Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 23.02.2008, 17:33   #1
luchini
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



Hallo an alle.
Ich bin neu hier und brauch eure Hilfe.
Also ich denke ich hab mir einen Trojaner eingefangen und das schon länger da ich mal was mit Vundo fix probiert hatte aber das hat wohl nicht geholfen.

Kann sich jemand mal meinen Lofile angucken???

So hier mal was Antivir sagt:



Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\xpdx.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Und hier mein Logfile:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:03, on 23.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mr. Pink\Desktop\utorrent.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--


Hoffe Ihr könnt mir helfen.

Besten Dank

Alt 24.02.2008, 13:29   #2
luchini
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



Hat hier keiner nen Tipp für mich
__________________


Alt 24.02.2008, 14:53   #3
boston
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



hallo luchini,
sogar mehrere tips:

- poste ein komplettes hjt-log

- lade dier hier
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
blacklight herunter
dann als admin :
- i accept the agreement
- next
- scan
und dann poste das log, das du im blacklight-ordner findest.
__________________

Alt 24.02.2008, 21:58   #4
luchini
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



Ist das der Logfile?????

02/24/08 22:42:13 [Info]: BlackLight Engine 1.0.67 initialized
02/24/08 22:42:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/24/08 22:42:13 [Note]: 7019 4
02/24/08 22:42:13 [Note]: 7005 0
02/24/08 22:42:22 [Note]: 7006 0
02/24/08 22:42:22 [Note]: 7011 1580
02/24/08 22:42:22 [Note]: 7026 0
02/24/08 22:42:22 [Note]: 7026 0
02/24/08 22:42:27 [Note]: FSRAW library version 1.7.1024
02/24/08 22:49:55 [Note]: 7007 0

Alt 25.02.2008, 16:32   #5
boston
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



hallo luchini,
wir brauchen immer noch ein komplettes hijackthis-log.
am besten nennst du die hijackthis.exe um, z.b. in abc.exe.
dann poste bitte das log.

dann bitte folgendes:

- geh in den abgesicherten modus
(beim starten des computers, bevor das windows-logo erscheint,
mehrmals f8 drücken).

- melde dich dann als
adminstrator an und kopiere die datei

C:\WINDOWS\system32\xpdx.sys

in einen anderen ordner.

- laß diese datei aus diesem anderen ordner dann bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
auswerten und poste das komplette ergebnis hier.


Alt 25.02.2008, 17:16   #6
luchini
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



So hoffe das ist jetzt mal der richtige Logfile

Den rest werde ich gleich ausprobieren.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:14:21, on 25.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mr. Pink\Desktop\utorrent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\abc.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203538156312
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - Winlogon Notify: byxyvtq - byxyvtq.dll (file missing)
O20 - Winlogon Notify: winosz32 - winosz32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 7018 bytes

Alt 25.02.2008, 17:59   #7
luchini
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



Habe probiert die xpds datei zu kopieren.
Allerdings sagt er mir das es nicht geht und ob der Pfad bzw. Dateiname richtig sei?

Die Datei heißt auch nur xpdx ohne Endung und ist ca. 57kb groß.

Alt 25.02.2008, 21:43   #8
boston
 
Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Standard

Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.



hallo luchini,
daß das .sys nicht angezeigt wird, liegt daran, daß
"erweiterungen bei bekannten dateitypen ausblenden" bei dir aktiviert ist/war.

xpdx.sys und die upload/kopier-probleme weisen auf diese malware hin
xpdx.sys - Program Information

vt-analyse und wohl auch löschen der datei wären mit einer live-cd wie knoppix möglich, ich halte den aufwand aber nicht für vertretbar, da das auch nicht zu einem vertrauenswürdigen system führen würde, zumal auch
hier
O20 - Winlogon Notify: winosz32 - winosz32.dll (file missing)
etwas ärgeres gewerkelt hat.

ich kann dir leider nur ein Neuaufsetzen empfehlen.

http://www.trojaner-board.de/12154-a...sicherung.html

Geändert von boston (25.02.2008 um 21:57 Uhr)

Antwort

Themen zu Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.
antivir, avira, bonjour, dateien, defender, desktop, einstellungen, explorer, firefox, hijack, hijackthis, internet, internet explorer, logfile, mozilla, mozilla firefox, neu, programme, software, suche, system, trojaner, trojaner eingefangen, vundo, warnung, windows, windows xp



Ähnliche Themen: Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc.


  1. Avira meldet TR/Sirefef.BV.2 -- C:\\windows\system32\ac97inctc.ddl und nach Quarantäne c:\\windows\system32\persfw.dll
    Plagegeister aller Art und deren Bekämpfung - 12.12.2012 (4)
  2. incredibar eingefangen/ DLL C:\Windows\system32\MSCTF.dll ist keine gültige windows datei
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  3. Trojaner C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt: FQ10 Fehler in C:\Windows\system32\rundll32.exe Folgender Eintrag fehlt:
    Plagegeister aller Art und deren Bekämpfung - 05.10.2012 (19)
  4. @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\windows\System32\alg.exe
    Plagegeister aller Art und deren Bekämpfung - 17.04.2011 (1)
  5. C:\windows\system32/winlogon.exe (auswertung logfile)
    Log-Analyse und Auswertung - 12.09.2010 (29)
  6. Virus im Ordner Windows/system32/drivers - Hijackthis logfile
    Log-Analyse und Auswertung - 22.06.2010 (34)
  7. Bitte das ComboFix Log begutachten
    Log-Analyse und Auswertung - 21.09.2009 (16)
  8. Bitte dringend meine Log begutachten
    Mülltonne - 29.04.2008 (1)
  9. Bitte noch einmal Log file begutachten!!
    Mülltonne - 24.02.2008 (0)
  10. Bitte Logfile begutachten
    Log-Analyse und Auswertung - 24.02.2008 (3)
  11. Bitte Log-File begutachten - Danke!!!
    Log-Analyse und Auswertung - 12.11.2007 (1)
  12. F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDO WS\system32\n
    Log-Analyse und Auswertung - 05.10.2007 (10)
  13. iexplore.exe im taskmanager, logfile bitte begutachten
    Log-Analyse und Auswertung - 02.01.2007 (3)
  14. Auswertung begutachten!
    Log-Analyse und Auswertung - 26.08.2006 (1)
  15. Auswertung begutachten!
    Log-Analyse und Auswertung - 24.08.2006 (2)
  16. Logfile begutachten
    Log-Analyse und Auswertung - 23.12.2005 (3)
  17. bitte log files begutachten
    Log-Analyse und Auswertung - 30.12.2004 (4)

Zum Thema Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. - Hallo an alle. Ich bin neu hier und brauch eure Hilfe. Also ich denke ich hab mir einen Trojaner eingefangen und das schon länger da ich mal was mit Vundo - Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc....
Archiv
Du betrachtest: Logfile begutachten (C:\WINDOWS\system32\xpdx.sys )etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.