Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte mal drüber schauen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.01.2008, 22:45   #1
Alucard_6
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



Hallo,

hab seit einiger Zeit das Problem, dass sich bei jedem PC-Start ein Fenster öffnet "Persönliche Einstellungen werden geladen für: shar". Zunächst habe ich das ignoriert, weil es keine bemerkbaren Konsequenzen hatte. Nun ist mir aber aufgefallen, dass mein Rechner in einigen Spielen nicht mehr mitkommt, d.h. das die Spiele laggen.

Wäre nett wenn einer mal über mein Logfile schauen könnte, ob man da was erkennen kann.

Im voraus schonmal vielen Dank



Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:37:23, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\My_Server.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\desktop programm - verknüpfungen\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*w.firstload.de/affiliate/log.php?log=6712
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\My_Server.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://static.ak.studivz.net/photouploader/ImageUploader4.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 04.01.2008, 17:08   #2
Alucard_6
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



hab grad smitfraud wiedergefunden, hier is was der sagt:

SmitFraudFix v2.128

Scan done at 18:08:29,68, 04.01.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\desktop programm - verknpfungen\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
__________________


Alt 04.01.2008, 22:14   #3
boston
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



Wahrscheinlich wird Dir nichts anderes als Neuaufsetzen bleiben.
Lass bei virustotal.com
C:\WINDOWS\system32\My_Server.exe
überprüfen und poste das Ergebnis hier.
__________________

Alt 04.01.2008, 23:33   #4
Alucard_6
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



so, hab ich gemacht

hier is, was bei rumgekommen is:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.10 2008.01.04 -
AntiVir 7.6.0.46 2008.01.04 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.04 -
BitDefender 7.2 2008.01.05 -
CAT-QuickHeal 9.00 2008.01.04 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.04 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.04 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.05 -
McAfee 5200 2008.01.04 -
Microsoft 1.3109 2008.01.05 -
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.04 -
Prevx1 V2 2008.01.05 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.05 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.04 -
Webwasher-Gateway 6.6.2 2008.01.04 -

weitere Informationen
File size: 157 bytes
MD5: d5369616e1702151666f8da874021e51
SHA1: 1afa9395d503bf4728036df18609079cc2b7cdd4
PEiD: -

sorry, habs ned hinbekommen, dass das hier übersichtlicher is :/

Alt 05.01.2008, 09:34   #5
mawal
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



Hallo,
ich habe seit heute genau das gleiche Problem,

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]


Alt 05.01.2008, 15:42   #6
boston
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



Bist Du Dir sicher, die richtige Datei
C:\WINDOWS\system32\My_Server.exe
gescannt zu haben?

File size: 157 bytes
sieht arg klein aus.

Du kannst auch noch mal einen Alternativ-Scan bei
http://virusscan.jotti.org/de/
machen.

Alt 05.01.2008, 16:53   #7
Alucard_6
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



hatte anscheinend echt die falsche datei, da waren zwei, einmal halt "My_server" und "my_server.exe". hab beim ersten mal letztere genommen, falsche entscheidung...

hier die auswertung von der richtigen (und nochmals meine entschuldigung, für die unübersichtliche aufmachung):

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 BDS/Agent.YZI.20
Authentium 4.93.8 2008.01.04 Possibly a new variant of W32/VB-Backdoor-PTWU-based!Maximus
Avast 4.7.1098.0 2008.01.04 Win32:VB-FED
AVG 7.5.0.516 2008.01.05 BackDoor.Generic8.ZLC
BitDefender 7.2 2008.01.05 Backdoor.Agent.YZI
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 Trojan.Karsh-1
DrWeb 4.44.0.09170 2008.01.05 BackDoor.Shark
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 Backdoor.Shark.aa
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 Baxor.B!tr
F-Prot 4.4.2.54 2008.01.04 W32/VB-Backdoor-PTWU-based!Maximus
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.05 Trojan-Dropper.Win32.Agent.bow
Kaspersky 7.0.0.125 2008.01.05 Heur.Backdoor.Generic
McAfee 5200 2008.01.04 Generic BackDoor.b
Microsoft 1.3109 2008.01.05 Trojan:Win32/VB.AAH
NOD32v2 2766 2008.01.04 probably a variant of Win32/VB.BCO
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 TROJAN.AGENT.GEN
Rising 20.25.52.00 2008.01.05 Backdoor.Win32.IRCbot.apf
Sophos 4.24.0 2008.01.05 Troj/Baxor-Gen
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 Backdoor.Trojan
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.05 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Backdoor.Agent.YZI.20

weitere Informationen
File size: 6966108 bytes
MD5: fb31e1f957b7c1e307ea09669ee1a425
SHA1: 4d7e277c559d1886ad9d1dcea223ade36f96d4f4
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=5A2AF22E5CACF74A4BBE6A11A5EE83004FADF2EA

Alt 05.01.2008, 18:54   #8
boston
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



Bei einem derartigen Befall bleibt Dir leider nichts anderes als Neuaufsetzen übrig.
http://www.trojaner-board.de/12154-a...sicherung.html

Alt 05.01.2008, 20:02   #9
Alucard_6
 
Bitte mal drüber schauen - Standard

Bitte mal drüber schauen



oh nein, das hab ich befürchtet x.x

naja, mach mich dann mal dran...

danke für die hilfe

Antwort

Themen zu Bitte mal drüber schauen
administrator, adobe, bho, bitte mal drüber schauen, cyberlink, desktop, einstellungen, excel, explorer, hijack, hijackthis, hotkey, icq, internet, internet explorer, konvertieren, logfile, microsoft, pdf, pdf-datei, problem, programme, rundll, software, spielen, system, vielen dank, windows, windows xp, wlan, öffnet



Ähnliche Themen: Bitte mal drüber schauen


  1. bitte kurz drüber schauen
    Mülltonne - 27.03.2009 (1)
  2. Bitte mal meinen Rechner schauen
    Mülltonne - 18.11.2007 (1)
  3. Hijack log, bitte mal drüber schauen...
    Mülltonne - 14.11.2007 (0)
  4. einmal bitte drüber schauen
    Mülltonne - 01.11.2007 (1)
  5. Warum funktioniert mein Firefox nicht mehr
    Log-Analyse und Auswertung - 16.10.2007 (2)
  6. Log File bitte mal drüber schauen
    Mülltonne - 28.07.2007 (0)
  7. Bitte mal drüber schauen
    Log-Analyse und Auswertung - 01.07.2007 (4)
  8. Bitte mal drüber schauen
    Log-Analyse und Auswertung - 31.05.2007 (2)
  9. Bitte drüber schauen!
    Mülltonne - 31.01.2007 (1)
  10. Bitte drüber schauen!
    Mülltonne - 03.12.2006 (0)
  11. Bitte drüber schauen
    Log-Analyse und Auswertung - 16.05.2006 (8)
  12. Bitte mal drüber schauen.
    Log-Analyse und Auswertung - 03.02.2006 (8)
  13. Bitte mal drüber schauen
    Log-Analyse und Auswertung - 01.02.2006 (2)
  14. Bitte mal drüber schauen
    Log-Analyse und Auswertung - 19.09.2005 (2)
  15. Bitte mal drüber schauen...
    Log-Analyse und Auswertung - 17.09.2005 (2)
  16. Bitte mal drüber schauen...
    Log-Analyse und Auswertung - 15.09.2005 (12)
  17. Bitte mal drüber schauen. WinXP
    Log-Analyse und Auswertung - 31.10.2004 (3)

Zum Thema Bitte mal drüber schauen - Hallo, hab seit einiger Zeit das Problem, dass sich bei jedem PC-Start ein Fenster öffnet "Persönliche Einstellungen werden geladen für: shar". Zunächst habe ich das ignoriert, weil es keine bemerkbaren - Bitte mal drüber schauen...
Archiv
Du betrachtest: Bitte mal drüber schauen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.