| |
| |||||||
Log-Analyse und Auswertung: Ich weiß nicht...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
07.05.2007, 13:24
| #1 |
 |  Ich weiß nicht... Habe zunächst im Abgesichterten Modus geladen. Mit Netzwerktreibern ging es nicht, da das Laden abbrach wg. eines Fehlers der svchost.exe. Dann nochmal ohne Netzwerktreiber...dauerte sehr lange. Per Highjack.this fixte ich den TeaTimer. Danach lud ich normal und hier das Highjack- Log: Logfile of HijackThis v1.99.1 Scan saved at 13:58:43, on 07.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\system32\NOTEPAD.EXE G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE ########## Ich führte auch den Befehl netstat -a im "Ausführen" aus. Kopieren konnte ich folgendes: Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP whiteangel:epmap whiteangel:0 ABHÖREN TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN TCP whiteangel:1025 whiteangel:0 ABHÖREN TCP whiteangel:1026 whiteangel:0 ABHÖREN TCP whiteangel:2222 whiteangel:0 ABHÖREN TCP whiteangel:epmap e176000047.adsl.alicedsl.de:2498 WARTEND TCP whiteangel:epmap e176082202.adsl.alicedsl.de:1679 WARTEND TCP whiteangel:epmap e176107043.adsl.alicedsl.de:36377 SCHLIESSEND TCP whiteangel:epmap e176180008.adsl.alicedsl.de:3276 WARTEND TCP whiteangel:epmap e176180008.adsl.alicedsl.de:4001 WARTEND TCP whiteangel:epmap e176226100.adsl.alicedsl.de:58344 WARTEND TCP whiteangel:epmap e176239212.adsl.alicedsl.de:41958 WARTEND ## Dann geht das Fenster zu. Es standen beim 1.Mal aber noch sehr viele andere IP drauf, die ich aber nicht kopiert habe(mußte erstmal gucken, wie das geht) Mittlerweile blinkt das Fenster bei Befehl nur noch kurz auf und geht sofort wieder zu.  |
|
07.05.2007, 13:39
| #2 | |
  | Ich weiß nicht...Zitat:
START > Ausführen > cmd netstat -ano Wenn Du die Ausgabe Speichern willst, nehme folgendes Komando: netstat -ano > "%userprofile%\Desktop\netstat.log" Die Ausgabe wird dann in die Datei netstat.log auf Deinem Desktop umgeleitet. Wenn Du netstat mehrere Male ausführen willst und den Output von netstat immer an die gleiche Datei anhängen willst nehme folgendes Kommando: netstat -ano >> "%userprofile%\Desktop\netstat.log" Gruß Marc
__________________ |
|
07.05.2007, 14:01
| #3 |
| | Ich weiß nicht... Danke Marc - so ist es komfortabler
__________________ # Derzeit also: Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\Dokumente und Einstellungen\*ich*>netstat -a Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP whiteangel:epmap whiteangel:0 ABHÖREN TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN TCP whiteangel:1025 whiteangel:0 ABHÖREN TCP whiteangel:1026 whiteangel:0 ABHÖREN TCP whiteangel:2222 whiteangel:0 ABHÖREN TCP whiteangel:epmap e176000175.adsl.alicedsl.de:4415 WARTEND TCP whiteangel:epmap e176036219.adsl.alicedsl.de:4846 WARTEND TCP whiteangel:epmap e176059221.adsl.alicedsl.de:4612 WARTEND TCP whiteangel:epmap e176100254.adsl.alicedsl.de:3229 WARTEND TCP whiteangel:epmap e176107043.adsl.alicedsl.de:10034 WARTEND TCP whiteangel:epmap e176182004.adsl.alicedsl.de:3449 WARTEND TCP whiteangel:epmap e176182004.adsl.alicedsl.de:4298 WARTEND TCP whiteangel:epmap e179048153.adsl.alicedsl.de:4101 WARTEND TCP whiteangel:1128 64.12.24.238:5190 HERGESTELLT TCP whiteangel:1043 whiteangel:1044 HERGESTELLT TCP whiteangel:1044 whiteangel:1043 HERGESTELLT TCP whiteangel:1070 whiteangel:1071 HERGESTELLT TCP whiteangel:1071 whiteangel:1070 HERGESTELLT TCP whiteangel:1122 whiteangel:0 ABHÖREN TCP whiteangel:1122 whiteangel:1142 HERGESTELLT TCP whiteangel:1142 whiteangel:1122 HERGESTELLT TCP whiteangel:netbios-ssn whiteangel:0 ABHÖREN UDP whiteangel:microsoft-ds *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* UDP whiteangel:1123 *:* UDP whiteangel:netbios-ns *:* UDP whiteangel:netbios-dgm *:* UDP whiteangel:isakmp *:* UDP whiteangel:4500 *:* |
|
08.05.2007, 09:56
| #4 |
| | Ich weiß nicht... Zum Abschluß(?) noch ein highjack.this- log. Weil hier so viele Leute sind, die etwas(Umleitungen etc.) herauslesen können  Logfile of HijackThis v1.99.1 Scan saved at 10:52:40, on 08.05.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINNT\System32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\ScanPanel\ScnPanel.exe C:\WINNT\System32\cidaemon.exe C:\WINNT\explorer.exe C:\WINNT\ISW\alice\signup\ConnctAs.exe G:\*ich*\Technik\Antihighjack01\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11 O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE Gruß an ALLE!  |
|
09.05.2007, 14:10
| #5 |
| | Ich weiß nicht... Noch ein Log von Fixwareout: Hat evl. die letzte Zeile etwas zu bedeuten Fixwareout Last edited 4/5/2007 Post this report in the forums please ... »»»»»Prerun check »»»»» System restarted »»»»» Postrun check HKLM\SOFTWARE\~\Winlogon\ "System"="" .... .... »»»»» Misc files. .... »»»»» Checking for older varients. .... Search five digit cs, dm, kd, jb, other, files. The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection. Click browse, find the file then click submit. h**p://www.virustotal.com/flash/index_en.html Or h**p://virusscan.jotti.org/ »»»»» Other »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe /logon" "McAfee Guardian"="\"C:\\Programme\\McAfee\\McAfee Shared Components\\Guardian\\CMGrdian.exe\" /SU" "avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min" "TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot" "ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize" "NWEReboot"="" "Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] .... Hosts file was reset, If you use a custom hosts file please replace it »»»»» End report »»»»» |
|
09.05.2007, 14:14
| #6 | |
| | Ich weiß nicht...Zitat:
__________________ --> Ich weiß nicht... |
|
10.05.2007, 08:52
| #7 | |
| | Ich weiß nicht...Zitat:
Nun wird es sicherlich gut sein damit.  # Ich habe mir nochmal die 127.0.0.1- Verbindungen angesehen. Ich kann sie per Firewall(McAfee) blocken, aber irgendwie läuft es etwas flüssiger ohne Blocken. Die 127.0.0.1er verbinden stets 2 meiner eigenen Ports. Mindestens einer verbindet 127.0.0.1 mit 127.0.0.1 Jetzt z.B. verbinden : Remote: 1029 mit Lokal 1028(127.0.0.1 - 127.0.0.1) Remote: 1028 mit Lokal 1029(Me - 127.0.0.1) Remote: 1030 mit Lokal: 1031(Me - 127.0.0.1) Weiß jemand, wofür sowas gut sein kann Die Ports wechseln...1037-1041, 3211-3213, 1056-1058, .......... Nachdem ich ICQ aus dem Startmenü nahm, scheint es weniger. Ist evl. TeamSpeak(ähnlich Skype), IRC o.ä.? Wenn ich die 127er blocke, gehen diese trotzdem... |
|
| Themen zu Ich weiß nicht... |
| adaware, angezeigt, bekannte, browser, dauernd, editiere, einfach, firewall, foren, gen, grau, highjacker, hijack, hijackthis, links, melde, meldet, neue, neuen, nutze, tagen, update, updaten, verbindungen |
Hybrid-Darstellung
