Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte kann mir jemand helfen...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.11.2004, 10:52   #1
Bannani
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Hi

Also ich bin auf dieses Forum gestossen als ich nen Trojaner geGoogelt hab.

Hab mir HiJack gesaugt und laufen lassen.

Hab keinen Plan was ich jetzt machen muss.

Ich poste mal die Log File.


Logfile of HijackThis v1.98.2
Scan saved at 10:38:43, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\crssr.exe
C:\WINDOWS\System32\vpc32.exe
C:\WINDOWS\System32\crsss.exe
C:\WINDOWS\System32\bygrqp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rpc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\winssv.exe
C:\WINDOWS\System32\msndp.exe
C:\WINDOWS\System32\msnmsgrr.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\cmd.exe
C:\Dokumente und Einstellungen\AnDy\Desktop\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=153802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=153802
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=153802
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Windows Compliant] winole.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [tsxzwpnjlyqy] C:\WINDOWS\System32\cwputb.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [onghqj] C:\WINDOWS\onghqj.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sygate Personal Firewall] crssr.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [Windows media service] crsss.exe
O4 - HKLM\..\Run: [Rsvpc Driver] bygrqp.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\omsfuw.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [Msn Patch] msndp.exe
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Windows Compliant] winole.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] crssr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Windows media service] crsss.exe
O4 - HKLM\..\RunServices: [Rsvpc Driver] bygrqp.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunServices: [Msn Patch] msndp.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunOnce: [Win32 SSL Driver] winssv.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [Windows Compliant] winole.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] crssr.exe
O4 - HKCU\..\Run: [Rsvpc Driver] bygrqp.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50448975-F300-4838-B15C-7F719B306B53}: NameServer = 217.237.151.97 217.237.150.33



Ich hab vor ner woche 2 mal formatiert aber ich hab immer wieder probleme.

Hab Antivir laufen lassen, finde ständig neue Trojaner.

2 sind dabei die ich nicht löschen kann.

consccorr + localNRD

Bitte um Hilfe.

Mfg Bannani

Alt 11.11.2004, 11:12   #2
Mrs.helpless
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Hier
erstmal deine Auswertung vom Logfile.
Schaut ja nicht wirklich gut aus!
Hast dir WORM_AGOBOT.XM
W32/Rbot-MD
eingefangen.
Scanne auch im abgesicherten Modus mit Spyware, AdAware und A-squared, die beseiteigen auch einige Bösewichter.
Vielleicht weiß sonst jemand hier noch Rat für dich,
LG
Mrs.helpless
__________________

__________________

Alt 11.11.2004, 14:38   #3
Phalanx
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



das ist mal der roteste (rot=BÖSE) logfile den ich bisdato gesehen habe
__________________

Alt 11.11.2004, 16:42   #4
Haui45
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Bei so einem verseuchten Log brauchst du dich gar nicht mehr lange mit scannen oder fixen aufhalten. Trenn dein System am besten gleich vom Netz und setz es neu auf, aber machs richtig .
Grund: aktive Backdoortrojaner, das heißt dein System ist schon kompromittiert.
Pflichtlektüre: http://www.mathematik.uni-marburg.de...ompromise.html

PS.: Wie immer gilt auch hier: evtl. vorhandene Dialer zur Beweissicherung auf Diskette speichern.

Alt 11.11.2004, 22:02   #5
Bannani
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Hi

Also soll ich gleich Formatieren !?

Und wie schütze ich mein System am besten damit sowas nicht gleich wieder vorkommt ?


Kenn mich net wirklich aus.


Alt 11.11.2004, 22:57   #6
Lidius
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Das ist alles in den links die Haui45 gepostet hat bestens erklärt

Alt 12.11.2004, 17:10   #7
Bannani
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Hi Nochmal,


also ich hab formatiert und alles so gemacht wie in der Anleitung beschrieben.


Ich hab HiJack nochmal drüber laufen lassen und bitte nochmal darum die Log zu überprüfen.

Besten dank derweilen für die schnelle Hilfe.


Mfg Bannani

Ps: Hab die Log vergessen


Logfile of HijackThis v1.98.2
Scan saved at 17:31:17, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winamp.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\AnDy ADMIN2\Desktop\HiJack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Geändert von Bannani (12.11.2004 um 17:35 Uhr) Grund: Hab was vergessen

Alt 12.11.2004, 19:16   #8
*Christian*
Gast
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



SP2 installieren ! ! ! !

Fixe noch dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Alt 12.11.2004, 19:27   #9
Bannani
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Danke.

Hab die Beiden gefixt. Nur ich hab grad wieder HiJack drüber gejagt und diesmal is wieder viel mehr angezeigt.

Is das normal ?!

SP2? hmmmm....... Is das so wichtig ? Mein nur wegen P2P. Die werden dann geblockt bzw gebremst.

Oder gibts da ne andere möglichkeit?


Hier nochmal LOG weiss net ob´s normal is.

Logfile of HijackThis v1.98.2
Scan saved at 19:23:08, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\AnDy ADMIN2\Desktop\HiJack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O17 - HKLM\System\CCS\Services\Tcpip\..\{082B301C-A41B-4101-908A-ACBE02FCB246}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{082B301C-A41B-4101-908A-ACBE02FCB246}: NameServer = 217.237.151.97 217.237.150.33


Die beiden O17 waren beim letzten mal nicht wie kommt das ?!


Mfg Bannani

Alt 13.11.2004, 09:33   #10
chaosman
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



@Bannani

in dein logfile ist nichts auffälliges

chaosman
__________________
Bonus vir semper tiro

Alt 13.11.2004, 17:28   #11
Bannani
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



Danke.


Mal noch ne Frage, wie oft macht ihr den Scan mit HiJack !?

Also einmal pro Monat oder jede woche ?!


Besten dank, habt mir sehr geholfen.


Mfg Bannani

Alt 13.11.2004, 17:37   #12
ZERO
 
Bitte kann mir jemand helfen... - Standard

Bitte kann mir jemand helfen...



@Bannani

Ich benutze es nur wenn ein verdacht besteht!

Zum SP2: Ja die maximale anzahl halboffener verbindungen wird auf 2 begrenzt!

Es gibt aber genügend anleitungen wie du die anzahl erhöhen kannst!

mußt mal googlen!!
__________________
MFG ZERO

Gelten für Trojaner die Genfer Konventionen?

Antwort

Themen zu Bitte kann mir jemand helfen...
adobe, antivir, avg, bho, dateien, desktop, drivers, einstellungen, explorer, file missing, firewall, hijack, hijackthis, immer wieder, internet, internet explorer, log, löschen, microsoft, monitor, programme, rundll, software, sun java, system, tcpip, trojaner, windows, windows messenger, windows xp



Ähnliche Themen: Bitte kann mir jemand helfen...


  1. Kann mir bitte Jemand helfen?
    Log-Analyse und Auswertung - 11.08.2007 (1)
  2. Kann mir jemand bitte helfen???
    Mülltonne - 09.06.2007 (0)
  3. Kann mir bitte jemand helfen
    Log-Analyse und Auswertung - 09.06.2007 (3)
  4. Kann mir bitte jemand helfen?
    Log-Analyse und Auswertung - 20.03.2007 (2)
  5. Kann mir bitte jemand helfen?
    Log-Analyse und Auswertung - 17.01.2007 (1)
  6. Kann mir bitte jemand helfen?
    Log-Analyse und Auswertung - 28.04.2006 (1)
  7. Kann mir bitte jemand helfen?
    Log-Analyse und Auswertung - 20.04.2006 (6)
  8. Kann mir bitte jemand Helfen!??
    Log-Analyse und Auswertung - 31.12.2005 (1)
  9. Kann mir jemand bitte helfen ?
    Log-Analyse und Auswertung - 31.08.2005 (3)
  10. Kann mir bitte jemand helfen?
    Alles rund um Windows - 15.06.2005 (6)
  11. Kann mir bitte jemand helfen??
    Log-Analyse und Auswertung - 22.02.2005 (1)
  12. Kann mir bitte jemand helfen
    Plagegeister aller Art und deren Bekämpfung - 18.02.2005 (7)
  13. Kann mir jemand bitte helfen?
    Plagegeister aller Art und deren Bekämpfung - 05.01.2005 (19)
  14. Kann mir mal bitte jemand helfen??
    Log-Analyse und Auswertung - 19.12.2004 (14)
  15. Log - Kann mir bitte jemand helfen?
    Log-Analyse und Auswertung - 19.11.2004 (1)
  16. Kann mir bitte jemand helfen ?
    Log-Analyse und Auswertung - 31.10.2004 (24)
  17. Kann mir da jemand helfen bitte!
    Plagegeister aller Art und deren Bekämpfung - 14.04.2004 (5)

Zum Thema Bitte kann mir jemand helfen... - Hi Also ich bin auf dieses Forum gestossen als ich nen Trojaner geGoogelt hab. Hab mir HiJack gesaugt und laufen lassen. Hab keinen Plan was ich jetzt machen muss. Ich - Bitte kann mir jemand helfen......
Archiv
Du betrachtest: Bitte kann mir jemand helfen... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.