Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um Logfileauswertung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.12.2007, 17:46   #1
Richie
 
Bitte um Logfileauswertung - Frage

Bitte um Logfileauswertung



Erst mal ein freundliches Hallo an alle Profis hier, ihr leistet eine super Arbeit :aplaus:
Nun mein Problem, ich habe gestern ein scan mit a-squared free durchgeführt und musste mit erschrecken feststellen, das ich den Backdoor.Ciadoor.13 im Ordner System Volume Information > restore .... hatte. Hab keine Ahnung wie das da hin gekommen ist. Meine Maßnahme war die deaktivierung der Systemwiederherstellung, womit der ganze Inhalt des Ordners gelöscht wurde. habe danach nochmal a-squared free und mein Antivir (Trend Micro) scannen lassen und die haben nichts gefunden. Jetzt bin ich aber ein wenig verunsichert, weil ich nichts gutes über diesen Backdoor gelesen habe. Mein BS ist Win XP Prof.
Hier mein HiJackThisLog:
Logfile of HijackThis v1.99.1
Scan saved at 18:09:39, on 10.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
D:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe

Vielen Dank schon mal im Voraus.
Gruß Richie

Alt 11.12.2007, 15:13   #2
Cleriker
 
Bitte um Logfileauswertung - Standard

Bitte um Logfileauswertung



Hallo und Herzlich Willkommen im Trojaner-Board

Ich kann zwar keine Entdeckung in deinem Hijackthislogfile
machen, jedoch weißt du bestimmt selber, dass ein System
nach einer Backdoorinfizierung nicht mehr vertrauenswürdig
ist. (besonders in der Systemwiderherstellung)
Wenn du die genaue Bezeichnung des Schädlings rausrücken
kannst, können wir vielleicht fest stellen, ob es Sinn macht das
Risiko einzugehen und nicht neu auf zu setzen, sprich weitere
Analysen zu fahren.

mfg Cleriker
__________________


Alt 11.12.2007, 23:28   #3
Richie
 
Bitte um Logfileauswertung - Standard

Bitte um Logfileauswertung



Hallo Cleriker,

vielen Dank für die schnelle Antwort und die nette Begrüßung.

Nun, a-squared free hatte mir leider nur angezeigt wie der Backdoor heißt und wo dieser sich befindet (restore mit Nummer dahinter). Dummerweise habe ich mir diese Nummer nicht aufgeschrieben. Hatte danach auch sofort die Internetverbindung gekappt, Systemwiederherstellung deaktiviert und im abgesicherten Modus nochmal die Scanner drüberlaufen lassen. Habe heute nur mal aus Neugier auch einen Rootkit-Killer (GMER 1.0) scannen lassen. Dieser hatte auch nichts gefunden. Aber ich hätte da noch ein Log von eSan, wenn das aufschlussreicher ist? Nur ist das ein ewig langer Text und ich weiß nicht so recht, wie ich den hier posten kann. Und was genau wird davon benötigt?

Gruß Richie
__________________

Alt 12.12.2007, 08:50   #4
Cleriker
 
Bitte um Logfileauswertung - Standard

Bitte um Logfileauswertung



Ich entnehme deinen Aussagen, dass du nicht
neu aufsetzen möchtest, sondern dein System
vollständig bereinigen willst. Gewährleisten kann
ich dir das aber nicht, da die Bezeichnung nicht
bekannt ist.

Mach folgendes:

1) Poste das Ergebnis des Escans mit Hilfe der find.bat.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop\find.bat)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
- Entferne bitte nicht selber von escan alarmierte Funde.
-> Es sind erfahrungsgemäß viele Fehlalarme dabei

2) * Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

3) * Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

mfg Cleriker

Alt 12.12.2007, 18:27   #5
Richie
 
Bitte um Logfileauswertung - Standard

Bitte um Logfileauswertung



Hallo Cleriker,

vielen Dank für deine ausführliche Anleitung, aber ich werde das System neu aufsetzen!
Hatte heute wieder Schadsoftware auf dem Rechner, habe jetzt die Nase voll.
Nur hätte ich da noch eine Frage. Ich habe ein Backup meiner Einstellungen (Windows, Firefox) gemacht. Dateien und ein Teil der Programme sind auf einer anderen Festplatte, aber dort wurde nichts gefunden. Ist es Sinnvoll, oder sicher diese Einstellungen auf das "neue" BS wieder einzuspielen? Laut Virenscanner ist das Backup der Einstellungen sauber (was ja noch lange nichts heißt). Weiß vllt auch jemand, wie viel Platz Win XP Prof. SP2 inklusive aller Patches benötigt? Habe vor eine Partition zu erstellen wo nur das BS drauf ist. (Ja, ich weiß das der Zugriff auf die Programme dann länger dauert)

Mfg Richie


Alt 14.12.2007, 15:55   #6
Richie
 
Bitte um Logfileauswertung - Standard

Bitte um Logfileauswertung



Hat sich erledigt, hab mein System neu aufgesetzt.
Vielen Dank an Euch allen.

Gruß Riche

Antwort

Themen zu Bitte um Logfileauswertung
antivir, bho, central, dateien, dll, ellung, explorer, firewall, hijack, internet, internet explorer, internet security, keine ahnung, maßnahme, micro, microsoft, nvidia, ordner, problem, programme, rundll, scan, security, software, spyware, super, system, system volume information, systemwiederherstellung, trend micro, windows, windows xp



Ähnliche Themen: Bitte um Logfileauswertung


  1. Trojaner, Malware etc. Bitte Logfileauswertung
    Mülltonne - 21.05.2012 (2)
  2. Taskleiste ist nicht ansprechbar, bitte um Logfileauswertung!
    Log-Analyse und Auswertung - 28.09.2008 (0)
  3. bitte um logfileauswertung
    Log-Analyse und Auswertung - 06.09.2008 (1)
  4. Bitte Logfileauswertung
    Mülltonne - 26.07.2008 (0)
  5. Bitte Logfileauswertung
    Mülltonne - 25.07.2008 (0)
  6. Computer extrem langsam bitte um Logfileauswertung
    Log-Analyse und Auswertung - 17.05.2008 (13)
  7. Bitte um Logfileauswertung
    Mülltonne - 17.05.2008 (0)
  8. TR/Agent.4608 --> bitte um logfileauswertung
    Mülltonne - 02.05.2008 (0)
  9. HiJackThis Logfileauswertung bitte um Hilfe
    Log-Analyse und Auswertung - 28.04.2008 (7)
  10. System ist extrem langsam. Bitte um Logfileauswertung
    Log-Analyse und Auswertung - 07.11.2007 (7)
  11. Bitte um Logfileauswertung
    Log-Analyse und Auswertung - 06.11.2007 (1)
  12. Bitte um Hilfe / Logfileauswertung
    Mülltonne - 06.11.2007 (0)
  13. scvhost.exe (Logfileauswertung bitte)
    Log-Analyse und Auswertung - 20.04.2007 (6)
  14. virus--> bitte um logfileauswertung
    Mülltonne - 13.04.2007 (4)
  15. Hilfe!! PC spinnt - Bitte um Logfileauswertung
    Log-Analyse und Auswertung - 02.01.2006 (3)
  16. Bitte mal präfentiv Logfileauswertung
    Log-Analyse und Auswertung - 17.08.2005 (2)
  17. Bitte um Logfileauswertung - Spyware + langsames System
    Log-Analyse und Auswertung - 05.09.2004 (1)

Zum Thema Bitte um Logfileauswertung - Erst mal ein freundliches Hallo an alle Profis hier, ihr leistet eine super Arbeit :aplaus: Nun mein Problem, ich habe gestern ein scan mit a-squared free durchgeführt und musste mit - Bitte um Logfileauswertung...
Archiv
Du betrachtest: Bitte um Logfileauswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.