Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte mal checken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 30.08.2008, 15:53   #1
Riu
 
Bitte mal checken - Standard

Bitte mal checken



Hallo,
also ich hab mir irgendetwas eingefangen und weiß nun nicht mehr weiter. Bei mir geht der Taskmanager nicht mehr, regedit kann ich auch nicht mehr starten. Habe Datenträger C und D. Win 2000 habe ich auf C und hab auch schon mehrmals C formatiert, nur nach einer Weile kommen die Probleme wieder. Manchmal kommt auch eine Fehrlermeldung als Desktop Hintergrund, in der behauptet wird, dass ich einen Virus habe und ich meinen Virus programm starten solle. Und diesen Hintergrund kann ich noch nichtmal weg machen.
Vielleicht hat ja jemand tipps dazu. Danke




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:36, on 30.08.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\savedump.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\system32\internat.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 4511 bytes

Alt 30.08.2008, 16:14   #2
Humpestos
 
Bitte mal checken - Standard

Bitte mal checken



Sers,

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
Das ist nicht gut. Du wirst ausspioniert. Ändere deine Passwörterund
hol dir am Besten SpyBot. Ich habe das im abgesicherten Modus bei crypt.Xpack und Virtumonde und PrivacyRemover.m64 laufen lassen. Auch zur Sicherheit Malwarebytes und CCleaner falls etwas in der Temp gefunden wurde.
SpyBot erkennt nämlich Vundo und hat viele Definitionen dafür.
Lösch nach allen Schritten alle Systemwiederherstellungspunkte unter Datenträger bereinigen auf dem Hauptfach. Davor erstellst du aber einen neuen unter Start->Programme->Zubehör

DIe Links zu den Programmen:


SpyBot: http://filepony.de/download-spybot_search_destroy/
Malwarebytes: http://www.malwarebytes.org/
CCleaner: http://filepony.de/download-ccleaner/


Gruß
Humpestos
__________________


Alt 30.08.2008, 16:43   #3
myrtille
/// TB-Ausbilder
 
Bitte mal checken - Standard

Bitte mal checken



Mit Verlaub,

Zitat:
Sers,
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2E23AB3-7F43-43CB-BC53-743A86BD29B0}: NameServer = 213.191.74.11 213.191.92.82
Das ist nicht gut. Du wirst ausspioniert. Ändere deine Passwörterund
Alice wird es nicht gerne sehen, wenn du behauptest, sie würde ihre Kunden ausspionieren!
Der Eintrag ist vollkommen legitim und sollte NICHT gefixt werden.


Mache bitte einen Scan mit Malwarebytes und poste das Ergebnis dann hier.
Alles andere ist vorerst nicht nötig.

lg myrtille
__________________
__________________

Alt 30.08.2008, 18:54   #4
Humpestos
 
Bitte mal checken - Standard

Bitte mal checken



Was heißt hier Alice. Der o.g. Server ist mit dem Computer verbunden und greift auf Daten zu. Nur weil ich jetzt T-Online habe, steht eine IP-Nummer im Log drin. Auch bei Downloads kommt so etwas nicht vor.
Bei anderen Logs, die dasselbe zeigten, wurde dazu geraten, schnell die Verbindung zu trennen...


Gruß

Alt 30.08.2008, 22:22   #5
nochdigger
 
Bitte mal checken - Standard

Bitte mal checken



Moin

Zitat:
Was heißt hier Alice
Ist sein I-Netanbieter

Zitat:
Der o.g. Server ist mit dem Computer verbunden und greift auf Daten zu. Nur weil ich jetzt T-Online habe, steht eine IP-Nummer im Log drin. Auch bei Downloads kommt so etwas nicht vor.
Waaaas meinst du?

Zitat:
Bei anderen Logs, die dasselbe zeigten, wurde dazu geraten, schnell die Verbindung zu trennen...
Die Verbindung zu Hansenet?
Macht jetzt keinen wirklichen Sinn

NUR FÜR DICH die WhoIs Abfrage
Zitat:
Whois Info

[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '213.191.71.128 - 213.191.76.255'

inetnum: 213.191.71.128 - 213.191.76.255
netname: HANSENET
descr: HanseNet Telekommunikation GmbH
country: DE
admin-c: DM3738-RIPE
tech-c: HANO-RIPE
status: ASSIGNED PA
mnt-by: HANSENET-MNT
source: RIPE # Filtered

role: HanseNet Network Operators
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33a
address: D-22297 Hamburg
abuse-mailbox: abuse@hansenet.com
admin-c: DM3738-RIPE
tech-c: TG819-RIPE # Thomas Graumann
tech-c: EULE-RIPE # Marco Eulenfeld
tech-c: SA1375-RIPE # Svend Andersen
tech-c: ASZ-RIPE # Andreas Schwarz
nic-hdl: HANO-RIPE
mnt-by: HANSENET-NOC
source: RIPE # Filtered

person: Danny Maack
address: HanseNet Telekommunikation GmbH
address: Ueberseering 33 A
address: D-22297 Hamburg
address: GERMANY
phone: +49 40 237 26 0
fax-no: +49 40 237 26 3996
nic-hdl: DM3738-RIPE
mnt-by: HANSENET-MNT
source: RIPE # Filtered
alle Klarheiten beseitigt?

@Riu mach bitte weiter wie myrtille beschrieben hat.

MFG

__________________
Kein Support per PN - Bitte im Forum posten.

Alt 30.08.2008, 23:53   #6
myrtille
/// TB-Ausbilder
 
Bitte mal checken - Standard

Bitte mal checken



Hi,

@Humpestos

welche Logs hast du dir angeguckt?
Wenn ich mal nach der IP suche, finde ich nur Treffer, wo die Einträge nicht angemeckert wurde:

Etwa hier und hier und hier und hier und hier und und und... Alle Themen findest du hier: google ist dein Freund

Nicht jede IP ist automatisch böse.
Ich lege dir die HijackThis Anleitung ans Herz, insbesondere die Erklärungen zu den einzelnen Einträgen:

Und da steht für O17:
Zitat:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.
ISP=Internet Service Provider=Dienstleister, der Internet zur Verfügung stellt, wie zb Alice.


lg myrtille
__________________
--> Bitte mal checken

Alt 31.08.2008, 03:39   #7
Riu
 
Bitte mal checken - Standard

Bitte mal checken



so hier ist der mbam log:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1062
Windows 5.0.2195 Service Pack 4

04:28:36 31.08.2008
mbam-log-08-31-2008 (04-28-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 45818
Laufzeit: 29 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

in den abgesichtern Modus kann ich übrigens auch nicht mehr, da kommt ein blauer Bildschirm mit Fehlermeldung

Alt 31.08.2008, 10:55   #8
myrtille
/// TB-Ausbilder
 
Bitte mal checken - Standard

Bitte mal checken



Hi,

lade dir bitte auch mal Smitfraudfix herunter und arbeite den Schritt Reinigung ab (im normalen Modus).

Ich bräuchte außerdem die genaue Fehlermeldung des Bluescreens. (Wenn die Meldung nicht lang genug angezeigt wird, dann nimm bitte den Haken bei Start->Systemsteuerung->System->Erweitert->Start und Wiederherstellen->bei Systemfehler den Haken vor "Automatisch Neustart durchführen" rausnehmen )

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Antwort

Themen zu Bitte mal checken
1.exe, adobe, antivirus, bho, checken, dateien, desktop, explorer, firewall, g data, hijack, hijackthis, hintergrund, hotkey, internet, internet explorer, micro, microsoft, programm, programme, regedit, security, software, starten., system, taskmanager, virus, windows



Ähnliche Themen: Bitte mal checken


  1. Bitte log checken
    Log-Analyse und Auswertung - 11.10.2009 (35)
  2. Bitte log checken
    Log-Analyse und Auswertung - 03.09.2008 (14)
  3. Bitte checken!
    Mülltonne - 31.08.2008 (0)
  4. Bitte mal Checken!!!
    Mülltonne - 19.09.2007 (0)
  5. HJT log Bitte checken
    Mülltonne - 07.09.2007 (0)
  6. Bitte Log checken
    Mülltonne - 15.06.2007 (0)
  7. Bitte mal checken
    Mülltonne - 12.06.2007 (0)
  8. SCVHOST.EXE Log file bitte checken! Bitte um hilfe
    Log-Analyse und Auswertung - 06.06.2007 (8)
  9. Bitte HJT checken
    Log-Analyse und Auswertung - 04.10.2006 (1)
  10. Bitte mal checken!
    Log-Analyse und Auswertung - 04.04.2006 (1)
  11. bitte mal checken
    Log-Analyse und Auswertung - 13.01.2006 (7)
  12. Bitte mal checken
    Log-Analyse und Auswertung - 02.07.2005 (0)
  13. bitte log checken
    Log-Analyse und Auswertung - 05.06.2005 (3)
  14. Log bitte Checken
    Log-Analyse und Auswertung - 05.06.2005 (1)
  15. log checken bitte
    Log-Analyse und Auswertung - 21.03.2005 (13)
  16. bitte mal checken
    Log-Analyse und Auswertung - 27.12.2004 (10)
  17. Bitte checken
    Log-Analyse und Auswertung - 16.06.2004 (4)

Zum Thema Bitte mal checken - Hallo, also ich hab mir irgendetwas eingefangen und weiß nun nicht mehr weiter. Bei mir geht der Taskmanager nicht mehr, regedit kann ich auch nicht mehr starten. Habe Datenträger C - Bitte mal checken...
Archiv
Du betrachtest: Bitte mal checken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.