Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rat bei Log Auswertung (https://www.trojaner-board.de/9741-rat-log-auswertung.html)

Primusmaximus 17.11.2004 21:45
Rat bei Log Auswertung
 
Hi,

habe eine ganze weile schon probleme mit dem rechner games stürzen ab, Programme verabschieden sich mit fehlermeldung(hier gibt es keine bestimmten programme). Weil ich schon fast alles versucht habe, habe ich Hijacker als letzten ausweg gesehen.
Vielleicht erkennt einer von euch ja irgendeinen übeltäter!!!!!!!
Hier meine Log.
Bitte helft mir ich weis net weiter.


Logfile of HijackThis v1.98.2
Scan saved at 21:36:39, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\cfosSpeed1.9alpha\spd.exe
E:\Programme\TaskManager\ctm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Motherboard Monitor 5\MBM5.EXE
E:\PROGRA~1\FASTDE~1\FAST2.EXE
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\iOpus Flatrate Steckdose\flatrate.exe
E:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
E:\Programme\salamander 1.52\SALAMAND.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\salamander 1.52\SALAMAND.EXE
D:\Downloads\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MBM 5] "E:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKCU\..\Run: [FAST Defrag] E:\PROGRA~1\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [AIM] E:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Startup: FlatrateSteckdose.lnk = E:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: SpySubtract.lnk = E:\Programme\CWShredder_Adware\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Programme\AIM95\aim.exe
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) -
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

Shadowdance 17.11.2004 23:14
@ Primusmaximus,

bitte überprüfe mit virusscan.jotti.dhs.org:

D:\Programme\cfosSpeed1.9alpha\spd.exe
E:\Programme\TaskManager\ctm.exe
D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe
E:\Programme\CWShredder_Adware\SpySub.exe

teile uns das Ergebnis der Überprüfung mit.

Im Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) -
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

Primusmaximus 18.11.2004 23:26
zu D:\Programme\cfosSpeed1.9alpha\spd.exe

Service load: 0% 100%
File: spd.exe
Status: OK
Packers detected: None
AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.66 seconds taken)
BitDefender No viruses found (1.06 seconds taken)
ClamAV No viruses found (0.63 seconds taken)
Dr.Web No viruses found (0.46 seconds taken)
F-Prot Antivirus No viruses found (0.05 seconds taken)
Kaspersky Anti-Virus No viruses found (0.54 seconds taken)
mks_vir No viruses found (0.19 seconds taken)
NOD32 No viruses found (0.34 seconds taken)
Norman Virus Control No viruses found (0.96 seconds taken)

zu E:\Programme\TaskManager\ctm.exe

Service load: 0% 100%
File: ctm.exe
Status: OK
Packers detected: None
AntiVir No viruses found (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.32 seconds taken)
Dr.Web No viruses found (0.48 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.58 seconds taken)
mks_vir No viruses found (0.20 seconds taken)
NOD32 No viruses found (0.37 seconds taken)
Norman Virus Control No viruses found (0.38 seconds taken)

zu D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe

Service load: 0% 100%
File: cfos_speed.exe
Status: OK
Packers detected: None
AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.33 seconds taken)
ClamAV No viruses found (0.39 seconds taken)
Dr.Web No viruses found (0.53 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.60 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 No viruses found (0.42 seconds taken)
Norman Virus Control No viruses found (2.72 seconds taken)

zu E:\Programme\CWShredder_Adware\SpySub.exe

Service load: 0% 100%
File: SpySub.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None
AntiVir Heuristic/Trojan.Keylogger (probable variant) (0.18 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.33 seconds taken)
ClamAV No viruses found (0.42 seconds taken)
Dr.Web No viruses found (0.58 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.61 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.44 seconds taken)
Norman Virus Control No viruses found (0.14 seconds taken)

Der Rest kommt gleich danke für die spitzen beschreibung.
Gruß bis gleich

*Christian* 18.11.2004 23:27
E:\Programme\CWShredder_Adware\SpySub.exe ist wohl ein Fehlalarm der AntiVir-Heuristik.

Sende die Datei mal zu partytime-germany.ice@web.de

Primusmaximus 19.11.2004 00:00
So hier die Auswertung von eScan:
hu Nov 18 23:46:17 2004 => Total Virus(es) Found: 3
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0002\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Und dann noch:
Thu Nov 18 23:46:17 2004 => Total Errors: 1
Thu Nov 18 23:57:14 2004 => ERROR!!! Invalid Entry System32\drivers\ctdvda2k.sys in SYSTEM\CurrentControlSet\Services\ctdvda2k...

Hier dann noch die Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:58:46, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
D:\Programme\cfosSpeed1.9alpha\spd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\Programme\TaskManager\ctm.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\Motherboard Monitor 5\MBM5.EXE
E:\PROGRA~1\FASTDE~1\FAST2.EXE
E:\Programme\CWShredder_Adware\SpySub.exe
E:\Programme\iOpus Flatrate Steckdose\flatrate.exe
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\salamander 1.52\SALAMAND.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Downloads\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe Reader6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\cfosSpeed1.9alpha\cFos_Speed.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MBM 5] "E:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKCU\..\Run: [FAST Defrag] E:\PROGRA~1\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [AIM] E:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - Startup: FlatrateSteckdose.lnk = E:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: SpySubtract.lnk = E:\Programme\CWShredder_Adware\SpySub.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - E:\Programme\AIM95\aim.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B8CB479-9011-4DC6-A9D4-981F3F8DB824}: NameServer = 62.27.27.62 62.27.53.66

*Christian* 19.11.2004 00:04
Leere deinen Temp-Ordner mit diesem Tool: http://www.wintotal.de/softw/index.php?rb=1033&id=344



Fixe mit HijackThis noch dies:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)


Schick die Datei E:\Programme\CWShredder_Adware\SpySub.exe bitte noch an partytime-germany.ice@web.de

Primusmaximus 19.11.2004 00:16
Hab alles gemacht, die datei gesendet und HijackThis nochmal machen lassen :snyper: .
Was hat es mit den viren und dem error aufsich?
Kann ich die Systemwiederherstullung wieder deaktivieren?
Gruß :party:

*Christian* 19.11.2004 00:17
Die Datei ist bislang noch nicht angekommen.

Primusmaximus 19.11.2004 00:24
Müßte aber jetzt da sein!!!!
Bitte noch meine anderen Fragen beachten (wäre sehr freundlich).
Gruß

*Christian* 19.11.2004 00:35
Ja, kannst du wieder aktivieren.

Die Datei ist da - Fehlalarm.

Primusmaximus 19.11.2004 20:01
Zitat:
Zitat von Primusmaximus
Hab alles gemacht, die datei gesendet und HijackThis nochmal machen lassen :snyper: .
Was hat es mit den viren und dem error aufsich?
Kann ich die Systemwiederherstullung wieder deaktivieren?
Gruß :party:
Wollte nur noch mal wegen dem error nachfragen???!!!
Was ist das für ein error und kann ich den beseitigen??

Shadowdance 19.11.2004 22:28
@ Primusmaximus,

Zitat:
Zitat von Primusmaximus
So hier die Auswertung von eScan:
hu Nov 18 23:46:17 2004 => Total Virus(es) Found: 3
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~vis0002\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Und dann noch:
Thu Nov 18 23:46:17 2004 => Total Errors: 1
Thu Nov 18 23:57:14 2004 => ERROR!!! Invalid Entry System32\drivers\ctdvda2k.sys in SYSTEM\CurrentControlSet\Services\ctdvda2k...
"not-a-virus:Tool.Win32.Reboot. No Action Taken." --> ist ein zeitlicher Bestand, braucht nicht gelöscht zu werden. "ERROR" --> ist ein Irrtum .. eine irrtümliche Meldung - kein Virus. Das ist ok so.

Nun noch Dein letztes Logfile:

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst/brauchst:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131