Trojaner-Board - Bitte um Auswertung meines Logfiles:)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Auswertung meines Logfiles:) (https://www.trojaner-board.de/36885-bitte-um-auswertung-meines-logfiles.html)

Bitte um Auswertung meines Logfiles:)

Hallo,

habe heftige probleme mit meinem rechner: internet ist sehr langsam ( firefox und IE ), mit der zeit ist der bootvorgang langsamer, letztens hat sich die oberfläche des arbeitsplatzes von Detailansicht zu einer listenansicht gewechselt , reaktionszeit beim anklicken von programmen recht langsam.... also alles in einem: ich brauche viiiieeel geduld^^

meine Programme zur Prüfung des systems:

sygate P firewall
tune up utilities 2007
spybot
adaware

Komponenten:

AMD Athlon XP 2000+
radeon 9800 pro
1 gb ram kingston
asrock k7vt4a+

Mein Hijacktis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:40:27, on 08.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171274750937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171275443359
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED1EB7F2-84FD-4D08-845B-7F5438F50C8F}: NameServer = 62.220.18.8 62.72.64.237
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

ich hoffe, dass das richtige logfile ist... bin leider sehr noobie in der sache...

Für eine Antwort wäre ich sehr dankbar:daumenhoc

Hm, dein log sieht sauber und aufgeräumt aus.

Mache mal bitte einen eScan. Anleitung zu MWAVE findest du in meiner Signatur.
Diese bitte akriebisch genau ab. Sonst ist der scan, der ewig dauert, umsonst gewesen!

mfg

Undoreal

Hallo,

danke erstmal für die schnelle reaktion:daumenhoc

Hier ist das Logfile von escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Mar 08 12:55:43 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1.***\LOKALE~1\Temp\mexe.com)
Thu Mar 08 12:45:57 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 12:55:24 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 15:15:47 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 15:17:36 2007 => Virus Database Date: 3/7/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 12:56:59 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 08 12:56:59 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 13:00:14 2007 => Scanning Folder: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Bilder\Adobe\Gescannte Fotos\*.*

Bin etwas irritiert über deine anleitung für escan.

im abgesicherten modus updaten? habe das im normalen modus gemacht. hoffe,

ich hab da nix falsch gemacht...

Zitat:

Bin etwas irritiert über deine anleitung für escan.

im abgesicherten modus updaten? habe das im normalen modus gemacht. hoffe,

ich hab da nix falsch gemacht...

:) schon o.k. geht genauso gut..

Lasse diese Datei mal auf Virustotal auswerten und poste den Bericht mit allen Angaben.

mfg

Undoreal

so, ich denke, dass die txt-datei gemeint war...

der scan hat folgendes ergeben:

Complete scanning result of "eScan_neu.txt", received in VirusTotal at 03.08.2007, 15:51:13 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.08.2007 no virus found
Authentium 4.93.8 03.07.2007 no virus found
Avast 4.7.936.0 03.08.2007 no virus found
AVG 7.5.0.447 03.08.2007 no virus found
BitDefender 7.2 03.08.2007 no virus found
CAT-QuickHeal 9.00 03.07.2007 no virus found
ClamAV devel-20060426 03.08.2007 no virus found
DrWeb 4.33 03.08.2007 no virus found
eSafe 7.0.14.0 03.07.2007 no virus found
eTrust-Vet 30.6.3464 03.08.2007 no virus found
Ewido 4.0 03.07.2007 no virus found
FileAdvisor 1 03.08.2007 no virus found
Fortinet 2.85.0.0 03.08.2007 no virus found
F-Prot 4.3.1.45 03.07.2007 no virus found
F-Secure 6.70.13030.0 03.08.2007 no virus found
Ikarus T3.1.1.3 03.08.2007 no virus found
Kaspersky 4.0.2.24 03.08.2007 no virus found
McAfee 4979 03.07.2007 no virus found
Microsoft 1.2204 03.08.2007 no virus found
NOD32v2 2102 03.08.2007 no virus found
Norman 5.80.02 03.07.2007 no virus found
Panda 9.0.0.4 03.08.2007 no virus found
Prevx1 V2 03.08.2007 no virus found
Sophos 4.15.0 03.07.2007 no virus found
Sunbelt 2.2.907.0 03.07.2007 no virus found
Symantec 10 03.08.2007 no virus found
TheHacker 6.1.6.072 03.07.2007 no virus found
UNA 1.83 03.07.2007 no virus found
VBA32 3.11.2 03.07.2007 no virus found
VirusBuster 4.3.19:9 03.07.2007 no virus found

Aditional Information
File size: 1432 bytes
MD5: 55dc80645f36e5993c89e8d4b1ce0b0e
SHA1: 3c49e88bfd3a31320c44d3e4de763455e437b4c9

sorry, ich weiss nicht genau, wie ich die seite hätte hier hinein posten sollen...

Och schei**e ich Vollidiot! :) Sorry.

Diese Datei: " C:\WINDOWS\system32\unrar.dll "

mfg

Undoreal

Hehe, kein Ding^^

So, das ist die Auswertung der datei:

Complete scanning result of "unrar.dll", received in VirusTotal at 03.08.2007, 16:10:27 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.41 03.08.2007 no virus found
Authentium 4.93.8 03.07.2007 no virus found
Avast 4.7.936.0 03.08.2007 no virus found
AVG 7.5.0.447 03.08.2007 no virus found
BitDefender 7.2 03.08.2007 no virus found
CAT-QuickHeal 9.00 03.08.2007 no virus found
ClamAV devel-20060426 03.08.2007 no virus found
DrWeb 4.33 03.08.2007 no virus found
eSafe 7.0.14.0 03.07.2007 no virus found
eTrust-Vet 30.6.3464 03.08.2007 no virus found
Ewido 4.0 03.07.2007 no virus found
FileAdvisor 1 03.08.2007 No threat detected
Fortinet 2.85.0.0 03.08.2007 no virus found
F-Prot 4.3.1.45 03.07.2007 no virus found
F-Secure 6.70.13030.0 03.08.2007 no virus found
Ikarus T3.1.1.3 03.08.2007 no virus found
Kaspersky 4.0.2.24 03.08.2007 no virus found
McAfee 4979 03.07.2007 no virus found
Microsoft 1.2204 03.08.2007 no virus found
NOD32v2 2102 03.08.2007 no virus found
Norman 5.80.02 03.07.2007 no virus found
Panda 9.0.0.4 03.08.2007 no virus found
Prevx1 V2 03.08.2007 no virus found
Sophos 4.15.0 03.07.2007 no virus found
Sunbelt 2.2.907.0 03.07.2007 no virus found
Symantec 10 03.08.2007 no virus found
TheHacker 6.1.6.072 03.07.2007 no virus found
UNA 1.83 03.07.2007 no virus found
VBA32 3.11.2 03.07.2007 no virus found
VirusBuster 4.3.19:9 03.07.2007 no virus found

Aditional Information
File size: 53248 bytes
MD5: 47c96ba029c071018c671bb134a44f49
SHA1: 167220183115cab99d23564f308d6e4e62bbce4b
Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=47c96ba029c071018c671bb134a44f49

Hm, das ist allerdings etwas komisch. Nun gut verschiebe die gute " unrar.dll " doch mal in die Quarantäne von AntiVir und starte den Rechner neu. Dann probiere ob WinRar ordentlich läuft. Packe und Entpacke einfach mal was. Wenn alles geht dann lass die Datei erstmal da.

Dann solltest du jetzt doch einen scan mit Blacklight machen da es hier nun langsam etwas spanisch wird.

Gruss

Undoreal

Oh, Antivir hat mal das gefunden:

In der Datei 'D:\System Volume Information\_restore{6FE9C581-5978-4F31-8881-9D426662E5E4}\RP135\A0051349.exe'
wurde ein Virus oder unerwünschtes Programm 'W95/CIH (inactive)' [W95/CIH (inactive)] gefunden.

Betrifft doch nur windows 95 und 98, oder?

so, Blacklight ist auch durchgelaufen, hat aber nichts gefunden...

Pc neu gestartet, winrar funktioniert auch noch normal, die datei ( unrar.dll ) ist noch in der quarantäne...

Gruss

matlock

Hallo,

schalte deine Systemwiederherstellung ab.
Boote neu und schalte sie wieder an,dann sollte diese Meldung weg sein.

Zitat:

Zitat von hoerni26 (Beitrag 257495)

Hallo,

schalte deine Systemwiederherstellung ab.
Boote neu und schalte sie wieder an,dann sollte diese Meldung weg sein.

hmm, hab ich nun gemacht... aber Antivir meldet sich immer noch, wenn ich die datei scanne, bzw schon, wenn ich den pfad ohne A0051349.exe oben eingebe:(

Wie was gibst du denn wo ein?
Sorry aber da kann ich nun nicht folgen??

Hast auch Systemweiderherstellung abgeschaltet,runter gefahren , wieder gestartet und Systemwiederherstellung angeschaltet?

Sorry für die schlechte beschreibung....

Hab nur den Pfad beim Arbeitsplatz in die Adressleiste eingegeben, ohne die Nummer ( A0051349.exe ) ...das meint ich mit oben=Adressleiste:)

so, aber das ist eigentlich auch egal... Problem ist, dass Antivir sich immer noch meldet.

Habe auch systemwiederherstellung ausgeschaltet, restart, und wieder angeschaltet... (hab ich das nicht unten schon erwähnt?)

:)

mfg

matlock

Sollte aber eigentlich weg sein.
Lösche einmal dein Quarantäne Ordner von Antivir

hmm, einfach löschen ist gut... würd mich interessieren, was das genau für eine

datei ist, und ob sie wirklich schädlich oder vielleicht doch wichtig fürs system

ist. hab auf anderen seiten gelesen, dass Antivir sich wohl nur irrt. mehr habe ich

nicht darüber gefunden...

nun gut, aber den Quarantäneordner hab ich mal gelöscht, ausser die unrar.dll datei.( mit undoreal vorher durchgegangen und sollte noch bestehen bleiben )