Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bitte logfile durchschauen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.09.2009, 19:11   #1
Domi96
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Hallo,

kann mir einer mein logfile durchschauen,

ich habe seit paar wochen bzw. monaten keine aktuelle virensoftware mehr und bin viel im chat bzw spiele online-spiele. ich habe das gefühl, daß mein pc langsamer wird und beim spielen "leckt" mein spiel oft oder bricht komplett an, danke

Gruß Domi

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:07, on 28.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Domi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZW10C0OJ\HiJackThis[1].exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.ask.com?o=15161&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1;*.local
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1180554890421
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201079604156
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\Spyware Doctor\TFEngine\TFService.exe

--
End of file - 6523 bytes

Alt 28.09.2009, 20:17   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Hallo und

Zitat:
C:\Dokumente und Einstellungen\Domi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZW10C0OJ\HiJackThis[1].exe
Wenn Du HijackThis benutzen willst, dann führe es niemals direkt aus dem IE aus, Du solltest immer die exe irgendwo hin abspeichern (zB c:\programme\hijackthis ) und von dort ausführen!

Zitat:
C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
Dümmliches Spielzeug, würde ich von abraten, deinstallier diese Quatschsoftware und verwende die Windows-Firewall.
Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 29.09.2009, 19:42   #3
Domi96
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Hallo Arne,

ich hoffe es richtig gemacht zu haben.

Link 1 von Malware

http://www.file-upload.net/download-1917879/mbam-log-2009-09-29--20-33-19-.txt.html

Link 2 von Risit

http://www.file-upload.net/download-1917886/risit.log.html

Gruß

Domi
__________________

Alt 29.09.2009, 22:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien (sofern diese noch existieren) bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\drivers\EagleNT.sys
C:\WINDOWS\system32\XDva193.sys
C:\WINDOWS\system32\XDva221.sys
C:\WINDOWS\system32\XDva262.sys
         

Danach: Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
drivers to delete:
EagleNT
XDva193
XDva221
XDva162
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
Logs bitte immer in CODE-Tags posten

Alt 30.09.2009, 16:03   #5
Domi96
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Hallo,

ich habe keine mehr gefunden auf dem Rechner, soll ich sie trotzdem nochmal auswerten lassen?

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "EagleNT" deleted successfully.
Driver "XDva193" deleted successfully.
Driver "XDva221" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\XDva162" not found!
Deletion of driver "XDva162" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
Gruß
Domi


Alt 30.09.2009, 17:31   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
--> bitte logfile durchschauen

Alt 30.09.2009, 21:03   #7
Domi96
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



hallo,

hier ist combo-fix-link

http://www.file-upload.net/download-1919804/ComboFix.txt.html

Gruß Domi

Alt 01.10.2009, 17:07   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



Und nochmal den Avenger anwenden, danach auch bitte wieder zur Überprüfung ein frisches RSIT-Logfile.


Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
ATTFilter
files to delete:
C:\WINDOWS\system32\FM20ENU.DLL
c:\windows\system32\XDva093.sys
c:\windows\system32\XDva262.sys
c:\windows\system32\XDva221.sys
         
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.
__________________
Logs bitte immer in CODE-Tags posten

Alt 01.10.2009, 18:13   #9
Domi96
 
bitte logfile durchschauen - Standard

bitte logfile durchschauen



hy andre,

hier das frische logfile als link

http://www.file-upload.net/download-1920875/avenger2.txt.html

gruß Domi

Antwort

Themen zu bitte logfile durchschauen
adobe, beim spielen, bho, bonjour, content.ie5, dateien, einstellungen, excel, explorer, firewall, hijack, hijackthis, hkus\s-1-5-18, hotkey, internet, internet explorer, logfile, messenger, microsoft, object, plug-in, programme, security, software, spielen, spyware, stick, system, virensoftware, windows, windows xp



Ähnliche Themen: bitte logfile durchschauen


  1. Bitte mal das Logfile durchschauen!
    Log-Analyse und Auswertung - 15.04.2009 (7)
  2. Bitte mal durchschauen
    Mülltonne - 21.09.2008 (0)
  3. Bitte Hijack-Logfile durchschauen - Hohe CPU Auslastung
    Mülltonne - 15.07.2008 (0)
  4. Hijack logfile bitte einmal durchschauen
    Mülltonne - 08.07.2008 (0)
  5. könnte vielleicht mal jemand mein logfile durchschauen. danke!!!
    Log-Analyse und Auswertung - 06.01.2008 (1)
  6. w32/Virut.Gen Logfile bitte mal durchschauen
    Log-Analyse und Auswertung - 06.01.2008 (4)
  7. Bitte Logfile durchschauen. "Win32.shark.af"
    Log-Analyse und Auswertung - 30.12.2007 (0)
  8. Logfile bitte mal durchschauen
    Log-Analyse und Auswertung - 18.04.2007 (8)
  9. Bitte mal HJT Log durchschauen
    Log-Analyse und Auswertung - 24.02.2007 (1)
  10. Bitte meine Logfile durchschauen!!!
    Log-Analyse und Auswertung - 30.05.2006 (2)
  11. bitte durchschauen!
    Log-Analyse und Auswertung - 04.02.2006 (3)
  12. Bitte einmal Logfile durchschauen
    Log-Analyse und Auswertung - 06.01.2006 (1)
  13. Logfile durchschauen
    Log-Analyse und Auswertung - 28.12.2005 (2)
  14. Kann jmd. meine LogFile durchschauen?
    Log-Analyse und Auswertung - 17.12.2005 (7)
  15. bin verzweifelt ! bitte mein logfile durchschauen !
    Log-Analyse und Auswertung - 02.09.2005 (15)
  16. Bitte Logfile durchschauen!
    Log-Analyse und Auswertung - 12.04.2005 (3)
  17. Bitte mal durchschauen
    Log-Analyse und Auswertung - 28.01.2005 (11)

Zum Thema bitte logfile durchschauen - Hallo, kann mir einer mein logfile durchschauen, ich habe seit paar wochen bzw. monaten keine aktuelle virensoftware mehr und bin viel im chat bzw spiele online-spiele. ich habe das gefühl, - bitte logfile durchschauen...
Archiv
Du betrachtest: bitte logfile durchschauen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.