Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte Logfile prüfen....

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.02.2008, 01:53   #1
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hallo liebe Gemeinde,

nachdem ich auf mein Stick ein Trojaner nach ein Antivir-scan fand habe ich auf mein Läppi nichts weiter finden können.

Zur Sicherheit mal dieses Logfile, in der Hoffnung das es alles clean ist:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:42:58, on 19.02.2008
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DU Meter\DUMeter.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\MSDXM.OCX
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4538 bytes

habe versucht den Eintrag:
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
zu fixen, geht aber nicht, bekomme diesen String nicht weg.
Wie kann ich dem zuleibe rücken, so das ich es bei neuen scan nicht mehr vorfinde.
Für Eure Hilfe und Tipps bzw. Hinweise Danke ich schonmal vorab recht herzlich...
best greetings

Alt 19.02.2008, 09:06   #2
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hi,
Welcher Virus wurde denn gefunden? In welcher Datei?
Hattest du den Stick an deinem Rechner angeschlossen?
Ist die automatische Erkennung und Einbindung von Geräten bei dir aktiviert?

Wenn ja, dann könntest du durchaus infiziert sein.
In deinem Log sieht man vorerst nicht (das heißt nicht unbedingt viel), da muss man evtl noch genauer hinsehen.

Den Dienst kannst du fixen, wenn du entsprechend unserer Anleitung für O23-Einträge vorgehst:
Zitat:
O23 - Einträge sollten erst gefixed werden, wenn zuvor der Dienst beendet wurde: Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf z.B. Remote Procedure Call (RPC) Helper -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen
lg myrtille
__________________


Alt 19.02.2008, 09:34   #3
blow-in
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Einfach mal mit reinhängen:
Zitat:
Zitat von roketstar Beitrag anzeigen
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Deinen Internet Explorer solltest du updaten, auch wenn du ihn nicht benutzt.
Für die XP-Updates und bei Online Scans wird er benötigt.
__________________

Alt 19.02.2008, 09:39   #4
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Zitat:
Zitat von blow-in Beitrag anzeigen
Einfach mal mit reinhängen:


Deinen Internet Explorer solltest du updaten, auch wenn du ihn nicht benutzt.
Für die XP-Updates und bei Online Scans wird er benötigt.
Na, wenn wir schon beim Updaten sind, dann bitte auch Java aktualisieren!
Bei dir:
Zitat:
C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
Aktuell: 6.04!

Also bitte über Start->Systemsteuerung->Software alle alten Javaversionen deinstallieren (Wichtig!) und dann von hier die neue Version laden: http://www.trojaner-board.de/105213-java-update-einstellungen.html]sun[/url]

lg myrtille

Alt 19.02.2008, 13:10   #5
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Danke das Ihr mal reingesehen habt.
Java update habe ich durchgeführt.
Explorer habe ich versucht, hat auch was gemacht und neugestartet aber ist wohl fehlgeschlagen.
Brauche hierzu noch hilfe.
Der Stick wird automatisch erkannt, welcher Trojaner da drauf war weiß ich nicht, sorry.
Habe auch versucht nach der Anleitung den Dienst zu beenden- wie vorgegeben- kann aber die nötigen clicks nicht vornehmen weil da nichts veränderbar ist.
Hier der neue Scan:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:04:09, on 19.02.2008
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\MSDXM.OCX
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - D:\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4718 bytes

den letzten Eintrag hätte ich auch gerne weg, nutze die TV_Card mit der X10 Fernbedienung nicht mehr.

Danke für weitere Hinweise.
greetz


Alt 19.02.2008, 13:38   #6
blow-in
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Bei dem IExplorer bist du da über Windowsupdate gegangen, oder hattest du eine CD aus so einer Computerzeitschrift?

Alt 19.02.2008, 14:45   #7
dastear
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Zitat:
Zitat von blow-in Beitrag anzeigen
Bei dem IExplorer bist du da über Windowsupdate gegangen, oder hattest du eine CD aus so einer Computerzeitschrift?
Hallo Leute,
ähnliches Problem mit Mehrfachstart svchost.exe seit Installation von IE7 von einer Heft-CD bzw. von einem Board.
(System: WINXP SP2, aktuell gewartet, tgl. 2x AntiVir Premium, laufend RegCleaner, prefetch sauber, usw.)

Unter Prozesse im TaskManager sieht man neben den 3 wohl notwendigen
svchost.exe System,svchost.exe Lokaler Dienst, svchost.exe Netzwerkdienst,
einen sich zusätzlich immer wieder aktivierenden neuen Prozess
svchost.exe System mit ca. 8.600 kB bis 9.800 kB
(bei jedem Internetzugriff außerdem svchost.exe System mit ca. 5.400kB )
löscht man den Prozeß dieser zusätzlichen svchost.exe fährt der PC nicht etwa runter, sondern sie starten sich sporadisch innerhalb weniger Sekunden wieder neu!
Worin ist der Grund dieser sich aus C:\WINDOWS\system32 immer wieder neu startenden svchost.exe Prozesse (8.800 kB) zu suchen?
Löscht man die zusätzlichen Prozesse im TaskManager nicht, kommt beim Internetgriff die Fehlermeldung:
svchost.exe - Fehler in der Anwendung
Die Ausnahme "unknown software exception" (0xc000001) ist in der Anwendung an der Stelle (0x7549bba5) aufgetreten
Klicken Sie auf „OK“, um das Programm zu beenden oder „Abbrechen“ , um zu debuggen.

Funktioniert beides, aber nur für wenige Sekunden. Die zusätzlichen svchost.exe Prozesse starten gleich wieder neu!

Welcher MS-Crack kennt einen, der Rat weiß???

mfg. dastear

Alt 19.02.2008, 16:32   #8
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Naja, die Infos sind ja etwas dürftig...
Schau mal bei Antivir, der sollte sich gemerkt haben welchen Bösewicht er gelöscht hat.

Lass bitte auch mal folgendes Tool über deinen Rechner laufen und poste das Log hier:
combofix

lg myrtille

Alt 19.02.2008, 19:21   #9
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



OK, bin jetzt auf Arbeit...schaue wegen den Trojaner nachher mal bei Antivir rein und poste dann.
Combofix Log folft dann auch...
Das Explorer Update habe ich von der MS-Update Seite geladen.
Wie erwähnt, jetzt auch schon mehrfach ausprobiert, auch alle Hintergrungproggies wie Antivir, SpyTool und Firewall ausgeschaltet...
bisher aber Erfolglos IE auf die neueste Version upzudaten.
Brauche auch nochmal Tips wie ich die nicht mehr benätigten services aus der Log entfernen kann.
ThX again...
greetings

Alt 20.02.2008, 01:52   #10
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hallo,
habe die gewünschten scans durchgeführt und poste die logs:

Hier der Antivir Report vom gefundenen Trojaner:

-gekürzt-
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: H:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 16. Februar 2008 13:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ApntEx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DUMeter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Apoint.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BCMWLTRY.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLTRYSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PERSFW.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ADCDLicSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '17' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Lokaler Datenträger>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd6541.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
E:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'F:\' <KINGSTON>
F:\Stick\Programme\AIO-SystemOptimizers\System Optimizers.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> AutoPlay/Docs/Fix_1.rar
[1] Archivtyp: RAR
--> patch.exe
[FUND] Ist das Trojanische Pferd TR/Horse.CQG
--> AutoPlay/Docs/keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.185600
[INFO] Die Datei wurde gelöscht.
Beginne mit der Suche in 'H:\'
Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.


Hier der Log von Combofix:

ComboFix 08-02-15.2 - holi 2008-02-20 1:31:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.673 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\uninstall.exe
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\nm
((((((((((((((((((((((( Dateien erstellt von 2008-01-20 bis 2008-02-20 ))))))))))))))))))))))))))))))
.
2008-02-19 12:54 . 2008-02-19 12:54 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-02-19 12:54 . 2006-05-25 10:29 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-02-19 12:43 . 2007-12-14 01:59 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-19 12:42 . 2008-02-19 12:42 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-02-17 14:41 . 2008-02-17 14:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 14:40 . 2008-02-19 01:10 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-17 14:40 . 2008-02-17 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\SUPERAntiSpyware.com
2008-02-17 06:56 . 2008-02-17 06:56 <DIR> d-------- C:\Programme\Trend Micro
2008-02-11 17:19 . 2008-02-11 17:19 <DIR> d-------- C:\Programme\iPhoneBrowser
2008-02-10 16:07 . 2008-02-10 16:07 <DIR> d-------- C:\Programme\BreakPoint Software
2008-02-09 14:47 . 2008-02-09 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\holi\Anwendungsdaten\klickTel
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Programme\DU Meter
2008-02-09 10:58 . 2008-02-09 10:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hagel Technologies

(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 11:43 --------- d-----w C:\Programme\Java
2008-02-17 06:43 --------- d-----w C:\Programme\TVgenial
2008-02-17 06:28 --------- d-----w C:\Programme\RegCleaner
2008-02-06 08:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-06 07:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-01-12 18:59 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Apple Computer
2008-01-08 01:44 --------- d-----w C:\Dokumente und Einstellungen\holi\Anwendungsdaten\Computer Aces
2008-01-01 04:31 --------- d-----w C:\Programme\ReflexiveArcade
2006-02-19 16:57 8,192 -csha-w C:\WINDOWS\o2cLicStore.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-03-12 00:10 14336]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-19 00:17 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2004-02-02 14:32 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-26 18:34 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-05 18:03 267064]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-11-27 15:21 1587224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-03-12 00:10 14336]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 C:\WINDOWS\system32\NeroCheck.exe

R1 cpuidlep;CpuIdle Pro System Driver;C:\WINDOWS\system32\drivers\cpuidlep.sys [2005-10-02 14:14]
R1 fwdrv;Tiny Personal Firewall Driver;C:\WINDOWS\system32\Drivers\fwdrv.sys [2001-10-12 15:25]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]
S3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-28 15:34]
S3 DTT200U;DTT200U DVB-T USB receiver Driver;C:\WINDOWS\system32\Drivers\DTT200U.sys [2004-09-06 05:40]
S3 DTT200ULD;DTT200U DVB-T USB receiver firmware loader;C:\WINDOWS\system32\Drivers\DTT200ULD.sys [2004-12-14 20:42]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe []
S3 IwUSB;IwUSB Driver;C:\WINDOWS\system32\Drivers\IwUSB.sys [2007-07-27 09:38]
S3 O2SCBUS;O2Micro SmartCardBus Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 20:58]
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-20 01:35:28
Windows 5.1.2600 Service Pack 2, v.2096 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cscript.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-20 1:37:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-20 00:37:05

Alt 20.02.2008, 02:18   #11
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hi,
Zitat:
:\Stick\Programme\AIO-SystemOptimizers\System Optimizers.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> AutoPlay/Docs/Fix_1.rar
[1] Archivtyp: RAR
--> patch.exe
[FUND] Ist das Trojanische Pferd TR/Horse.CQG
--> AutoPlay/Docs/keygen.exe
[FUND] Ist das Trojanische Pferd TR/Agent.185600
Na das ist doch recht deutlich! Und wieder einmal ein Beweis warum man keine gecrackten Programme nutzen sollte!
Wenn du das gute Stück nicht ausgeführt hast, solltest du nochmal Glück gehabt haben. Aber du solltest vielleicht dein Verhalten am Rechner einmal ein wenig überdenken!

lg myrtille

Alt 20.02.2008, 12:29   #12
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Das Proggi hatte ich dort nur gespeichert, nicht gestartet....
also Glück gehabt.
Werde mal über dein Vorschlag nachdenken.
Wie bekomme ich den IE noch upgedatet?
lg

Alt 20.02.2008, 13:31   #13
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hi,
da ich nicht so genau verstanden habe, woran es bei dir scheitert, würde ich dich bitten, folgend Anleitung nochmal abzuarbeiten und mir zu sagen, woran es dann scheitert: IE7

Ich bräuchte dann möglichst auch die genauen Fehlermeldungen, diese also bitte notieren.

lg myrtille

Alt 21.02.2008, 01:25   #14
roketstar
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hi,
nachdem der Pc etwas rumrödelt kommt nur ein Fenster zum schluss das der Explorer nicht installiert werden konnte. Man soll noch einen Neustart machen und das wars dann.... mehr nicht. Keine Detaillierte Fehlermeldung oder dergleichen, keine Codes oder Fehlernummern...
Habe ich da ein Dienst am laufen der dies verhindert?
Also, ich weiß nicht weiter wie ich den IE updaten könnte, da ja auch keine Vernünftige Meldung ausgegeben wird.
Damals als ich auf SP2 gegangen war hatte ich so ein Tool wo man alles mögliche up-to-date macht und da konnte ich up auf IE7 und WM11 abwählen was ich da auch gemacht hatte.
Habe ich einen Chance das Update noch geregelt zu bekommen ohne das ich SP2 komplett deinstallen muß?
greetz

Alt 21.02.2008, 01:37   #15
myrtille
/// TB-Ausbilder
 
Bitte Logfile prüfen.... - Standard

Bitte Logfile prüfen....



Hi,
hier gibts noch ein paar Infos zu Beheben von fehlerhaften Installationen: microsoft.

Mehr kann ich da jetzt auch nicht tun. Solange ich nicht erahnen kann, was das Problem ist, kann ich dir auch nicht helfen...
Du installierst schon mit einem Konto mit Adminrechten? Hast du mal versucht Antivir&SAS zu deaktivieren? Welche der beiden Meldungen bekommst du?

lg myrtille

Antwort

Themen zu Bitte Logfile prüfen....
adobe, avira, bho, dateien, excel, explorer, firewall, greetings, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, magix, microsoft, programme, s-1-5-18, server, sicherheit, software, stick, superantispyware, system, trojaner, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: Bitte Logfile prüfen....


  1. Bitte HJT Logfile prüfen
    Log-Analyse und Auswertung - 16.07.2008 (45)
  2. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 04.07.2008 (8)
  3. Bitte Logfile prüfen
    Mülltonne - 02.07.2008 (0)
  4. Bitte Logfile prüfen!
    Log-Analyse und Auswertung - 10.02.2008 (3)
  5. Bitte logfile prüfen
    Log-Analyse und Auswertung - 08.02.2008 (2)
  6. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 31.07.2007 (10)
  7. logfile bitte prüfen
    Log-Analyse und Auswertung - 29.08.2006 (3)
  8. bitte Logfile prüfen!?
    Log-Analyse und Auswertung - 26.07.2006 (4)
  9. Bitte Logfile prüfen
    Mülltonne - 18.07.2006 (2)
  10. Bitte Logfile Prüfen!
    Log-Analyse und Auswertung - 17.05.2006 (2)
  11. Logfile bitte prüfen
    Log-Analyse und Auswertung - 06.07.2005 (3)
  12. Bitte Logfile prüfen !!!
    Log-Analyse und Auswertung - 05.07.2005 (2)
  13. Bitte Logfile prüfen
    Log-Analyse und Auswertung - 09.06.2005 (5)
  14. Logfile bitte prüfen
    Log-Analyse und Auswertung - 01.05.2005 (12)
  15. Bitte Logfile prüfen!
    Log-Analyse und Auswertung - 04.03.2005 (1)
  16. Bitte mal logfile prüfen !!!!
    Log-Analyse und Auswertung - 02.02.2005 (6)
  17. bitte,bitte einmal meine logfile prüfen
    Log-Analyse und Auswertung - 26.01.2005 (4)

Zum Thema Bitte Logfile prüfen.... - Hallo liebe Gemeinde, nachdem ich auf mein Stick ein Trojaner nach ein Antivir-scan fand habe ich auf mein Läppi nichts weiter finden können. Zur Sicherheit mal dieses Logfile, in der - Bitte Logfile prüfen.......
Archiv
Du betrachtest: Bitte Logfile prüfen.... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.