Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner-Befall. LOG anbei

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 11.11.2004, 18:24   #1
vandura
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Hallo!

Ich habe seit einiger Zeit ein recht merkwürdiges Problem:

Der PC scheint oft sehr ausgelastet zu sein und die HG arbeitet. Ebenso wird der Computer immer langsamer und die Taskleiste arbeitet nicht richtig. Wenn ich z.b. dann STRG+ALT+ENTF drücke, um den Taskmanager aufzurufen, dann erscheint zwar das grüne Symbol in der Taskleiste, aber der Manager öffnet sich nicht und man kann ihn auch nicht über das grüne Symbol in der Taskleiste öffnen. Ebenso öffnen sich andere Programme, wie z.b. WinRAR nicht.

Anbei mal mein LOG-File. Schon jetzt vielen Dank für die Hilfe.

Logfile of HijackThis v1.98.2
Scan saved at 18:32:24, on 11.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\clipsrv.exe
P:\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
P:\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\tlntsvr.exe
P:\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
p:\WindowBlinds\wbload.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\System32\sstray.exe
P:\QuickTime\qttask.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\ctfmon.exe
P:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
P:\PC Alert 4\PCAlert4.exe
P:\WinZip 9.0\WZQKPICK.EXE
P:\iOpus Flatrate Steckdose\flatrate.exe
C:\PROGRA~1\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
P:\Microsoft Office\OFFICE11\OUTLOOK.EXE
P:\WinRAR\WinRAR.exe
C:\WINDOWS\System32\taskmgr.exe
P:\WinRAR\WinRAR.exe
C:\WINDOWS\System32\wuauclt.exe
P:\Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
R:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 64.81.91.195:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - P:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - P:\Net Transport\NTIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - p:\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - P:\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] P:\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "P:\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "P:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] p:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FlatrateSteckdose.lnk = P:\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: PC Alert 4.lnk = P:\PC Alert 4\PCAlert4.exe

O4 - Global Startup: WinZip Quick Pick.lnk = P:\WinZip 9.0\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Download all by Net Transport - P:\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - P:\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Download with GetRight - P:\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://p:\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://P:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open Selected URL - p:\RightClick_IE\openselectedurl.htm
O8 - Extra context menu item: Open with GetRight Browser - P:\GetRight\GRbrowse.htm
O8 - Extra context menu item: Search &Google - p:\RightClick_IE\google.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - p:\Preispiraten\preispiraten2.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - P:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - p:\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - P:\Yahoo!\Messenger\YPager.exe
O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100194064984
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5AD9B75-6F3D-4544-92D9-061AD4E7634A}: NameServer = 217.237.150.97 217.237.149.161

Geändert von vandura (11.11.2004 um 18:25 Uhr) Grund: Tippfehler

Alt 11.11.2004, 18:42   #2
cacatoa
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Hallo, vandura,
Dein logfile ist relativ schön, d.h. die folgenden, wenn Sie dir nicht bekannt sind, solltest Du fixen:
O16 - DPF: {0000000A-9980-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} -

Wenn Du Probleme hast, müssen sie nicht unbedingt im HJT Logfile auftauchen.
Mach doch mal einen eScan im abgesicherte Modus bei deaktivierter Systemwiederherstellung. Das Ergebnis (..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) mal hier reinstellen.
__________________

__________________

Alt 12.11.2004, 13:02   #3
vandura
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Danke sehr. habe das mal gemacht. Herausgekommen ist folgendes:

Fri Nov 05 11:44:20 2004 => ERROR!!! Invalid Entry = "C:\Program Files\Internet Explorer\iexplore.exe" -nohome. Removing it.
Fri Nov 05 11:44:23 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Fri Nov 05 11:44:25 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS...
Fri Nov 05 11:44:26 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2...
Fri Nov 12 12:56:21 2004 => ERROR!!! Invalid Entry \??\Z:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...
Fri Nov 12 12:56:23 2004 => ERROR!!! Invalid Entry \??\Z:\NTACCESS.sys in SYSTEM\CurrentControlSet\Services\NTACCESS...
Fri Nov 12 12:56:24 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\JENSME~1\LOKALE~1\Temp\PCD61X2.sys in SYSTEM\CurrentControlSet\Services\PCD61X2...

Fri Nov 12 12:59:31 2004 => File C:\WINDOWS\System32\winamp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wie bekomme ich dieses blöden Backdoor.Win32.Rbot.gen denn nun weg??
Ausserdem schreint escan immer 'removing' bei den invalid einträgen, aber wenn ich nochmal scanne, sind die immer noch da. Muss ich die manuell löschen??

Danke!
__________________

Alt 12.11.2004, 13:48   #4
Shadowdance
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



@ vandura

Zitat:
Zitat von vandura
Fri Nov 12 12:59:31 2004 => File C:\WINDOWS\System32\winamp.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Wie bekomme ich dieses blöden Backdoor.Win32.Rbot.gen denn nun weg??
Die Sophos Viren-Enzyklopädie: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten.

Im Falle von "Backdoor.Win32.Rbot.gen" kann ich Dir leider nur raten, Dein System zu formatieren und neu aufzusetzen, analog folgenden Hinweisen:
Lutz: Datensicherung und Cidre: ein umfassender Rat. Dein System ist durch den Backdoor.Win32.Rbot.gen kompromittiert. Das bedeutet, dass jemand anderes Fremdzugriff auf Deinen Rechner haben kann.

SD

Alt 12.11.2004, 13:59   #5
vandura
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Oh je...komme ich um eine Neuinstallation wirklich nicht herum??

Wenn es eine Möglichkeit gäbe, eine Neuinstallation zu vermeiden, wäre ich für jeden Rat sehr dankbar.


Alt 12.11.2004, 14:06   #6
Shadowdance
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



@ vandura,

bist Du Laaie oder Computer-Experte? Wenn Du Experte bist, kannst Du versuchen, alle Registry-Schlüssel und Codes, die dieser Backdoor auf Deinem System hinterlassen hat, zu löschen. Wenn Du Laaie bist, solltest Du Dein System formatieren, da Du ansonsten davon ausgehen kannst, dass jemand anderes Zugriff auf Dein System hat und mitliest.

SD

Alt 12.11.2004, 14:18   #7
vandura
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Also ich denke schon, dass ich Experte bin. Nur leider weiss ich natürlich auswendig nicht, welche Einträge der Virus in der Registry vorgenommen hat.

Wenn es da eine Anleitung/Hilfe gäbe, dann kann ich die Einträge selstverständlich löschen.

Schonmal vielen Dank!

Geändert von vandura (12.11.2004 um 14:35 Uhr)

Alt 12.11.2004, 18:55   #8
cacatoa
 
Trojaner-Befall. LOG anbei - Standard

Trojaner-Befall. LOG anbei



Na, das was Shadowdance gesagt hat...
Du mußt echt ein Experte dafür sein.
Andere Beschreibung, die Deinen Bakcdoorer noch besser trifft und fast noch deutlicher hier
Also, ich weiß auch nicht was zeitraubender ist - neu aufsetzen oder suchen (und dann vielleicht einen Fehler machen...)
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Trojaner-Befall. LOG anbei
adobe, alert, antivirus, ausgelastet, bho, browser, computer, excel, firefox, google, hijack, hijackthis, internet, internet explorer, internet security, nvcpl.dll, problem, rundll, security, security center, senden, software, sun java, symantec, system, taskleiste, taskmanager, tcpip, vielen dank, windows, windows xp



Ähnliche Themen: Trojaner-Befall. LOG anbei


  1. Laptop mit Windows 8 nach Malware Befall wirklich sauber? Logfiles anbei
    Log-Analyse und Auswertung - 30.12.2014 (9)
  2. BKA-Trojaner eingefangen? (3 Log-Dateien anbei)
    Log-Analyse und Auswertung - 28.01.2014 (27)
  3. BKA Trojaner WindowsXP OTL.txt Logfiles anbei
    Log-Analyse und Auswertung - 17.10.2013 (12)
  4. 2 Trojaner gefunden: Ransom und Badur, anbei logfile OTL
    Log-Analyse und Auswertung - 07.09.2013 (15)
  5. GVU TROJANER- WINDOWS 8- frst.text anbei
    Plagegeister aller Art und deren Bekämpfung - 19.07.2013 (3)
  6. GUV Trojaner, OTL LogFiles anbei
    Plagegeister aller Art und deren Bekämpfung - 24.08.2012 (11)
  7. GVU Trojaner 2.07 - Win7 32 BIT Ultimate - Logfiles anbei
    Log-Analyse und Auswertung - 30.07.2012 (6)
  8. Suisa Trojaner, Win XP 32Bit, Logfiles Anbei
    Log-Analyse und Auswertung - 19.07.2012 (14)
  9. BKA-Trojaner hat auch mich erwischt-OTL-Logfile anbei!
    Log-Analyse und Auswertung - 02.05.2012 (4)
  10. BKA Trojaner, OTL-txt anbei, wie weiter?
    Log-Analyse und Auswertung - 05.12.2011 (18)
  11. BKA Trojaner Win XP/ OTL.TXT anbei
    Plagegeister aller Art und deren Bekämpfung - 25.08.2011 (5)
  12. BKA-Trojaner - auch ein Opfer :( OTL-Anbei
    Plagegeister aller Art und deren Bekämpfung - 07.08.2011 (1)
  13. Trojaner: Generic18.VII,Trojaner: Dropper.Generic2.XRU... k. Windows Update m. ,OTL & Malw Log anbei
    Plagegeister aller Art und deren Bekämpfung - 10.07.2010 (31)
  14. Trojaner eingefangen. was nun? escan anbei
    Plagegeister aller Art und deren Bekämpfung - 19.08.2008 (4)
  15. Wie beseitige ich folgende Trojaner? Logfiles anbei
    Plagegeister aller Art und deren Bekämpfung - 06.08.2008 (3)
  16. Backdoor-Trojaner unzerstörbar? Logfile anbei
    Log-Analyse und Auswertung - 25.12.2005 (2)
  17. Hintergrundbild=Trojaner? (Logfile anbei)
    Log-Analyse und Auswertung - 29.09.2004 (5)

Zum Thema Trojaner-Befall. LOG anbei - Hallo! Ich habe seit einiger Zeit ein recht merkwürdiges Problem: Der PC scheint oft sehr ausgelastet zu sein und die HG arbeitet. Ebenso wird der Computer immer langsamer und die - Trojaner-Befall. LOG anbei...
Archiv
Du betrachtest: Trojaner-Befall. LOG anbei auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.