|
Log-Analyse und Auswertung: Laptop macht Probleme, bitte mal lesenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
12.05.2009, 09:29 | #1 |
| Laptop macht Probleme, bitte mal lesen Hallo, habe schon länger Probleme mit dem Laptop meiner Freundin. Er funktioniert nur sehr langsam, Win XP, 1,7 Ghz, 1 Gb Ram, SP 3 Beim hochfahren lahmt er, habe schon Arbeitsspeicher und Autostartprogramme reduziert. Installieren z.B. Antivir lässt sich nicht mehr und Windowsfehlermeldungen erscheinen auch. Habe z.Zt. keine Auszüge vorliegen. Dann habe ich Datensicherungen angelegt und wollte formatieren. Original-Cd rein, booten...Problem Festplatte wird nicht erkannt !! Im Arbeitsplatz und Gerätemanager liegen keine Fehler diesbezüglich vor. Eine Nlite- Cd mit den SP habe ich auch erstellt, kein Erfolg wenn ich ja nichts zum formatieren habe. Bittte um Hilfe, viell. könnt ihr ja was aus der log lesen. Danke Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:54:41, on 12.05.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16827) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\sopidkc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\VIA\RAID\vialogsv.exe C:\WINDOWS\system32\3361\SVCHOST.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\reader_s.exe C:\Dokumente und Einstellungen\Besitzer\reader_s.exe C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\wmeuk.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\wtukd32.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe c:\program Files\ThunMail\testabd.exe C:\WINDOWS\TEMP\xhadwrjq44.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\dhcp\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\dncyool64.sys C:\WINDOWS\system32\msiexec.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.1und1.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.1und1.de/links/home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.1und1.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.1und1.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://go.1und1.de/suchbox/1und1suche?su=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von 1&1 Internet AG O2 - BHO: C:\WINDOWS\system32\jksahfo93wjfkd.dll - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [svchost.exe] "C:\WINDOWS\system32\3361\SVCHOST.exe" O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\RunOnce: [svchost.exe] "C:\WINDOWS\system32\3361\SVCHOST.exe" O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\Besitzer\reader_s.exe O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\439200261.dll"" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [wmeuk] "c:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\wmeuk.exe" wmeuk O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\439200261.dll"" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\WINDOWS\system32\config\systemprofile\reader_s.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1222104446 O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1217705350 O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll O22 - SharedTaskScheduler: jso8joigm409gopgmrlgd - {B2BA40A2-74F0-42BD-F434-12345A2C8953} - C:\WINDOWS\system32\jksahfo93wjfkd.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: sopidkc Service (sopidkc) - sadf asf sdf - C:\WINDOWS\system32\sopidkc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: VRAID Log Service - Unknown owner - C:\Programme\VIA\RAID\vialogsv.exe O24 - Desktop Component 0: (no name) - http://www.partybilder24.com/genpic.php5?event=black_beat_night&date=20061006&pic=003.jpg&sid=b3a3a824f593e7c5ca8bf782b7664dd7 O24 - Desktop Component 1: (no name) - http://www.partybilder24.com/genpic.php5?event=black_beat_night&date=20061006&pic=047.jpg&sid=b3a3a824f593e7c5ca8bf782b7664dd7 -- End of file - 9365 bytes |
12.05.2009, 10:04 | #2 |
| Laptop macht Probleme, bitte mal lesen Hi,
__________________der Rechner ist stark verseucht (Wow, das der überhaupt noch läuft): C:\WINDOWS\system32\3361\SVCHOST.exe C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\wmeuk.exe C:\WINDOWS\services.exe C:\WINDOWS\TEMP\xhadwrjq44.exe C:\WINDOWS\dhcp\svchost.exe C:\WINDOWS\system32\dncyool64.sys ... und (realtiv neu): C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\ Common\439200261.dll und das Teil ist fast nicht totzukriegen! Mach mir einen Gefallen und lass die mal bei virustotal prüfen: Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\WINDOWS\system32\3361\SVCHOST.exe C:\dokumente und einstellungen\besitzer\lokale einstellungen\anwendungsdaten\wmeuk.exe C:\WINDOWS\services.exe C:\WINDOWS\TEMP\xhadwrjq44.exe C:\WINDOWS\dhcp\svchost.exe C:\WINDOWS\system32\dncyool64.sys C:\WINDOWS\system32\jksahfo93wjfkd.dll
Muß jetzt leider gleich zu Cheffe daher nur kurz: MAM und Combofix runterladen, offline gehen und Feuer frei: Malwarebytes Antimalware (MAM). Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html Fullscan und alles bereinigen lassen! Log posten. Alternativer Download: http://filepony.de/download-malwarebytes_anti_malware/, http://www.gt500.org/malwarebytes/mbam.jsp Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird Hinweis: unter : C:\WINDOWS\erdnt wird ein Backup angelegt. Alternative downloads: http://subs.geekstogo.com/ComboFix.exe Falls sich die Anwendungen nicht installieren lassen, gleich im Downloaddialog umbennen, z.B. test.com... Ich habe für das Macromedia-Teil noch eine generische Lösung, die braucht aber noch etwas "Betreuungsaufwand" (und einen eingermaßen geübten User)... chris Ps.: Danach bitte sofort: Hier der Versuch einer "generischen" Lösung, bitte USER im Script gegen den richtigen Pfad tauschen (Benutzername) und [zufälligerName] gegen den angegebenen Name 439200261.dll(ohne "dll")! Avenger: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Files to delete: C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\[zufälligerName].dll c:\dokume~1\USER\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common\[zufälligerName].DLL Folders to delete: C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Macromedia c:\dokume~1\USER\ANWEND~1\MACROM~1\Common c:\dokume~1\USER\ANWEND~1\MACROM~1 C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp c:\dokume~1\Default User\ANWEND~1\MACROM~1\Common c:\dokume~1\Default User\ANWEND~1\MACROM~1 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board
__________________ Geändert von Chris4You (12.05.2009 um 10:20 Uhr) |
28.05.2009, 16:46 | #3 |
| Laptop macht Probleme, bitte mal lesen Danke für die Antwort, aber der Laptop war komplett down.
__________________Das "wow" das der noch läuft war also berechtigt Habe versucht mit Linux zu formatieren, aber da komm ich nicht klar mit. Hab den Laptop nem Kumpel gegeben, abgeschlossen. Danke ihr seid echt sehr gut bei TB...!!! |
Themen zu Laptop macht Probleme, bitte mal lesen |
adobe, antivir, besitzer, bho, black, desktop, einstellungen, excel, explorer, festplatte, firefox, google, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, monitor, mozilla, rundll, sehr langsam, server, software, system, temp, toolbars, tuneup.defrag, uleadburninghelper, windows internet, windows internet explorer, windows xp, windows\temp, wird nicht erkannt |