Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Eigenartige Stocker des Rechners

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.11.2009, 13:52   #1
Speaker
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



Hi, ich muss Euch mal mit einem Hilfeersuchen belästigen. Nach dem ich, wie ich schon in einem anderen Post geschrieben habe, mein System neu aufgesetzt habe und auch einige Bösewichte entfernt habe, habe ich nun ein neues Problem.
Ich hatte ein Sauberes System. Zumindest kann ich davon ausgehen da ich alle Daten, die wieder auf den Rechner sollten, mit Snapsot gesichert habe und diese Platten-Images auf mehreren Rechnern mit verschiedenen AV Programmen gescannt habe.
Nun habe ich gestern eine Datei aus nur eingeschränkt vertrauenswürdiger Quelle geöffnet.
Kaspersky und Malwarebytes haben die Datei für sauber gehalten. Trotzdem habe ich die Datei in der gesicherten Umgebung von Kaspersky geöffnet. Erst als ich die Datei später via Mail verschickt habe, hat mir GMX meine Datei mit dem Kommentar „Verseucht“ zurückgeschickt. Mein Rechner macht auch seit gestern einige kleine Probleme. Er stoppt manchmal ohne Vorwarnung um dann aber normal weiterzuarbeiten. Auch Booten stoppt er für ca. 10s kurz vor der Passworteingabe.
Ein kompletter Virenscan hat nichts gebracht und darum bitte ich nun Euch um Hilfe.
Ich fange mal mit dem HijackThis log an.

Danke
Speaker


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:51:45, on 12.11.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Naturalsoft IE Bar V9 - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [mp3infp] "C:\Programme\mp3infp\mp3infp_regist.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Programme\Mobipocket.com\Mobipocket Reader\readernotify.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1257674592000
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257674587390
O17 - HKLM\System\CCS\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 9326 bytes

Alt 13.11.2009, 22:22   #2
Speaker
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



Hallo, ich wollte nur mal fragen, ob ich hier jemandem was getan habe? Oder warum reagiert keiner auf mein Posting? Habe ich jemanden unbewusst beleidigt?
__________________


Alt 13.11.2009, 23:00   #3
Heike
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



Zitat:
Nun habe ich gestern eine Datei aus nur eingeschränkt vertrauenswürdiger Quelle geöffnet.
ich habe mir beim Lesen gedacht: "ah, ne nette Umschreibung für Cracks."

Adobe Photoshop CS4 nutzt Du auch? auch was aus eingeschränkt vertrauenswürdiger Quelle?

Wer mit dem Teufel spielt, kann sich eben auch mal verbrennen, so einfach ist das.
Formatiere, und bleibe zukünftig von "eingeschränkt vertrauenswürdigen Quellen" fern, dann ist die Gefahr von Infizierungen, bei aktuellem System, fast nicht gegeben.
__________________
__________________

Alt 14.11.2009, 10:33   #4
Speaker
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



Also da muss ich mich mal verteidigen. Ein Crack war es nicht und Photoshop stammt auch nicht aus dubiosen Quellen. Wäre das so, würde ich mich gar nicht trauen, hier ein Log öffentlich zu posten. Mein Programm war eine einfache Animation in einer EXE, die ich zum Testen bekommen habe. Da diese allerdings von jemandem Stammt, der von Zeit zu Zeit mal ein Virus hat und somit für mich nicht 100% vertrauenswürdig ist, habe ich das Programm ja auch im geschützten Modus von Kaspersky ausgeführt. Als dann aber mein Rechner begonnen hat, kleinere Zicken zu machen und auch noch der Virenscanner von GMX angeschlagen hat, kam mir wieder der Gedanke, inwieweit ich dem geschützten Modus von Kaspersky trauen kann. Mitlerweile habe ich die Datei auch bei Virustotal scannen lassen und 2 Meldungen erhalten, das die Datei auffällig ist aber ein konkreter Virus wurde nicht gefunden. Daher gehe ich mal davon aus, dass ich einfach überreagiert habe. Es sei denn, in meinem Logfile war was echt auffälliges?

Alt 14.11.2009, 19:57   #5
Heike
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



ich denke Dein Log sieht soweit sauber aus. Kannst Du mal das Log von Virustotal posten?
macht Dein PC noch "Zicken"?
eine Mitteilung von GMX würde ich persönlich nicht weiter beachten. ich habe eine mail-adresse bei GMail, da wird das Versenden von *.exe total geblockt, mag sich geändert haben, ich nutze jetzt andere Wege.

__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Alt 14.11.2009, 21:29   #6
Speaker
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



Ich danke Dir für die Antwort. Das Log von Virustotal habe ich nicht abgespeichert, aber ich kann mal sehen, dass ich die Datei nochmal bekomme. Dann kann ich sie nochmal bei Virustotal scannen lassen.
Die Stocker hat der PC noch immer, nur die Pause beim Booten ist weg.
Ich habe mein C Laufwerk mit Snapshot gesichert und an diversen Rechnern mit unterschiedlichen Virenscannern gemountet und gescannt. Kaspersky, ESET, Norton, McAffee und Sofos finden nichts auf der Platte. Also denke ich mal, dass die Aussetzer eine andere Ursache haben.

Alt 14.11.2009, 22:07   #7
Heike
 
Eigenartige Stocker des Rechners - Standard

Eigenartige Stocker des Rechners



installiere Dir mal wireshark, beende alle Programme die ins Internet gehen, und checke das Log.
Überprüfe Deinen Autostart, nimm AutoRuns
Laß Dich nicht verrückt machen, manche Dinge die Probs machen, haben mit Infizierungen nichts zu tun.
__________________
Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden.
(Kettcar)

Antwort

Themen zu Eigenartige Stocker des Rechners
192.168.0.2, adobe, ausgehen, babylon, bho, booten, desktop, dll, explorer, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, hängen, internet, internet explorer, internet security, internet security 2010, konvertieren, log, microsoft, monitor, neu, neu aufgesetzt, pdf, pdf-datei, programme, rundll, security, software, system, system neu, tastatur, virtuelle tastatur, windows, windows xp



Ähnliche Themen: Eigenartige Stocker des Rechners


  1. Eigenartige Einblendung im Internet Explorer 11
    Plagegeister aller Art und deren Bekämpfung - 03.09.2015 (1)
  2. Eigenartige Proxy einstellungen durch Tune Up Utilities...?
    Plagegeister aller Art und deren Bekämpfung - 07.07.2015 (5)
  3. (2x) Eigenartige Dateien gefunden. Thema BKA-Trojaner
    Mülltonne - 31.05.2012 (1)
  4. Kurze Frage zu Netstat log/eigenartige adressen
    Netzwerk und Hardware - 23.01.2012 (16)
  5. IE und FF öffnen selber Seiten und andere eigenartige Dinge!
    Plagegeister aller Art und deren Bekämpfung - 09.10.2010 (10)
  6. eigenartige webseite
    Überwachung, Datenschutz und Spam - 06.08.2009 (9)
  7. Eigenartige E-mail Postmaster...
    Plagegeister aller Art und deren Bekämpfung - 22.02.2009 (2)
  8. eigenartige verbindungen via netstat-a!
    Log-Analyse und Auswertung - 08.10.2008 (11)
  9. Eigenartige Verbindungen bei Netstat
    Plagegeister aller Art und deren Bekämpfung - 28.01.2008 (0)
  10. Eigenartige Baleken,Striche und Symbole auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 12.08.2007 (4)
  11. eigenartige adware popups
    Plagegeister aller Art und deren Bekämpfung - 22.10.2005 (1)
  12. Eigenartige Auslastung mit vorhergegangenem Virus !
    Plagegeister aller Art und deren Bekämpfung - 05.10.2005 (2)
  13. eigenartige dinge gehen hier vor :(
    Log-Analyse und Auswertung - 05.08.2005 (5)
  14. Eigenartige Datei
    Log-Analyse und Auswertung - 04.08.2005 (1)
  15. Eigenartige Mail
    Überwachung, Datenschutz und Spam - 12.10.2003 (1)
  16. Erhalte eigenartige Nachrichten
    Plagegeister aller Art und deren Bekämpfung - 13.08.2003 (2)

Zum Thema Eigenartige Stocker des Rechners - Hi, ich muss Euch mal mit einem Hilfeersuchen belästigen. Nach dem ich, wie ich schon in einem anderen Post geschrieben habe, mein System neu aufgesetzt habe und auch einige Bösewichte - Eigenartige Stocker des Rechners...
Archiv
Du betrachtest: Eigenartige Stocker des Rechners auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.