QuickHeal 8.00 12.25.2006 no virus found
ClamAV devel-20060426 12.26.2006 Worm.Stration.XL-2
DrWeb 4.33 12.26.2006 Win32.HLLM.Limar
eSafe 7.0.14.0 12.26.2006 no virus found
eTrust-InoculateIT 23.73.98 12.24.2006 no virus found
eTrust-Vet 30.3.3271 12.23.2006 no virus found
Ewido 4.0 12.26.2006 no virus found
Fortinet 2.82.0.0 12.25.2006 no virus found
F-Prot 3.16f 12.22.2006 W32/KillAV.gen1
F-Prot4 4.2.1.29 12.22.2006 W32/KillAV.gen1
Ikarus T3.1.0.27 12.26.2006 no virus found
Kaspersky 4.0.2.24 12.26.2006 Email-Worm.Win32.Warezov.ji
McAfee 4925 12.22.2006 no virus found
Microsoft 1.1904 12.26.2006 no virus found
NOD32v2 1939 12.26.2006 no virus found
Norman 5.80.02 12.26.2006 no virus found
Panda 9.0.0.4 12.25.2006 no virus found
Prevx1 V2 12.26.2006 no virus found
Sophos 4.12.0 12.26.2006 W32/Strati-Gen
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.136 12.24.2006 no virus found
UNA 1.83 12.25.2006 I-Worm.Warezov
VBA32 3.11.1 12.25.2006 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.19:9 12.25.2006 Trojan.Opnis.Gen.29

Aditional Information
File size: 28672 bytes
MD5: dbb529c51db8141eba0708ab01a16231
SHA1: 0a16bd07ac3665bccff23bd54a0569f125e805f7

joo....das wars
__________________

Alt 26.12.2006, 14:43   #4
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



die drei dateien generell erstmal löschen

nimm danach am besten Kaspersky da er die drei als viren erkannt hat.. schalte aber vorher sicherheits halber dies aus.

Und gehe nochmal mit Spybot drüber, danach kannst du die systemwiederherstellung einschalten


MfG T2


Alt 26.12.2006, 15:27   #5
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



die exe lies sich einfach löschen...die dll's nicht!

und die exe erstellt sich wieder selbst nach gewisser zeit


Geändert von herbstie (26.12.2006 um 15:51 Uhr)

Alt 26.12.2006, 21:01   #6
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



benutzt killbox um die dll dateien zu löschen ach und lösch danach die exe auch mal ich bin mir nicht sicher ob sie sich durch die dll dateien sich wiederherstellt bzw. du solltest die systemwiederherstellung aus haben ..

Alt 27.12.2006, 00:17   #7
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



Logfile of HijackThis v1.99.1
Scan saved at 23:51:33, on 26.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Autostart\Maus\MOUSE32A.EXE
C:\Autostart\Tastatur\KbdAp32A.exe
C:\AUTOST~1\ICQ\ICQ.exe
C:\Autostart\Daemon Tools\daemon.exe
C:\Autostart\PTB Sync\PTBSync.exe
C:\Autostart\TV Genial\TVgenial.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.110\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://klamm.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Schreibprogramme\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Internet\Java\bin\ssv.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Autostart\Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\AUTOST~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Autostart\Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Autostart\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PTBSync] C:\Autostart\PTB Sync\PTBSync.exe /Start
O4 - HKCU\..\Run: [TVgenial] C:\Autostart\TV Genial\TVgenial.exe -d
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: ssdprasa.dll e1.dll
O20 - Winlogon Notify: ipv6rasm - C:\WINDOWS\system32\ipv6rasm.dll (file missing)


so das kam jetzt bei hijack

dazu sind noch 2 dinge zu sagen:
zwischendurch hatte ich noch msn messenger installiert...(wegen O18)...aber habe mit virustotal geshcaut ob die msngrapp.dll clean ist...-->kein virus....dann kann ich die zeile doch löschen oder?

ich habe nen neuen ordner auf c: !KillBox
er beinhaltet folgende dateien (habe die 3 virenbefaklllenen mit killbox gelöscht und nach nem reboot waren sie weg aus system32)

Logs-->kb.log
ipv6rasm.dll
ipv6rasm.dll( 1)
ipv6rasm.dll( 2)
ipv6rasm.dll( 3)
ipv6rasm.dll( 4)
ipv6rasm.exe
ssdprasa.dll

(glaube diedll's 1-4 kamen davon dass ich diese datei mehrmals ohne reboot gelöscht habe, jedoch dnan immer kam dass die datei nicht gelöscht werden kann)

desweriteren habe ich nach dem scannen von kaspersky viele neue dateien auf c...zb: pagefile.sys mit ner größe von 1,12gb

kann ich die alle löschen?...oder wie gehen die weider weg?

danke erstmal für deine hilfe

Alt 27.12.2006, 11:45   #8
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



die pagefile.sys ist deine auslagerungsdatei.. die würde ich an deiner stelle nicht löschen ..

dass die dateien im killbox ordner sind ist einfach plausiebel .. naja eigendlich löscht du diese nicht sie werden nur verschoben um sie dann manuell aus deinem killbox ordner zu löschen.

Ach ich hoffe das war es zumindestens jetzt .. *puhh



update:
du kannst aber bei google mal nachschauen warum diese so groß ist zb: Pagefile.sys zu gross - administrator
es kann sein das du die auslagerungs datei falsch konfiguriert hast oder kaspersky hat mal wieder böses verbrochen

Alt 27.12.2006, 12:44   #9
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



ja ...schon mitbekommen dass das meine ganzen geschützten systemdateien waren^^...sorry...

aber wie meintest du das jetzt mit dem killbox ordner?

und wie ist das mit den hijack einträgen...kann ich die dann löschen?

Alt 27.12.2006, 12:51   #10
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



du hast ja killbox benutzt so wird normalerweise auf der boot platte als C: ein ordner namens !KillBox erstellt dort finden sich die log und die dateien die du zuvor "gelöscht" hast diese kannst du erst jetzt entgültig löschen im ordner von killbox.. so war es zumindestens bei mir

Alt 27.12.2006, 13:07   #11
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



also einfach auf delete gehen=)

was is mit den einträgen bei hijack...?...löschen??

Alt 27.12.2006, 13:34   #12
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



die logs von HijackThis also die txt dateien kannste löschen nichts besonderes ..

Alt 27.12.2006, 15:27   #13
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



nee...ich meinte die einträge....wenn ich nen neuen scan mache...

Alt 27.12.2006, 15:59   #14
TeZwo
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



achso .. kannst du machen dann fixed du aber deinen rechner in die mülltonne

nein die müssen sogar bleiben sonst würden andere anwendungen nicht starten. Nicht alles was angezeit wird ist böse..

Alt 27.12.2006, 20:12   #15
herbstie
 
könntet ihr hier mal schauen? - Standard

könntet ihr hier mal schauen?



wie meinst dann das mit inne mülltonne....-->system wird total destroyed...oder funktioniern dnan eben nur einige anwendungen net mehr....und diese muss ich dann eben nochmal neu installn?!

aha...okay...dann bedanke ich mich=)

Antwort

Themen zu könntet ihr hier mal schauen?
acrobat, adobe, appinit_dlls, autostart, bho, browser, explorer, helper, hijack, hijackthis, icq, internet, internet explorer, link, log, maus, microsoft, pdf, programme, sich automatisch, software, system, system32, tastatur, temp, windows, windows xp



Ähnliche Themen: könntet ihr hier mal schauen?


  1. Bin mir unsicher ob alles in Ordnung ist. Kann hier mal bitte jemand drüber schauen?
    Log-Analyse und Auswertung - 15.02.2015 (5)
  2. Könntet ihr das Log-File mal durchschaun könntet
    Mülltonne - 06.11.2008 (0)
  3. Könntet ihr mal diesn log anschauen
    Log-Analyse und Auswertung - 02.07.2007 (2)
  4. könnt ihr hier ma rüber schauen?
    Log-Analyse und Auswertung - 21.04.2007 (7)
  5. könnt ihr hier ma rüber schauen?
    Log-Analyse und Auswertung - 17.04.2007 (6)
  6. liebe board mitgleider könntet ihr mal schauen
    Mülltonne - 17.04.2007 (1)
  7. Es wird nicht besser hier nochmal mein Logfile bitte mal drüber schauen, danke
    Log-Analyse und Auswertung - 14.01.2007 (6)
  8. Könntet ihr mal drüber schaun?
    Log-Analyse und Auswertung - 18.10.2006 (4)
  9. Könnte bitte jemand mal hier nach schauen?
    Log-Analyse und Auswertung - 05.02.2006 (2)
  10. könntet ihr mal schauen???
    Log-Analyse und Auswertung - 28.12.2005 (1)
  11. HiJack This Log - Könntet ihr bitte mal drüberschauen, was hier nicht stimmt...
    Log-Analyse und Auswertung - 04.06.2005 (9)
  12. Könntet ihr euch das mal anschauen? :)
    Log-Analyse und Auswertung - 03.06.2005 (19)
  13. Könnt ihr hier mal rein schauen?
    Log-Analyse und Auswertung - 03.05.2005 (11)
  14. Hallo, könnt ihr bitte mal schauen, ob hier alles in Ordnung ist?
    Log-Analyse und Auswertung - 11.03.2005 (4)
  15. Könntet Ihr bitte mal nachsehen???
    Log-Analyse und Auswertung - 02.03.2005 (13)
  16. Bitte mal schauen, hier stimmt was nicht
    Log-Analyse und Auswertung - 28.02.2005 (7)
  17. Könntet ihr Sicherheitshalber nachschauen !
    Log-Analyse und Auswertung - 17.10.2004 (1)

Zum Thema könntet ihr hier mal schauen? - hi....könnt ihr hier mal bitte nachschauen?...3 zeilen kommen mir sehr merkwürdig vor (habe gestern nen link vonner freundin bekommen...jedoch hat sie den mir net geschickt-->hat sich reingemogelt inne icq nachricht...und - könntet ihr hier mal schauen?...
Archiv
Du betrachtest: könntet ihr hier mal schauen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.