Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Log ! <----- Hilfe! (https://www.trojaner-board.de/7712-log-hilfe.html)

bjay 20.09.2004 18:40
Log ! <----- Hilfe!
 
Hallo Jungs !

ich habe alels probiert doch irgentwin virus,troj,wurm nimmt mir den letzten atem !

Ich konnte nicht mehr ins Inet --> Traffic war da aber woher? (wurde ich als schläfer oda so benutzt?)
Progz wie z.B gegen Virus wurden unbrauchbar gemacht und wenn ich ma svchost beendet wollte kam die meldugn bla bla in 60 sec ist dein Pc down
--> shutdown -a und die sache war auch geregelt ! Hier meine Log:

Code:
Logfile of HijackThis v1.98.2
Scan saved at 19:39:33, on 20.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PaSSrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PavProt.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\prevsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PsImSvc.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\wpabaln.exe
D:\Apps\Kumunikation\IRC-HACKER\hIRC.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\JGsoft\EditPadPro5\EditPadPro.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\bjay\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\Panda Software\Panda Platinum Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095683782804
O20 - AppInit_DLLs: PAVWAIT.DLL
DANKE !!!!

Cidre 20.09.2004 18:53
Hallo,

fixe diese Einträge:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O20 - AppInit_DLLs: PAVWAIT.DLL

Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:
PAVWAIT.DLL

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach ein neues Log-File von HiJackThis und die Virus Log Information von eScan posten.

Hast du dein System vor kurzem neuaufgesetzt?

bjay 20.09.2004 18:55
ja habe ich weil der virus mir das leben zur hölle gemacht hat!



Zitat:
Zu überprüfende Datei: PAVWAIT.DLL

PAVWAIT.DLL Ok


Statistiken:
Bekannte Viren: 99440 Updated: 20-09-2004
Größe der Datei (Kb): 128 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0






Cidre 20.09.2004 19:08
Schicke bitte diese Datei gezippt zur Dateianalyse an mailto:virus@rokop-security.de und poste auch den Link zu diesen Thread mit.

bjay 20.09.2004 19:22
SOOO: die neu Log !

Der Link zur analyse folgt ! --> EDIT

Code:
Logfile of HijackThis v1.98.2
Scan saved at 20:17:26, on 20.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\PaSSrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PavFnSvr.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PavProt.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\pavsrv51.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\prevsrv.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\PsImSvc.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE
C:\Programme\Panda Software\Panda Platinum Internet Security\WebProxy.exe
D:\Apps\Kumunikation\IRC-HACKER\hIRC.exe
C:\Dokumente und Einstellungen\bjay\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Platinum Internet Security\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [PANDA ANTISPAM SERVER SERVICE] "C:\Programme\Panda Software\Panda Platinum Internet Security\PasSrv.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095683782804
O20 - AppInit_DLLs: PAVWAIT.DLL

Cidre 20.09.2004 19:28
Zitat:
O20 - AppInit_DLLs: PAVWAIT.DLL
Der ist ja immer noch da!

Scanne dein System zuerst mit eScan, danach postest du ein neues Log-File von HJT. ;)

bjay 20.09.2004 19:34
die datei ist glaubig von panda ! Nun ja wann kreige ich denn das Ergebnis von der Mail und wie muss ich sie schicken? kein bétreff?

Cidre 20.09.2004 19:37
Normalerweise kannst du in einigen Stunden mit dem Ergebnis rechnen. Als Betreff "Neue Malware" verwenden.

bjay 20.09.2004 21:30
ich weiß nicht ob ich die escan log postet soll da der inhalt meiner Festplatten zur anschauen bereit steht .......

Ich habe da so ein paar tools wo sich manche fragen könnte : " Was macht der Typ überhaupt? " Das sit ein bischen gegen meine Anonymität :confused:

Cidre 20.09.2004 21:47
So geheime Dokumente und Dateien wirst du schon nicht drauf haben, oder? CIA, FBI oder BND :teufel1: :D

Mal im Ernst:
Du solltst lediglich die gefunde Malware und deren Pfad posten, das genügt.
Deswegen schrieb ich ja auch: "Virus Log Information posten" und nicht das gesamte Log.

bjay 21.09.2004 14:37
hier die xscan log

Cidre 21.09.2004 18:48
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutername*\Lokale Einstellungen\Temporary Internet Files

Die anderen Tools hast du selbst installiert, die von eScan als Riskware ausgegeben werden?

Besteht das Problem weiterhin?

bjay 21.09.2004 20:14
prob ist weg ich kan nur 2 filez ent löschen ausm Temp folder !
DANNKE :)

Cidre 21.09.2004 21:29
Gern geschehen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:42 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129