Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT-Logfile und Frage zu Onlinescanner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.10.2009, 01:13   #1
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Hey...ich hatt gestern ne Virenwarnung von meinem Avira, und vor ner Woche hat er bei einem Durchlauf auch was gefunden,ich gehe zwar davon aus dass ich ihm zu Dank noch clean bin aber könnte sich jemand trotzdem mal das Logfile vom HJT anschauen?

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:58:18, on 14.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programme\eMule\emule.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - hxxp://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - hxxp://ax.emsisoft.com/asquared.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 4742 bytes
         
Des weiteren noch ne Frage...ich hab mal nach nem Befall auf euren Rat hin ein paar Onlinescanns drüberlaufen lassen, das ist schon ne ganze Weile her, aber ich kriege jedesmal wenn ich heut noch den CCleaner drüberlaufen lasse wieder was drin von diesen onlinescannern, muss ich da nochmal irgendwas eigens deinstallieren?Auch im HJT-Log steht da was, es waren asquared, f-secure und bitdefender.In der Softwareliste ist nix, aber anscheinend werden da immer noch updates geladen, wie kann ich das endgültig abstellen?

Alt 14.10.2009, 20:14   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Hallo,

Bitte bei Meldungen zu Viren immer die genauen Schädlingsnamen und Pfadangaben notieren und hier posten!

Zitat:
...ich hab mal nach nem Befall auf euren Rat hin ein paar Onlinescanns drüberlaufen lassen, das ist schon ne ganze Weile her,
Welche Online-Scans? Du solltest das schon genauer erklären welche das waren und wenn was gefunden wurde diese Funde posten.

Ansonsten: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 14.10.2009, 21:24   #3
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Also das sind mal die Meldungen, Namen und Pfadangaben von meinem Avira:
Heute nacht:
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Gestern:
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound'
wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.
Ausgeführte Aktion: Datei löschen
         
Vor 5 Tagen:
Code:
ATTFilter
In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\314A7A8Cd01'
wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.
Ausgeführte Aktion: Zugriff verweigern
         
Alles vom Guard gemeldet.
Das hier kam bei einem Systemscan vor einer Woche raus:
Code:
ATTFilter
Die Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.ivd'
enthielt einen Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a427dc0.qua' verschoben!
         
Code:
ATTFilter
Die Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd'
enthielt einen Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2b868f.qua' verschoben!
         
Quarantäne ist mittlerweile wieder leer.

Die Onlinescans waren-wie schon im 1.Post geschrieben ;-) -f-secure, bitdefender und a-square.Das war als ich vor einigen wochen ein Problem hatte und mich an euch gewannt hab, da wurde vom Helfer als Schlussakt geraten die 3 drüberlaufenzulassen um sicherzugehen dass alles clean ist. Damals haben die Scans auch alles als "sauber" angezeigt, mich irritiert nur dass ich vom CCleaner auch heute noch immer wieder neue Meldungen davon kriege- und mich irritiert dass die beiden Funde bei meinem letzten System-Scan in den Temp-Dateien dieser Online-Scanner sind...siehe oben.

Bei meinem oben erwähnten letzten Besuch hier wurde mir auch geraten Malwarebytes zu deinstallieren-deswegen dauert´s jetzt erstmal ein bisschen bis ich das runtergeladen und wieder installiert hab, und das Logfile schicken kann, ist aber grad in Arbeit.Ich poste es hier direkt, dürfte nicht allzugross sein.

Edit:Seh grad dass die RSIT-logs grösser sind...also doch fileupload :-)
__________________

Geändert von ReBlubb (14.10.2009 um 21:42 Uhr)

Alt 14.10.2009, 22:29   #4
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Und letztendlich der Downloadlink für die Logfiles:

http://www.file-upload.net/download-...-Rsit.zip.html

Ich hoffe mal ich hab jetzt nix vergessen...

Alt 14.10.2009, 23:04   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Also ich seh da nichts Auffälliges. Ich schätze, Du bist entlassen

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 14.10.2009, 23:09   #6
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Ok,cool...danke schonmal hierfür :-D
Aber was ist mit der Geschichte, dass ich von den Online-Scannern jetzt noch immer wieder was in den Temp-Dateien finde, und in diesen auch die 2 Viren hatte?Erkannte Avira die fehlerhaft als Viren weil bei den scharfen Einstellungen auch mal ein Fehlgriff dabei ist?Das würde ich ja noch einsehen, aber warum hab ich da immer noch Aktivität?Bleiben die im Hintergrund?

Alt 14.10.2009, 23:52   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Leere doch mal bitte den Cache im Firefox und am besten auch im IE, oder haste das schon gemacht? Wird von den Online-Scannern noch woanders was gefunden außer dem Browsercache?

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2009, 00:53   #8
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Nee, hatte ich noch nicht...nutze normal nur den FF, den IE in ganz seltenen Fällen, die Onlinescans liefen über den IE...
Ich geh normal alle 1-2 wochen mit dem CCleaner drüber, und das mit den TEMPs ist mir nur aufgefallen wenn wirklich mal bissl Zeit dazwischen war, gut möglich dass das speziell dann war wenn ich ausnahmsweise mal was mit dem IE gemacht hab.
Hab jetzt beide Caches gelöscht, in dem vom IE waren auch noch Daten von allen 3 Onlinescannern drin.
Ausserdem hab ich unter C:\WINXP noch einen Ordner gefunden der heisst "BDOSCASN8", in dem sind einige html- und dll-Dateien drin und ein Ordner der "Plugins" heisst,
und unter C:\WINXP\Downloaded Program Files finde ich noch die Active-X-steuerelemente von allen 3 Scannern:

a-sqared Scanner
BDSCANONLINE Control
F-Secure Online-Scanner Launcher

In der Liste hab ich weiterhin noch
Java Runtime Encironment 1.6.0,
und zwar 3 mal untereinanderstehend...

und als letztes-bzw erstes in der Liste- eins mit der Bezeichnung
{D27CDB6E-AE6D-96B8-444553540000}.

Alle sind als "Installiert" angegeben, ausser dem mit der Ziffernfolge als Name, das wird als "unbekannt" angegeben, ist das soweit normal?Kann ich da was davon löschen?

PrevX hab ich ohne gross einstellungen vorzunehmen durchlaufen lassen, hat nix gefunden...was speziell ist das genau, lohnt es sich das im Hintergrund öfters laufen zu lassen oder soll ich das wieder schliessen bzw gleich deinstallieren?

Ob beim nächsten mal CCleaner wieder was findet kann ich leider erst in ein paar Tagen sagen...

Geändert von ReBlubb (15.10.2009 um 01:10 Uhr)

Alt 15.10.2009, 11:06   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



1. Lass Dich mal nicht verrückt machen

Den CCleaner musst Du anweisen, auch den Cache vom Firefox (Mozilla) mit zu leeren.

Bzgl. Java: Alle alten Versionen solltest Du deinstallieren und die aktuellste installieren:

Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Zitat:
und als letztes-bzw erstes in der Liste- eins mit der Bezeichnung
{D27CDB6E-AE6D-96B8-444553540000}.
Scheint nur ein Überrest von Flash zu sein..

Zitat:
hat nix gefunden...was speziell ist das genau, lohnt es sich das im Hintergrund öfters laufen zu lassen oder soll ich das wieder schliessen bzw gleich deinstallieren?
Nein, brauchst Du nicht öfter laufen lassen, es sei denn Du hast Langeweile und viiiel Zeit
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2009, 13:43   #10
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Ok...mach ich.In der Softwareliste hab ich nur das Java 6 update 15...

Kann ich unter C:\WINXP\Downloaded Program Files die aufgezählten Active-X-Elemente auch löschen oder krieg ich da dann Probleme?

So...Hab ehrlich gesagt keine Ahnung was dieses Java genau ist :-) Hast ne ganz kurze Erklärung?

Wusste demnach dann auch nicht genau was runterladen, hab dann das hier genommen:
jre-6u16-windows-i586.exe
Passt das soweit?von wegen Developer Kit, verschiedene Betriebssysteme etc...etc...

Geändert von ReBlubb (15.10.2009 um 13:51 Uhr)

Alt 15.10.2009, 14:08   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Ich würd die Dateien im Ordner einfach so lassen. Die stören nicht.

Was Java angeht, solltest Du mal diesen Artikel lesen , wenn Du wissen willst was ist, besser als wenn ich das Rad das 2. Mal erfinde

Die Datei, die Du runtergeladen ist ist richtig. Steht ja auch, dass Du das JRE (Java Runtime Environment) brauchst und Version 6u16 ist derzeit aktuell.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 15.10.2009, 15:39   #12
ReBlubb
 
HJT-Logfile und Frage zu Onlinescanner - Standard

HJT-Logfile und Frage zu Onlinescanner



Ok...dann bedank ich mich herzlich für die Hilfe und Auskünfte, schönen Tag noch!

Antwort

Themen zu HJT-Logfile und Frage zu Onlinescanner
antivir, antivir guard, avira, bho, defender, desktop, escan, explorer, f-secure, frage, helper, hijack, hijackthis, hkus\s-1-5-18, icq, internet, internet explorer, logfile, microsoft, programme, software, stick, system, updates, warnung, windows, windows xp



Ähnliche Themen: HJT-Logfile und Frage zu Onlinescanner


  1. ESET Onlinescanner Fund
    Plagegeister aller Art und deren Bekämpfung - 17.05.2015 (3)
  2. Fund von ESET Onlinescanner -> Viren
    Plagegeister aller Art und deren Bekämpfung - 23.06.2013 (9)
  3. Trojaner gefunden über ESET Onlinescanner
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (15)
  4. OnlineScanner wie VT werden blockiert, finde aber nichts
    Antiviren-, Firewall- und andere Schutzprogramme - 21.04.2011 (3)
  5. Onlinescanner hat angeschlagen, hier das HJT Log
    Log-Analyse und Auswertung - 21.01.2011 (1)
  6. Panda-Onlinescanner findet UNIV-Virus
    Log-Analyse und Auswertung - 26.08.2010 (3)
  7. Goggle Redirecter gelöst durch Combofix Logfile Frage
    Log-Analyse und Auswertung - 05.05.2010 (0)
  8. F-secure OnlineScanner
    Alles rund um Windows - 07.10.2009 (9)
  9. Frage zu Logfile
    Log-Analyse und Auswertung - 05.04.2007 (9)
  10. Frage zu Logfile
    Log-Analyse und Auswertung - 29.03.2007 (8)
  11. Kurze Frage zum Logfile
    Mülltonne - 11.06.2006 (1)
  12. frage zu einem hjt logfile !
    Log-Analyse und Auswertung - 20.05.2006 (2)
  13. Frage zu 1. Logfile - bin neu hier
    Log-Analyse und Auswertung - 26.10.2005 (1)
  14. Frage zum eScan (und Logfile)
    Log-Analyse und Auswertung - 20.05.2005 (1)
  15. re, frage ( logfile)
    Log-Analyse und Auswertung - 31.10.2004 (2)

Zum Thema HJT-Logfile und Frage zu Onlinescanner - Hey...ich hatt gestern ne Virenwarnung von meinem Avira, und vor ner Woche hat er bei einem Durchlauf auch was gefunden,ich gehe zwar davon aus dass ich ihm zu Dank noch - HJT-Logfile und Frage zu Onlinescanner...
Archiv
Du betrachtest: HJT-Logfile und Frage zu Onlinescanner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.