Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   100% dumprep ;-) (https://www.trojaner-board.de/30959-100-dumprep.html)

p2501 28.07.2006 15:56
100% dumprep ;-)
 
hallo
mein problem wurde eigentlich schon recht genau hier von einem anderen beschrieben
http://www.trojaner-board.de/showthr...ht=dumprep.exe
kurz:
öffnen von bestimmten ordner
--> prozess dumprep.exe 100% systemauslastung
--> beenden dumprep (taskmanager)
--> beenden explorer
--> wie vorher

dem wurde aber nicht geantwortet
hier mein log
wär sehr nett wenn mir jemand hilft und sagt was ich mir da auf den rechner geholt hab und wie ich es loswerde

=======================================================

Logfile of HijackThis v1.99.1
Scan saved at 16:27:06, on 28.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\cFosSpeed\spd.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
E:\Multimedia\Programme\portable appz\appz data\Miranda_0.1\Miranda\miranda32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\leon\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\drwtsn32.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url***]h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*h**p://de.search.yahoo.com[/url]
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: BHO - {9BB5B49C-0D59-418d-A6A5-F6373B8FEF64} - C:\Programme\BHO Plugin\plugin2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Programme\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 28.07.2006 16:42
Hallo,

als erstes mal ein paar Fragen vorweg:

1.) Hast du in letzter Zeit oft Abstürze des Rechners gehabt mit zusätzlichen Bluescreens?

2.) Und kommst du noch in die Registrierung? (Start->Ausführen->regedit *eintippen, ENTER*)

Gruß
Daniel

p2501 28.07.2006 16:55
zu 1) nein abstürze hab ich selten, und treten auch nie in zusammenhang mit dem geschilderten vorfall auf
zu 2) ja registry kann ich aufrufen, (das aufrufen von redegit habe ich durch xp-antispy aber generell deaktiviert)

Sunny 28.07.2006 17:16
Die Datei dumprep.exe erstellt bei unerwartetem Herunterfahren (Abstürze) ein Speicherabbild.

Da sie im HijackLog nicht ersichtlich ist, könnte es aber auch ein Schädling sein..

Versuch mal folgendes:
Zitat:
Systemsteuerung/System/Erweitert/Starten und Wiederherstellen/Einstellungen unter Debuginformationen -> abstellen!
Ist sie danach noch aktiv?

Wenn doch, versuch die dumprep.exe mal in deinem System zu suchen. Normalerweise sollte sie im Ordner System32 zu finden sein, sollte sie anderweitig auch noch auftauchen, lass sie hier auswerten -> Virustotal
Poste anschliessend das Ergebnis.

Bin mir noch nicht sicher, ob es sich hierbei um eine Software/Hardware Problem handelt, oder um einen Schädling!

Führe trotzdem mal einen eScan durch, Anleitung in meiner Signatur verlinkt!
Sowie einen Scan mit F-Secure Blacklight, poste danach den Report.

Gruß
Daniel

p2501 29.07.2006 15:24
die datei startet immer noch
es wurden zwei datei zum begriff dumprep.exe gefunden, die sich nicht im system32 ordner befanden:
DUMPREP.EXE-0AF2BF67.pf
dumprep.exe

scan von DUMPREP.EXE-0AF2BF67.pf aus C:/windows/prefetch
=======================================================
Complete scanning result of "DUMPREP.EXE-0AF2BF67.pf", received in VirusTotal at 07.29.2006, 15:44:15 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 07.29.2006 no virus found
Authentium 4.93.8 07.29.2006 no virus found
Avast 4.7.844.0 07.29.2006 no virus found
AVG 386 07.28.2006 no virus found
BitDefender 7.2 07.29.2006 no virus found
CAT-QuickHeal 8.00 07.29.2006 no virus found
ClamAV devel-20060426 07.29.2006 no virus found
DrWeb 4.33 07.29.2006 no virus found
eTrust-InoculateIT 23.72.81 07.29.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 no virus found
Ewido 4.0 07.29.2006 no virus found
Fortinet 2.77.0.0 07.29.2006 no virus found
F-Prot 3.16f 07.28.2006 no virus found
F-Prot4 4.2.1.29 07.28.2006 no virus found
Ikarus 0.2.65.0 07.28.2006 no virus found
Kaspersky 4.0.2.24 07.29.2006 no virus found
McAfee 4817 07.28.2006 no virus found
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1683 07.28.2006 no virus found
Norman 5.90.23 07.28.2006 no virus found
Panda 9.0.0.4 07.29.2006 no virus found
Sophos 4.08.0 07.29.2006 no virus found
Symantec 8.0 07.29.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 no virus found
UNA 1.83 07.28.2006 no virus found
VBA32 3.11.0 07.28.2006 no virus found
VirusBuster 4.3.7:9 07.28.2006 no virus found

Aditional Information
File size: 90614 bytes
MD5: f1f2eb8f8a05478af5e43eb3bc00fdd6
SHA1: 4cc23ea51d75a57b19f8113ff53937670633f736

p2501 29.07.2006 19:39
hier das ergebnis zur dumprep.exe aus C:/Windows/servicepackfiles/i386
==========================================================
Complete scanning result of "dumprep.exe", received in VirusTotal at 07.29.2006, 20:37:43 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 07.29.2006 no virus found
Authentium 4.93.8 07.29.2006 no virus found
Avast 4.7.844.0 07.29.2006 no virus found
AVG 386 07.28.2006 no virus found
BitDefender 7.2 07.29.2006 no virus found
CAT-QuickHeal 8.00 07.29.2006 no virus found
ClamAV devel-20060426 07.29.2006 no virus found
DrWeb 4.33 07.29.2006 no virus found
eTrust-InoculateIT 23.72.81 07.29.2006 no virus found
eTrust-Vet 12.6.2314 07.28.2006 no virus found
Ewido 4.0 07.29.2006 no virus found
Fortinet 2.77.0.0 07.29.2006 no virus found
F-Prot 3.16f 07.28.2006 no virus found
F-Prot4 4.2.1.29 07.28.2006 no virus found
Ikarus 0.2.65.0 07.28.2006 no virus found
Kaspersky 4.0.2.24 07.29.2006 no virus found
McAfee 4817 07.28.2006 no virus found
Microsoft 1.1508 07.27.2006 no virus found
NOD32v2 1.1683 07.28.2006 no virus found
Norman 5.90.23 07.28.2006 no virus found
Panda 9.0.0.4 07.29.2006 no virus found
Sophos 4.08.0 07.29.2006 no virus found
Symantec 8.0 07.29.2006 no virus found
TheHacker 5.9.8.182 07.27.2006 no virus found
UNA 1.83 07.28.2006 no virus found
VBA32 3.11.0 07.28.2006 no virus found
VirusBuster 4.3.7:9 07.28.2006 no virus found

Aditional Information
File size: 10752 bytes
MD5: 2a8714774f4f6db56bba49df1c5d9c3a
SHA1: 4c1cb415d2e5bc4867def9f122f8deafbbca779a

p2501 29.07.2006 19:44
p.s.:
auszug aus dem MWAV.LOG:
======================================================
Sat Jul 29 19:56:04 2006 => ***** Scanning complete. *****

Sat Jul 29 19:56:04 2006 => Total Objects Scanned: 103102
Sat Jul 29 19:56:04 2006 => Total Critical Objects: 19
Sat Jul 29 19:56:04 2006 => Total Disinfected Objects: 0
Sat Jul 29 19:56:04 2006 => Total Objects Renamed: 0
Sat Jul 29 19:56:04 2006 => Total Deleted Objects: 0
Sat Jul 29 19:56:04 2006 => Total Errors: 45
Sat Jul 29 19:56:04 2006 => Time Elapsed: 03:12:14
Sat Jul 29 19:56:04 2006 => Virus Database Date: 7/29/2006
Sat Jul 29 19:56:04 2006 => Virus Database Count: 210696

Sat Jul 29 19:56:04 2006 => Scan Completed.

Sat Jul 29 20:06:06 2006 => Virus Database Date: 7/29/2006
Sat Jul 29 20:06:06 2006 => Virus Database Count: 210696
Sat Jul 29 20:06:12 2006 => AV Library Unloaded (3)...





===============================================
FRAGE
soll der scan von F-Secure Blacklight auch im abgesicherten modus durchgeführt werden?

p2501 07.08.2006 14:28
HALLLLLLLLOOOOOOOOOOOOOOOOOO
warum antwortet keiner mehr
?????????????????????????????????????????????!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Sunny 07.08.2006 15:36
Zitat:
Zitat von p2501
HALLLLLLLLOOOOOOOOOOOOOOOOOO
warum antwortet keiner mehr
?????????????????????????????????????????????!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Wenn du solche Beiträge bringst, wird dir erst recht niemand antworten. ;)

Du kannst mal freundlich fragen, oder einfach mal deinen Thread weiter nach oben "pushen", aber nicht so!

Den Scan mit F-Secure Blacklight kannst du im normalen Modus machen, ich denk aber nicht das dabei viel herauskommen wird...denn die DUMPREP ist wie der Name schon sagt (Windows Error Reporting Dump Reporting Tool) für den Bericht nach einem Systemabsturz da.

p2501 09.08.2006 12:10
F-Secure blacklight
"no hidden items found"
das programm erstellt anscheinend kein log
hab desshalb aus der tabelle mal ein bild erstellt
http://img301.imageshack.us/img301/3619/ohnetitel6kopienj1.jpg

"ich denk aber nicht das dabei viel herauskommen wird"
und was kann man dann für ein fazit aus den reports ziehen?

mfg p2501

p.s.: ich wollt ja nur auf mich aufmerksam machen, die letzte antwort war eine woche her
schuldigung :heilig:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:52 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129