Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Komische Programme ...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.08.2008, 17:06   #1
zweipack
 
Komische Programme ... - Standard

Komische Programme ...



Hallo Zusammen hab mal ne Frage hab mein Windows neu aufgesetzt und jetz mal "sicherheitshalber" mal ein hiijackthis log angeschaut dabei ist mir aufgefallen das da ziemlich komische befehle bzw. Programme laufen bei dennen es unter der hiijackthis Logfileauswertung nur unbekanntes Programm stand.

Hier die Logfile:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:50:05, on 21.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Creative\Shared Files\CTSched.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\ASUS\Cool & Quiet\cool&quiet.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Nero\Nero8\Nero StartSmart\NeroStartSmart.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Nero\Nero8\Nero StartSmart\NeroInFDiscCopy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\ie7pro\IEPro.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [cool&quiet] C:\Programme\ASUS\Cool & Quiet\cool&quiet.exe
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\ie7pro\IEPro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\ie7pro\IEPro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6819 bytes



Ja jetz meine Frage wollte die Fixen und dann kam von Windows die Meldung änderung in den Systemeinstellung der Pc muss neugestartet werden. Soll bzw. kann ich das nochmal rückgänig machen, oder was würdet ihr empfehlen ?


Vielen Dank schonmal für eure Hilfe.

Alt 21.08.2008, 17:45   #2
zweipack
 
Komische Programme ... - Standard

Komische Programme ...



lass jetz nochmal Malwarebytes drüberlaufen
__________________


Alt 21.08.2008, 18:35   #3
zweipack
 
Komische Programme ... - Standard

Komische Programme ...



keiner eine idee ? hier die log datei von malwarebytes

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.1.2600 Service Pack 3

18:34:15 21.08.2008
mbam-log-08-21-2008 (18-34-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|R:\|)
Durchsuchte Objekte: 77209
Laufzeit: 14 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\SEC (Rogue.SecureExpertCleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Not selected for removal.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
__________________

Alt 21.08.2008, 19:55   #4
myrtille
/// TB-Ausbilder
 
Komische Programme ... - Standard

Komische Programme ...



Hi,

Zitat:
Zitat von zweipack Beitrag anzeigen
Ja jetz meine Frage wollte die Fixen und dann kam von Windows die Meldung änderung in den Systemeinstellung der Pc muss neugestartet werden. Soll bzw. kann ich das nochmal rückgänig machen, oder was würdet ihr empfehlen ?
Willst du uns noch verraten welche Einträge du gefixt hast, oder sollen wir erraten was in deinem Log fehlt? Und welche Einträge willst du noch fixen?
Wo kamen Fehlermeldungen und wo nicht? Welche Einträge sind nicht mehr im Log, welche sollen nicht ins Log und welche hättest du gerne im Log?

Hijackthis besitzt eine Backup funktion, alle gelöschten Einträge können also wiederhergestellt werden.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 21.08.2008, 20:49   #5
zweipack
 
Komische Programme ... - Standard

Komische Programme ...



was hat es mit diesen einträgen auf sich ?

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

für windows benötigt ?

gefixte :

C:\Programme\ICQ6Toolbar\ICQ Service.exe gefixt
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)


würdet ihr das alles so lassen oder soll noch was weg ?


Alt 21.08.2008, 21:54   #6
myrtille
/// TB-Ausbilder
 
Komische Programme ... - Standard

Komische Programme ...



Hi,

Zitat:
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [IE7] rundll32 advpack.dll,LaunchINFSection IE7.inf,FirstUserStart (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
Diese Einträge gehören zu nLite, wenn sie zum ersten Mal ausgeführt werden, werden die Registryeinstellungen von nLite übernommen.

Die Einträge sollten aber behalten werden, da sie beim erstellen neuer Nutzer benötigt werden.

Zitat:
O4 - HKUS\S-1-5-20\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'NETZWERKDIENST')
Gehört IIRC zum Internet Explorer. Der Eintrag sollte problemlos entfernt werden können.

Zitat:
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
Der Eintrag ist noch da

Wie man einen Dienst korrekt stoppt kannst du in der HijackThis Anleitung nachlesen.

lg myrtille
__________________
--> Komische Programme ...

Antwort

Themen zu Komische Programme ...
adobe, asus, bho, dateien, dll, ellung, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, hotkey, icq, internet, internet explorer, log, microsoft, mozilla, mozilla firefox, neu, neu aufgesetzt, preferences, programme, regsvr32, rundll, sicherheitshalber, software, system, tuneup.defrag, unbekanntes programm, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Komische Programme ...


  1. Laptop läd Programme sehr langsam, Programme-Fehlermeldung (keine Rückmeldung) & im Chrome Seiten laden nicht
    Plagegeister aller Art und deren Bekämpfung - 06.10.2014 (5)
  2. Programme werden bei "Programme und Funktionen" nicht angezeigt (Windwos 7)
    Log-Analyse und Auswertung - 13.05.2014 (2)
  3. Unter "Programme und Features" werden fast keine Programme mehr angezeigt!
    Alles rund um Windows - 22.04.2014 (19)
  4. windows 7 - programme schließen nicht, surfen unmöglich wegen ständigen Popups und Weiterleitungen, lange Ladezeiten der Programme -Virus?
    Plagegeister aller Art und deren Bekämpfung - 22.12.2013 (9)
  5. keygenguru.com Virus! Zerstört Anti-Viren Programme und andere Programme! (XP)
    Alles rund um Windows - 29.07.2011 (2)
  6. Programme aus "Programme"-Ordner öffnen nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 20.03.2011 (1)
  7. Gestern merkwürdige Systemüberlastung gehabt - Komische Programme öffnetten sich beim Youtuben
    Log-Analyse und Auswertung - 08.10.2010 (5)
  8. Win7 Programme und Funktionen, Programme nur teilweise angezeigt
    Alles rund um Windows - 08.08.2010 (1)
  9. Komische hintergrund Programme?
    Log-Analyse und Auswertung - 16.04.2010 (1)
  10. komische dateien
    Alles rund um Windows - 19.04.2009 (3)
  11. Komische Exe?
    Log-Analyse und Auswertung - 28.07.2008 (2)
  12. komische links bei icq und komische email was ist das??
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (3)
  13. komische buchstaben
    Plagegeister aller Art und deren Bekämpfung - 14.03.2006 (3)
  14. komische anwendung
    Plagegeister aller Art und deren Bekämpfung - 10.11.2005 (6)
  15. Komische E-Mail
    Alles rund um Windows - 16.11.2004 (15)
  16. Komische E-Mail
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (9)

Zum Thema Komische Programme ... - Hallo Zusammen hab mal ne Frage hab mein Windows neu aufgesetzt und jetz mal "sicherheitshalber" mal ein hiijackthis log angeschaut dabei ist mir aufgefallen das da ziemlich komische befehle bzw. - Komische Programme ......
Archiv
Du betrachtest: Komische Programme ... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.