Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kann mir jemand bei der auswertung des Logfile helfen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.07.2007, 23:43   #1
joderno
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Ich habe mir einen Wurm eingefangen WORM/IRCBot.24040' [worm]
wurde in der Datei 'C:\WINDOWS\system32\sysprinters.dll' gefunden.

Habe versucht den Worm zu isolieren jedoch bin ich mir mit dem Logfile nicht ganz sicher. kann mir da jemand weiterhelfen?

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\DSentry.exe
D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe
C:\WINDOWS\System32\LVComS.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Logfile\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\zertifizierte Programme\Logitech\iTouch\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVComS.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [OSS] c:\windows\system32\rk.exe -boot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X83.exe
O4 - HKLM\..\Run: [Lexmark X83 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X83.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Programme\Plaxo\2.6.2.7\PlaxoHelper.exe -a
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download all links using BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\bittorent\Programm\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/29a7c313af7afc272f16/netzip/RdxIE601_de.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Alt 02.07.2007, 23:52   #2
myrtille
/// TB-Ausbilder
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Hi,
leider dumm gelaufen für dich: Der IRCbot ist ein Backdoortrojaner, das heißt jemand anderes kontrolliert jetzt deinen Computer.
Um den Rechner wieder fest in deine Hand zu kriegen, bleibt dier leider nichts anderes übrig als neuaufzusetzen

Du hast nicht zufällig in letzter Zeit von jemandem ein Photoalbum via InstantMessenger bekommen? Derzeit breitet sich der Wurm auf die Weise sehr stark aus und es ist recht wahrscheinlich, dass du dir den Buben auf dieselbe Art und Weise eingefangen hast.

Für dich im Endeffekt unwichtig, aber für uns hilfreich, wäre es wenn du die Datei:
Zitat:
C:\WINDOWS\system32\sysprinters.dll
noch bei virsutotal auswerten lassen würdest und das ergebnis hier posten könntest.

lg myrtille

EDIT:hier werden noch einige andere (bereits bekannte) Dateien genannt, die der Trojaner erstellt, derzeit aber nicht erkannt werden und auch nicht so leicht entfernt werden können.
__________________


Alt 03.07.2007, 08:24   #3
joderno
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Hab mir sowas schon gedacht nach etwas stöbern im Netz.. die XP CD ist schon mal hervorgekramt und im Laufwerk plaziert...

jo klar werde ich doch noch machen bevor die HD gelöscht wird.

Besten dank
joderno
__________________

Alt 03.07.2007, 13:40   #4
joderno
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Könnte dies als lösung reichen? Jedoch wird ja Der folgende Registryschlüssel hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe

der Virus erstellt ein “install” Verzeichnis unter C:\ in welcher sich eine ghost.exe befindet –> sollte umgehend gelöscht werden, desweiteren eine “sysprinters.dll” unter Windows/system32 die auch sofort gelöscht werden sollte, danach sollte das System relativ befreit sein, nat. noch mit registriersuchern nach “myalbum2007″ die registry durchsuchen bzw. allg. in der Windowssuche alle Dateien dieses Namens, nat. auch die zip Datei in den msn empfangenen Daten.

Alt 03.07.2007, 14:28   #5
myrtille
/// TB-Ausbilder
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Die Frage ist halt nur, glaubst du alles gefunden zu haben?

Du hast schonmal mehr gefunden als dein Antivirenprogramm, was dir sicherlich schonmal klargemacht hat, dass man sich auf solche Programme eben nicht 100%ig verlassen kann. Aber glaubst du, dass das alles war? Glaubst du, dass der Ersteller des Trojaners nicht sicher gestellt hat, dass ein bischen Löschen und Fummeln in der Registry seinen Trojaner nicht zerstört?

Vermutlich steckt er noch woanders. Die von Sunny genannten Dateien, werden wohl immer erstellt, auch wenn man sie nicht finden kann, zudem würde ich vermuten, dass sich der Trojaner in die Systemwiederherstellung einträgt um sich von dort aus wiederzubeleben und wahrscheinlich noch an 3-4 Stellen von denen hier noch niemand was weiß.
Wirklich beantworten kann dir die Frage nur der Ersteller des Virus und selbst der weiß nicht (und das ist das große Problem an der Sache) was passiert ist nachdem das "Backdoor" auf deinem Rechner aktiviert worden ist.
Du müsstest jetzt also noch alle Leute finden, die auf deinen Rechner hätten gelangen können und diese fragen ob und was sie auf deinem Rechner versteckt haben.

Natürlich findet man meistens früher oder später raus was der Trojaner selbst tut, bzw tun kann (und kann diesen so entfernen), was aber nach der Installtion des Trojaners von Leuten die Zugang haben alles auf deinem Rechner manipuliert wurde, kann keiner sagen. Deswegen empfehlen wir auch die Neuinstallation.

lg myrtille
EDIT:
Ok irgendwie hab ich da eben was verwechselt:
Ob der Trojaner nen Server aufsetzt um Dateien über deinen Rechner zu vertreiben ist noch nicht klar, allerdings gewährt er auf jedenfall Leuten Einlass.
Sophos sagt übrigens du hättest außerdem noch eine new.txt an Bord, die du noch nicht gefunden hast.


Geändert von myrtille (03.07.2007 um 14:35 Uhr)

Alt 03.07.2007, 16:47   #6
irrlicht
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



Hallo,

Zitat:
danach sollte das System relativ befreit sein
es scheint eine Neudefinition des Wortes "relativ" hier vorzuliegen...

Es ist noch gar nicht so lange her ,da war man sich relativ sicher,daß :

- die Erde eine Scheibe ist...
-der Storch die Babys bringt...
-der Weihnachtsmann am Nordpol wohnt....

Irrlicht

Alt 12.07.2007, 09:52   #7
joderno
 
Kann mir jemand bei der auswertung des Logfile helfen? - Standard

Kann mir jemand bei der auswertung des Logfile helfen?



GRINS ok Relativ ist etwas wage ausgedrückt.

hab mein system neu aufgesetzt!

Antwort

Themen zu Kann mir jemand bei der auswertung des Logfile helfen?
ad-aware, adobe, antivir, avira, bho, bittorent, browser, cyberlink, download, drivers, firefox, hijack, internet, internet explorer, logfile, microsoft, monitor, mozilla, mozilla firefox, nvidia, pdf, programme, rundll, senden, software, symantec, system, windows, wurm



Ähnliche Themen: Kann mir jemand bei der auswertung des Logfile helfen?


  1. TR/Dldr.Alchemic.B gefunden. Kann mir jemand bei der Logfile-Auswertung helfen?
    Log-Analyse und Auswertung - 02.09.2008 (1)
  2. Kann mir jemand helfen!!
    Mülltonne - 24.06.2006 (0)
  3. Kann mir jemand mit meinem Logfile helfen? Ich weiß nicht, was gelöscht werden sol..
    Log-Analyse und Auswertung - 07.06.2006 (1)
  4. kann mir jemand bei der auswertung dieses hijacklogfiles helfen?trojaner??
    Mülltonne - 03.06.2006 (2)
  5. Kann mir jemand helfen???
    Log-Analyse und Auswertung - 12.03.2006 (5)
  6. Kann mir jemand helfen???
    Log-Analyse und Auswertung - 16.02.2006 (3)
  7. eScan Logfile - Kann mir vielleicht jemand helfen?
    Plagegeister aller Art und deren Bekämpfung - 11.09.2005 (3)
  8. Log Auswertung kann mal bitte jemand helfen
    Mülltonne - 20.08.2005 (2)
  9. Hier mal mein Logfile (Hijackthis Scan) Kann jemand helfen`?
    Log-Analyse und Auswertung - 02.08.2005 (5)
  10. Kann mir jemand bei der LogFile Auswertung helfen?
    Log-Analyse und Auswertung - 31.03.2005 (12)
  11. Meine logfile! kann mir jemand helfen?
    Log-Analyse und Auswertung - 15.02.2005 (16)
  12. Kann mir jemand helfen????????????????
    Log-Analyse und Auswertung - 26.01.2005 (3)
  13. Könnte mir jemand bei der Auswertung der Hijackliste helfen ?
    Log-Analyse und Auswertung - 10.01.2005 (1)
  14. ich hab da so´n logfile, kann mir jemand helfen?
    Log-Analyse und Auswertung - 22.12.2004 (1)
  15. nix klappt,kommt trotz fixen wieder-hier mein logfile-kann mir bitte jemand helfen
    Log-Analyse und Auswertung - 27.11.2004 (2)
  16. Logfile-Auswertung+fixen: Wer kann helfen?
    Log-Analyse und Auswertung - 27.09.2004 (3)
  17. Kann mir jemand helfen ?
    Log-Analyse und Auswertung - 01.07.2004 (1)

Zum Thema Kann mir jemand bei der auswertung des Logfile helfen? - Ich habe mir einen Wurm eingefangen WORM/IRCBot.24040' [worm] wurde in der Datei 'C:\WINDOWS\system32\sysprinters.dll' gefunden. Habe versucht den Worm zu isolieren jedoch bin ich mir mit dem Logfile nicht ganz sicher. - Kann mir jemand bei der auswertung des Logfile helfen?...
Archiv
Du betrachtest: Kann mir jemand bei der auswertung des Logfile helfen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.