Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Nun hat es mich auch erwischt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.03.2010, 19:02   #1
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo,
bin neu hier und zufällig bei der Suche nach einer Lösung für mein Problem auf dieses Forum hier getroffen.

Mein Antivir hat gestern Abend Alarm geschlagen.

Directupload.net - Dihohapui.jpg

Nachdem ich einiges gelesen habe über fakealter, möchte ich nun mein HijackThis Log-File posten um von jemanden Hilfe zu bekommen.

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 18:38:55, on 18.03.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Cobian Backup 9\cbInterface.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cobian Backup 9\cbService.exe
C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard Utility\1.3\KbdAp32A.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Cobian Backup 9 interface] "C:\Programme\Cobian Backup 9\cbInterface.exe" -service
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cobian Backup 9 Dienst (CobianBackupAmanita) - Luis Cobian - C:\Programme\Cobian Backup 9\cbService.exe
O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
         
Hoffe das ich bisher alles richtig gemacht habe, und jemand kann mir helfen!!!

Alt 19.03.2010, 16:53   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 19.03.2010, 19:11   #3
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo,
sorry war gestern Abend wohl bisschen zu übereifrig und habe erst gepostet und dann genau gelesen.
Bin ich schon dabei die Liste abzuarbeiten. CC habe ich erledigt (hatte ich vorher schon installiert)
Am Mailwarebytes bin ich gerade dran. (Dauert schon ne ganz schön lange Zeit....Normal?)
Wenn ich RSIT ausgefürht habe werde ich die Logs auf der voon dir vorgeschlagenen Seite einstellen.

Danke schonmal vorab für deine freundliche Begrüßung und deine Hilfe

P.S. Kann ich meinen Artikel von gestern nicht editieren?

So da bin ich wieder.

Hier schon mal der Log von MT: hxxp://www.file-upload.net/download-2360803/mbam-log-2010-03-19--19-12-59-.txt.html

nun die info.txt von RSIT: hxxp://www.file-upload.net/download-2360822/info.txt.html
und die log.txt von RSIT: hxxp://www.file-upload.net/download-2360829/log.txt.html

Hoffe nun habe ich alles richtig gemacht?!?
__________________

Geändert von Helmlinger (19.03.2010 um 19:31 Uhr)

Alt 19.03.2010, 19:21   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Nein, zum Edit hat man nur ne Stunde Zeit
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.03.2010, 19:33   #5
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Ja so ein Ärger
Dafür habe ich nun die Logs schon upgeloadet

Hoffe das es nun passt!


Alt 19.03.2010, 21:39   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Die Logs sind sauber. Noch Meldungen oder Probleme gewesen? Oder alles gut?
Mach zur Sicherheit bitte noch ein Log mit GMER und poste es (kannst hier direkt in den Beitrag ohne den file-upload.net Umweg posten)
__________________
--> Nun hat es mich auch erwischt

Alt 20.03.2010, 10:18   #7
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo,
Danke erstmal für deine Hilfe. Nein momentan scheint alles i.O. zu sein.

Hier noch der GMER log: GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-20 10:14:42
Windows 5.1.2600 Service Pack 3
Running: hlp6xfjt.exe; Driver: C:\DOKUME~1\Jan\LOKALE~1\Temp\pxlyiuoc.sys


---- System - GMER 1.0.15 ----

SSDT BA592376 ZwCreateKey
SSDT BA59236C ZwCreateThread
SSDT BA59237B ZwDeleteKey
SSDT BA592385 ZwDeleteValueKey
SSDT BA59238A ZwLoadKey
SSDT BA592358 ZwOpenProcess
SSDT BA59235D ZwOpenThread
SSDT BA592394 ZwReplaceKey
SSDT BA59238F ZwRestoreKey
SSDT BA592380 ZwSetValueKey
SSDT BA592367 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 148 804E27B4 2 Bytes [7B, 23] {JNP 0x25}
.text ntoskrnl.exe!_abnormal_termination + 14B 804E27B7 1 Byte [BA]
.text ntoskrnl.exe!_abnormal_termination + 150 804E27BC 2 Bytes [85, 23] {TEST [EBX], ESP}
.text ntoskrnl.exe!_abnormal_termination + 153 804E27BF 1 Byte [BA]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Hoffe das stimmt so

Alt 20.03.2010, 18:28   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Das sieht auch unauffällig aus
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.03.2010, 10:56   #9
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo,
vielen Dank für deine schnelle Hilfe.

Die Seite ist wirklich Gold wert. Ich werde ordentlich Werbung für das Trojaner Board machen.

Schönen Sonntag,
Helmlinger

Alt 21.03.2010, 16:35   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Sehr schön! Dann prüf mal jetzt die (wichtigsten) Updates, wenn wieder alles ok ist:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.03.2010, 19:57   #11
Helmlinger
 
Nun hat es mich auch erwischt - Standard

Nun hat es mich auch erwischt



Hallo Cosinus,
Werde die besagten Updates noch machen. Und versuchen auf dem neuesten Stand zu bleiben.

Vielen Dank an dich für die kompetente und schnelle Hilfe. Hoffe ich brauche dich nie mehr. Aber wenn doch, dann melde ich mich wieder auf diesem Wege.

So long!

--------------------------------------------------------------

It's not the gun, it's the man behind!

Antwort

Themen zu Nun hat es mich auch erwischt
adobe, antivir, antivir guard, avg, avira, bho, browseui preloader, desktop, excel, explorer, firefox, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, logfile, magix, mozilla, problem, rundll, server, software, system, windows, windows xp



Ähnliche Themen: Nun hat es mich auch erwischt


  1. BKA Trojaner hat auch mich erwischt .
    Log-Analyse und Auswertung - 25.10.2014 (5)
  2. Auch mich hat es mit 98uj8 erwischt :(
    Plagegeister aller Art und deren Bekämpfung - 06.08.2014 (9)
  3. Auch mich hat es erwischt.
    Plagegeister aller Art und deren Bekämpfung - 08.07.2013 (26)
  4. startfenster.com hat mich auch erwischt...
    Log-Analyse und Auswertung - 22.01.2013 (3)
  5. GVU-Trojaner ... hat mich auch erwischt :(
    Plagegeister aller Art und deren Bekämpfung - 01.01.2013 (9)
  6. GVU - hat mich auch erwischt...
    Plagegeister aller Art und deren Bekämpfung - 18.12.2012 (7)
  7. Verschlüsselungstrojaner hat auch mich erwischt
    Plagegeister aller Art und deren Bekämpfung - 13.08.2012 (6)
  8. Verschlüsselungstrojaner nun hat es mich auch erwischt!
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. Der Bundespolizeivirus hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 18.03.2012 (14)
  10. 50€-Trojaner: auch mich hat es erwischt.
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (52)
  11. 50€ Virus hat auch mich erwischt.
    Log-Analyse und Auswertung - 18.01.2012 (8)
  12. BKA hat mich nun auch erwischt
    Log-Analyse und Auswertung - 17.08.2011 (7)
  13. HDD LOW hat mich auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (19)
  14. CID: mich hat´s auch Erwischt HILFE
    Log-Analyse und Auswertung - 15.06.2008 (1)
  15. auch mich hat es erwischt!
    Log-Analyse und Auswertung - 05.03.2005 (2)
  16. Auch mich hat es erwischt !
    Log-Analyse und Auswertung - 07.11.2004 (3)
  17. Mich hat´s jetzt auch erwischt...
    Log-Analyse und Auswertung - 18.08.2004 (2)

Zum Thema Nun hat es mich auch erwischt - Hallo, bin neu hier und zufällig bei der Suche nach einer Lösung für mein Problem auf dieses Forum hier getroffen. Mein Antivir hat gestern Abend Alarm geschlagen. Directupload.net - Dihohapui.jpg - Nun hat es mich auch erwischt...
Archiv
Du betrachtest: Nun hat es mich auch erwischt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.