Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System unstabil (https://www.trojaner-board.de/27667-system-unstabil.html)

Ocir33 18.03.2006 23:02
System unstabil
 
so hier mal mein logfile aktuell von heute system ist zur zeit total unstabil und langsam.str+alt+entf ist ohne funktion aber der taskmanager kann über start = ausführen=taskmgr aufgerufen werden was funktioniert. in der registry ist der dafür zustendige eintrag da mit den wert 0 so wie in etlichenforen beschrieben. auch wurde er nicht in den benutzerrichtlinien deaktiviert . ich habe administratorenrecht habe auch schon TrendMicro house call durchlaufen lassen hat nicht gefunden. habe BitDefender9.0Professional Plus virenscanner aktiv. WIN XP Pro mit SP2 und allen aktuellen updates ; Mozilla Firefox ,Thunderbird.
ach ja zur zeit komme ich nicht in den abgesicherten modus!! system startet immer wieder neu wenn ich beim abgesicherten modus bin und nach dem kennwort gefragt werde es eingebe und ok klicke.
Logfile of HijackThis v1.99.1
Scan saved at 22:43:18, on 18.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\SCMSymbols.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\sokscmnt.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\progra~1\softwin\bitdef~3\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~3\bdnagent.exe
C:\progra~1\softwin\bitdef~3\bdswitch.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\WinLogon\WLBack.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\PCard\PCard.exe
D:\Programme\InCD\InCD.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\FormFill\FrmFill.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\DiskEncryption\DCAdmin.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\AddressBook\BMan.exe
C:\Programme\Mozilla1.7.5\Mozilla.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
D:\Programme\ESEL\eMule\emule.exe
C:\bases\mwavscan.com
C:\bases\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~3\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\progra~1\softwin\bitdef~3\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\progra~1\softwin\bitdef~3\bdswitch.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinLogon Support] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\WinLogon\WLBack.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [PCard] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\PCard\PCard.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\InCD\InCD.exe
O4 - HKLM\..\Run: [FrmFill] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\FormFill\FrmFill.exe
O4 - HKLM\..\Run: [DiskEncryption] "C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\DiskEncryption\DCAdmin.exe" x
O4 - HKLM\..\Run: [BMan] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office\AddressBook\BMan.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.5\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\ESEL\eMule\emule.exe -AutoStart
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Buyertools Reminder\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Buyertools Reminder\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Buyertools Reminder\SearchGoogle.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Internetkeys-Deluxe - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\System32\conf32\$$$\update.bat (HKCU)
O9 - Extra 'Tools' menuitem: Internetkeys-Deluxe - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\System32\conf32\$$$\update.bat (HKCU)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - h**p://www.mypixmania.com/de/de/importer/MypixUploader.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://Z:\content\include\XPPatchInstaller.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136592811841
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://Z:\Content\include\msSecUcd.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - h**ps://www2.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game19.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - h**p://game15.zylomgames.com/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29DA401-E1C1-4347-A728-648EED128422}: NameServer = ***.***.*.*
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CHIPDRIVE Disk Encryption Service (CHIPDRIVE_Disk_Encryption_Service) - Unknown owner - C:\WINDOWS\system32\SCMSymbols.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: CHIPDRIVE Smartcard Office Kernel (SCM_Smart_Card_Office_Kernel) - SCM Microsystems - C:\WINDOWS\system32\sokscmnt.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Rene-gad 19.03.2006 09:23
@Ocir33
ich kann nichts Besonderes im Log finden. Wenn du aber deine Zeit schätzt, sichere Deine wichtigen Daten und setze Win neu auf. Die Suche nach Fieslingen kann noch 1 Woche dauern, das Neuafsetzen - 3-4 Stunden.

Markus1234 19.03.2006 16:39
ich würde zumindest versuchen die unnötigen einträge zu fixen, da du garantiert nicht alle benötigst ... vielleicht erledigt sich das problem dann.


diese 2 sachen kommen mir sehr spanisch vor
Zitat:
O9 - Extra button: Internetkeys-Deluxe - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\System32\conf32\$$$\update.bat (HKCU)
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Internetkeys' nicht bekannt ist, fixen!

O9 - Extra 'Tools' menuitem: Internetkeys-Deluxe - {12954C80-4F0F-11d3-B17C-10C0DFE39736} - C:\WINDOWS\System32\conf32\$$$\update.bat (HKCU)
Eventuell Böse Unbekannte Buttons oder Einträge im Menü 'Extras' immer mit HijackThis fixen.
Wenn der Eintrag 'Internetkeys' nicht bekannt ist, fixen!
und das muss nu auch nicht wirklich sein, oder?
Zitat:
O16 - DPF: {1F83CD9E-505E-4F87-BECE-0832A763E36F} (Image Uploader 3.0 Control) - h**p://www.mypixmania.com/de/de/importer/MypixUploader.cab
selten sauber
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F29DA401-E1C1-4347-A728-648EED128422}: NameServer = ***.***.*.*
die bat-files könnten evtl. die taskmanager-tastenkomni unterdrücken

Ocir33 19.03.2006 17:32
hier mal ein escan log file leider nicht vom abgesicherten modus .~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Mar 18 20:55:24 2006 => System found infected with coolwebsearch Spyware/Adware ({0e1230f8-ea50-42a9-983c-d22abc2eed3b})! Action taken: No Action Taken.
Sat Mar 18 20:55:27 2006 => System found infected with smitfraud variant Browser Hijacker (svcp.csv)! Action taken: No Action Taken.
Sat Mar 18 20:55:59 2006 => System found infected with imesh Spyware/Adware (stub.exe)! Action taken: No Action Taken.
Sat Mar 18 20:56:10 2006 => System found infected with clipgenie Spyware/Adware (channels.ini)! Action taken: No Action Taken.
Sat Mar 18 20:56:21 2006 => System found infected with imesh Spyware/Adware (stub.exe)! Action taken: No Action Taken.
Sat Mar 18 20:56:24 2006 => System found infected with 007guard.com hijacker Spyware/Adware (icoou.dll)! Action taken: No Action Taken.
Sat Mar 18 20:56:24 2006 => System found infected with 007guard.com hijacker Spyware/Adware (icoou.dll)! Action taken: No Action Taken.
Sat Mar 18 20:55:27 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Mar 19 04:06:44 2006 => File C:\System Volume Information\_restore{16B0FB24-5CB4-4B53-932E-42D405CBE0A1}\RP87\A0020280.exe infected by "Trojan-Downloader.Win32.IstBar.ja" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Mar 18 20:55:27 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Mar 18 20:55:59 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\eigene downloads\stub.exe
Sat Mar 18 20:56:10 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gtek\gtupdate\aupdate\channels\channels.ini
Sat Mar 18 20:56:21 2006 => Offending file found: C:\Dokumente und Einstellungen\*****\Eigene Dateien\eigene downloads\stub.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Mar 18 23:22:29 2006 => File C:\Dokumente und Einstellungen\*****\Desktop\Downloads\pantsoff.exe tagged as not-a-virus:PSWTool.Win32.Finder.d. No Action Taken.
Sun Mar 19 03:29:17 2006 => Scanning File C:\Programme\Sierra\CONTRACT J.A.C.K\Game\INTERFACE\HUD\RADAR_TAGGED.DTX
Sun Mar 19 03:57:49 2006 => File C:\System Volume Information\_restore{16B0FB24-5CB4-4B53-932E-42D405CBE0A1}\RP73\A0013769.msi tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Sun Mar 19 03:58:15 2006 => File C:\System Volume Information\_restore{16B0FB24-5CB4-4B53-932E-42D405CBE0A1}\RP74\A0013923.MSI tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Sun Mar 19 03:58:18 2006 => File C:\System Volume Information\_restore{16B0FB24-5CB4-4B53-932E-42D405CBE0A1}\RP74\A0013939.exe tagged as "not-a-virus:AdWare.Win32.SurfAccuracy.g". Action Taken: No Action Taken.
Sun Mar 19 03:58:19 2006 => File C:\System Volume Information\_restore{16B0FB24-5CB4-4B53-932E-42D405CBE0A1}\RP74\A0013940.exe tagged as "not-a-virus:AdWare.Win32.SurfAccuracy.l". Action Taken: No Action Taken.
Sun Mar 19 05:41:56 2006 => File D:\Downloads\adult.exe tagged as "not-a-virus:Porn-Dialer.Win32.AsianRaw.s". Action Taken: No Action Taken.
Sun Mar 19 05:58:58 2006 => File D:\Downloads\Commandos3DestBerlinGERSetup-dm[1].exe tagged as "not-a-virus:AdWare.Win32.Trymedia.b". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Mar 18 20:55:27 2006 => Offending Folder found: C:\Programme\kazaa
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 19 09:08:56 2006 => Total Errors: 54
Sun Mar 19 09:08:56 2006 => Time Elapsed: 12:37:21
Sun Mar 19 09:08:56 2006 => Total Objects Scanned: 158049
Sat Mar 18 16:33:33 2006 => Virus Database Date: 3/17/2006
Sat Mar 18 16:34:40 2006 => Virus Database Date: 3/18/2006
Sat Mar 18 20:26:12 2006 => Virus Database Date: 3/18/2006
Sat Mar 18 20:30:27 2006 => Virus Database Date: 3/18/2006
Sun Mar 19 09:08:56 2006 => Virus Database Date: 3/18/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\bases\MWAV.LOG
--------------------------------------------------
h**p://www.mypixmania.com/de/de/importer/MypixUploader.cab das ist nur das uplodcenter von pixmania habe da etliche bilder/fotos hochgeladen und abzüge online bestellt.

bin zur zeit beim daten sichern mal sehen wie es weiter geht.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129