Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Nach Trojaner Entfernung instabiles System

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.11.2008, 14:03   #1
Speaker
 
Nach Trojaner Entfernung instabiles System - Standard

Nach Trojaner Entfernung instabiles System



Hi,
ich habe mir vor kurzem durch eine Unachtsamkeit beim öffnen einer Mail einen Trojaner eingefangen.
Die Mail stammte eigentlich aus sicherer Quelle. Trotzdem habe ich die Datei gespeichert mit Kaspersky gescannt, und erst dann geöffnet. Beim Öffnen hatte ich für einige Sekunden eine heftige
Festplattenaktivität und die Datei war verschwunden. Allein das sprach schon für einen Schädling.
Ich habe den Rechner aus dem Netz genommen und mit einer frisch erstellten Notfall CD gescannt aber nichts gefunden. Erst nach einem neuen Scan nach einigen Tagen erkannte Kaspersky dann einen Schädling und entfernte diesen. Es muss wohl ein frischer Schädling gewesen sein, den der Scanner beim ersten Scan noch nicht kannte. Aber irgendwie habe ich noch immer Probleme. Festplattenaktivität wenn es keine geben dürfte und langsam startende Programme.
Ich hänge mal mein Logfile an, vielleicht erkennt ja einer von Euch was.
Schonmal danke für die Hilfe.
Gruß
Andreas


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:02:09, on 11.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\oxylbox\apache2\bin\Apache.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\oxylbox\apache2\bin\Apache.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
c:\programme\oxylbox\stoweb\stoweb.exe
C:\Programme\Virtual CD v9\System\VC9SecS.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programme\OO Software\DiskImage\oodiag.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Virtual CD v9\System\VC9Play.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Virtual CD v9\System\VC9Tray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [VC9Player] C:\Programme\Virtual CD v9\System\VC9Play.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1226154331656
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226154425593
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACDCEC87-8AD5-4078-94B5-DAC975E7B021}: NameServer = 192.168.0.200
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\oxylbox\apache2\bin\Apache.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O DiskImage - Unknown owner - C:\Programme\OO Software\DiskImage\oodiag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: stoWeb - - c:\programme\oxylbox\stoweb\stoweb.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Programme\Virtual CD v9\System\VC9SecS.exe

--
End of file - 7238 bytes

Alt 11.11.2008, 14:32   #2
Chris4You
 
Nach Trojaner Entfernung instabiles System - Standard

Nach Trojaner Entfernung instabiles System



Hi,

was wurde von Kaspersky gefunden und wo?

Das HJ-Log gibt nichts her...
Ausser das hier, das scheint aber valide zu sein:
O23 - Service: stoWeb - - c:\programme\oxylbox\stoweb\stoweb.exe
oder?

MAM, RSIT und MBR:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:
Zitat:
D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

chris

ps.: Wenn nichts gefunden wird, starten wir einen "Wiederbelebungsversuch", kannst schon mal das Backup anwerfen... ;o)
__________________

__________________

Alt 12.11.2008, 00:21   #3
Speaker
 
Nach Trojaner Entfernung instabiles System - Standard

Nach Trojaner Entfernung instabiles System



Hallo Chris,
ich danke für Deine Hilfe. Bis zu Malwarebytes' Anti-Malware bin ich gekommen. Dann war es vorbei mit meinem System. Er hat Malwarebytes' Anti-Malware nicht mal zuende ausgeführt. Mein Kaspersky hat Alarm geschlagen da es einen Win32.Trojan … und noch irgendwas gefunden hat. Den Rest konnte ich nicht mehr lesen, dann bootete das System wie von Geisterhand und das bei jedem Startversuch.
Nun hatte ich die Nase voll. Da ich alle wichtigen Daten gesichert hatte, habe ich die Platte formatiert und angefangen das System von einem sauberen Datenträger neu zu installieren.
Also einfach Kahlschlag und gut ist.
Nochmal zu Stoweb, das Du in Deinem Post erwähnt hast. Der Dienst ist Ok. Stoweb gehört wie auch Apache zu Oxylbox, einem Streamingserver für Mediadateien.
Also nochmal Danke für die Hilfe
Gruß
Andreas

PS: Eine Frage habe ich da noch. Wie Wertest Du diese Logs aus? Gibt es dafür Software, oder ist das reines Wissen? Auf jedenfalls hast Du meinen Respekt!!!
__________________

Alt 12.11.2008, 07:25   #4
Chris4You
 
Nach Trojaner Entfernung instabiles System - Standard

Nach Trojaner Entfernung instabiles System



Hi,

Beides;

Es gibt eine automatische Auswertung die erste Anhaltspunkte liefert:
-> http://www.hijackthis.de/

Die restlichen Logs werden dann per Hand ausgewertet!

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Nach Trojaner Entfernung instabiles System
192.168.0.2, babylon, bho, desktop, dll, explorer, hijack, hijackthis, hkus\s-1-5-18, hotkey, instabiles system, internet, internet explorer, internet security, kaspersky, langsam, logfile, microsoft, rundll, schutz, security, sekunden, software, solution, symantec, system, trojaner, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Nach Trojaner Entfernung instabiles System


  1. Windows 7 instabiles System nach neu aufsetzen des Rechners
    Alles rund um Windows - 30.03.2015 (1)
  2. Nach Maleware Entfernung erhebliche Probleme mit System
    Alles rund um Windows - 19.03.2015 (1)
  3. Instabiles System: Mehrere Bluescreens und Festplattenfehler
    Netzwerk und Hardware - 22.08.2013 (11)
  4. GVU Trojaner nach Entfernung wirklich weg?
    Log-Analyse und Auswertung - 07.08.2013 (13)
  5. Log nach scheinbar erfolgreicher(?)Entfernung von ,,System Progressive Protection''
    Log-Analyse und Auswertung - 14.10.2012 (21)
  6. Instabiles System - Daten runter sichern möglich?
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (2)
  7. 2. Rechner nach GVU Trojaner Entfernung: System jetzt sauber?(LogFiles dabei)
    Log-Analyse und Auswertung - 15.07.2012 (8)
  8. Nach GVU Trojaner Entfernung RUNDLL Fehlermeldung nach Systemstart ?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (2)
  9. System Check Virus. Nach Trojaner Entfernung immer noch geblockt!
    Plagegeister aller Art und deren Bekämpfung - 23.03.2012 (17)
  10. System nicht sauber nach XP Security 2012 Entfernung
    Log-Analyse und Auswertung - 06.02.2012 (20)
  11. [doppelt] GEMA Virus nach XP-Security-Entfernung auf unsicherem System eingefangen.
    Mülltonne - 02.02.2012 (2)
  12. Nach "System Fix" Entfernung nicht sicher ob alles beseitigt wurde
    Log-Analyse und Auswertung - 06.12.2011 (22)
  13. instabiles System - b.itte um eine Loganalyse
    Log-Analyse und Auswertung - 31.08.2011 (11)
  14. keine Virenscanner Updates mehr nach Entfernung von System Tool
    Log-Analyse und Auswertung - 30.12.2010 (1)
  15. Nach Trojaner entfernung, ist mein System wieder clean?
    Mülltonne - 20.11.2008 (0)
  16. Fehlermeldung nach trojaner entfernung!!!!
    Log-Analyse und Auswertung - 08.01.2006 (4)
  17. Mein System läuft nicht mehr stabil nach Entfernung IGUARD
    Log-Analyse und Auswertung - 06.06.2005 (8)

Zum Thema Nach Trojaner Entfernung instabiles System - Hi, ich habe mir vor kurzem durch eine Unachtsamkeit beim öffnen einer Mail einen Trojaner eingefangen. Die Mail stammte eigentlich aus sicherer Quelle. Trotzdem habe ich die Datei gespeichert mit - Nach Trojaner Entfernung instabiles System...
Archiv
Du betrachtest: Nach Trojaner Entfernung instabiles System auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.