Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Merkwürdige Einträge

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.08.2004, 14:20   #1
Konflaxx
 
Merkwürdige Einträge - Böse

Merkwürdige Einträge



Hallo!
Habe mehrere Fragen:
1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das sich dahinter ein Trojaner verbirgt, oder ist es nur Einbildung?
2. Es soll nach "Hijackthis automatische Auswärtung" ein Prozess laufen, der im Taskmanager und ähnlichen Programmen nicht aufgeführt ist. Nämlich:
UserInit = D:\WINDOWS\system32\userinit.exe,
Kann es sein das das Böse ist?
3. Shell=Explorer.exe soll ein unbekannter Prozess sein. Ist es doch nicht, oder?
4. Was ist eine mshta.exe? eine ie4unit.exe

Logs:
http://www.hijackthis.de/logfiles/36...91dffa1d9.html
http://www.hijackthis.de/logfiles/d3...11a8eaf9d.html


Der Anlass weshalb ich ein 2. Mal Poste ist, dass ich vor kurzem mit Bildbearbeitung angefangen habe und dass dabei eine Maus die sich von selbst bewegt und Programme schließt sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr sehr hinderlich ist .

Alt 15.08.2004, 16:09   #2
Rene-gad
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Hallo
Zitat:
Zitat von Konflaxx
Habe mehrere Fragen:
1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das sich dahinter ein Trojaner verbirgt, oder ist es nur Einbildung?
Es ist möglich. Was sagt dein Antivurus-Programm?
Zitat:
2. Es soll nach "Hijackthis automatische Auswärtung" ein Prozess laufen, der im Taskmanager und ähnlichen Programmen nicht aufgeführt ist. Nämlich:
UserInit = D:\WINDOWS\system32\userinit.exe,
Kann es sein das das Böse ist?
Kaum. Es hat was mit Instanzt Messenger zu tun. Habe noch nie gehört , dass etwas Schlimmes dahinter steckt.
Zitat:
3. Shell=Explorer.exe soll ein unbekannter Prozess sein. Ist es doch nicht, oder?
Wahrscheinlich doch.
Zitat:
4. Was ist eine mshta.exe?
http://www.liutilities.com/products/...library/mshta/
Zitat:
eine ie4unit.exe
..oder ie4uinit.exe? Bitte die Schreibweise prüfen und deinen Log als *.txt-Datei hier posten.
__________________


Alt 15.08.2004, 16:29   #3
Konflaxx
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Hijackthis Normaler Log:

Logfile of HijackThis v1.98.2
Scan saved at 17:25:57, on 15.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\Ares\Ares.exe
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~2\ICQ\ICQ.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\SLEE503.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
C:\loeschenpresent\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~2\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ares] "D:\Programme\Ares\Ares.exe" -h
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~2\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89443DE5-38C0-4DC0-82BC-3503B947BB37}: NameServer = 217.237.149.161 194.25.2.129


Dann dieser Stareinträge Log

StartupList report, 15.08.2004, 17:29:47
StartupList version: 1.52.2
Started from : C:\loeschenpresent\hijackthis\HijackThis.EXE
Detected: Windows XP (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\D-Tools\daemon.exe
D:\Programme\PestPatrol\PPMemCheck.exe
D:\Programme\PestPatrol\PPControl.exe
D:\Programme\PestPatrol\CookiePatrol.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\Programme\Ares\Ares.exe
D:\Programme\GetRight\getright.exe
D:\Programme\GetRight\getright.exe
C:\PROGRA~2\ICQ\ICQ.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\SLEE503.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\intern~1\iexplore.exe
C:\loeschenpresent\hijackthis\HijackThis.exe
D:\WINDOWS\system32\NOTEPAD.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[D:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart]
GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = D:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

iTunesHelper = D:\Programme\iTunes\iTunesHelper.exe
DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033
NvCplDaemon = RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
PPMemCheck = D:\Programme\PestPatrol\PPMemCheck.exe
PestPatrol Control Center = D:\Programme\PestPatrol\PPControl.exe
CookiePatrol = D:\Programme\PestPatrol\CookiePatrol.exe
Mirabilis ICQ = C:\PROGRA~2\ICQ\ICQNet.exe
NvMediaCenter = RunDLL32.exe NvMCTray.dll,NvTaskbarInit

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ares = "D:\Programme\Ares\Ares.exe" -h

--------------------------------------------------

Shell & screensaver key from D:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=D:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Download Program Files:

[Shockwave ActiveX Control]
InProcServer32 = D:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab

[Symantec AntiVirus scanner]
InProcServer32 = D:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/S...in/AvSniff.cab

[Symantec RuFSI Utility Class]
InProcServer32 = D:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/S.../bin/cabsa.cab

[Shockwave Flash Object]
InProcServer32 = D:\WINDOWS\System32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: D:\WINDOWS\system32\SHELL32.dll
CDBurn: D:\WINDOWS\system32\SHELL32.dll
WebCheck: D:\WINDOWS\System32\webcheck.dll
SysTray: D:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.763 bytes
Report generated in 0,040 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only


Noch eine Frage zu diesem Shell Eintrag, soll ich explorer.exe löschen?
__________________

Alt 15.08.2004, 16:34   #4
Konflaxx
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Ach ja, hab zig Antiviren und Scan Programe benutzt und nichts wurde gefunden! Warte, mir ist gerade etwas eingefallen, immer wenn ich mit Pest Patrol meinen Pc nach ein Paar Tagen auf spyware prüfe, dann ist immer wieder dieses Bearshare drauf. Wenn ich es also lösche kommt es nach ein paar Tagen wieder, das müsste heißen, dass das eigentliche Programm, welches diese Spyware installiert, noch da sein müsst. Ist vielleicht ne Hilfe.

Alt 15.08.2004, 19:28   #5
Rene-gad
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
hast du schon etwas von ServicePack1 oder 2 mitbekommen?
Zitat:
D:\WINDOWS\System32\SLEE503.exe
Ich kenne dieses Programm, bzw. Dienst gar nicht.
Mit http://www.kaspersky.com/de/remoteviruschk.html prüfen.


Alt 15.08.2004, 19:52   #6
Konflaxx
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Erstens: Wenn ich mir beide Servicepacks draufpacke heißt es doch noch lange nicht, dass ich den Trojaner los bin, oder?
Zweitens: Ich hab mir schonmal das Servicepack 1 heruntergeladen, jedoch konnte ich es nicht installieren. Genauso wie mit den Sicherheitspatches, die ich manuell runtergeladen hab (mit updatemanager hats jedoch gefunzt).

Man kann doch bestimmt irgendiwe diesen Trojaner auch ohne Servipacks entfernen.

Alt 15.08.2004, 19:53   #7
Konflaxx
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Ah, und slee505 oder so ist von Steganos, also nichts böses.

Alt 15.08.2004, 20:06   #8
Rene-gad
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Zitat:
Erstens: Wenn ich mir beide Servicepacks draufpacke heißt es doch noch lange nicht, dass ich den Trojaner los bin, oder?
Du hast mich falsch verstanden. Service Packs verhindern das Eindringen der Seuche an Computer.
Zitat:
Zweitens: Ich hab mir schonmal das Servicepack 1 heruntergeladen, jedoch konnte ich es nicht installieren.
Warum? Hast du eine nicht lizensierte Version von Windows? Du musst nach Ursache des Problems suchen und dieses Problem als Hauptproblem zu betrachten. Wenn dein System ohne die aktuellen Security-Patches läuft, gibt es keinen Sinn, über das Thema "Ich habe Virus/Trojaer usw...." weiter zu sprechen, weil das Thema kein Ende haben wird.

Alt 15.08.2004, 20:25   #9
Konflaxx
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Okay, dann installiere Ich die Servicepacks. Wenn ich es getan hab meld ich mich wieder. Aber trotzdem verstehe ich nicht, wieso das so schlimm ist, dass ich sie nicht drauf hatte. Ich meine, okay, ich könnte mich theoretisch wieder infizieren, aber ich kann doch den Trojaner auch entfernen bevor ich die Servicepacks installiere.

Alt 15.08.2004, 21:12   #10
Cidre
Administrator, a.D.
 
Merkwürdige Einträge - Standard

Merkwürdige Einträge



Zitat:
Okay, dann installiere Ich die Servicepacks. Wenn ich es getan hab meld ich mich wieder.
Kannst und solltest du auch machen, denn nur so macht unsere Hilfe einen Sinn.

Zitat:
Aber trotzdem verstehe ich nicht, wieso das so schlimm ist, dass ich sie nicht drauf hatte.
Weil dein System offen wie ein Scheunentor ist und so für jeden zugänglich ist.

Zitat:
Ich meine, okay, ich könnte mich theoretisch wieder infizieren, aber ich kann doch den Trojaner auch entfernen bevor ich die Servicepacks installiere.
Nicht nur theoretisch, sondern auch praktisch in sekundenschnelle.
__________________
Gruß, Cidre


Antwort

Themen zu Merkwürdige Einträge
.exe, .html, a.exe, automatische, bildbearbeitung, einträge, explorer.exe, frage, fragen, hijack, hijackthis, klein, maus, mehrere, merkwürdige, nichts, ordner, programme, programmen, prozess, schließt, shell, system, system32, taskmanager, trojaner, träge, unbekannter, unbekannter prozess, userinit.exe, von selbst, windows



Ähnliche Themen: Merkwürdige Einträge


  1. merkwürdige email
    Überwachung, Datenschutz und Spam - 30.10.2014 (1)
  2. Merkwürdige E-Mails von der NSA
    Plagegeister aller Art und deren Bekämpfung - 05.07.2014 (3)
  3. merkwürdige ports
    Alles rund um Windows - 03.04.2010 (1)
  4. Merkwürdige Einträge im HijackThis
    Log-Analyse und Auswertung - 13.01.2010 (2)
  5. Merkwürdige Einträge!
    Log-Analyse und Auswertung - 09.08.2009 (9)
  6. Merkwürdige Prozesse
    Plagegeister aller Art und deren Bekämpfung - 24.09.2008 (4)
  7. Merkwürdige Mail_Spam?
    Überwachung, Datenschutz und Spam - 09.08.2008 (2)
  8. Merkwürdige Seitenumleitung
    Plagegeister aller Art und deren Bekämpfung - 04.01.2008 (0)
  9. Merkwürdige E-mails
    Plagegeister aller Art und deren Bekämpfung - 11.08.2007 (3)
  10. Merkwürdige wan verbindung
    Mülltonne - 16.07.2006 (2)
  11. Merkwürdige Weiterleitung
    Log-Analyse und Auswertung - 20.06.2006 (10)
  12. Merkwürdige Ereignisse auf dem PC
    Plagegeister aller Art und deren Bekämpfung - 27.05.2006 (12)
  13. merkwürdige e-mails
    Plagegeister aller Art und deren Bekämpfung - 26.02.2006 (5)
  14. Merkwürdige Datei(en)...
    Plagegeister aller Art und deren Bekämpfung - 01.01.2006 (3)
  15. Merkwürdige Einträge i. d. Registry
    Plagegeister aller Art und deren Bekämpfung - 13.09.2005 (1)
  16. Merkwürdige Warnfenster
    Plagegeister aller Art und deren Bekämpfung - 04.03.2005 (5)

Zum Thema Merkwürdige Einträge - Hallo! Habe mehrere Fragen: 1. Ich hab 5x svchost. Bis dahin ja nichts Ungwöhnliches. Aber 4x ist der Ordner System32 großgeschriben und bei einer svchost klein? Kann es sein das - Merkwürdige Einträge...
Archiv
Du betrachtest: Merkwürdige Einträge auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.