|
Log-Analyse und Auswertung: Kommunikatives BlauWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.11.2004, 20:06 | #1 |
| Kommunikatives Blau Hallo, ich habe so langsam alles ausprobiert. Bitte helft mir. Zur Zeit setze ich Trend Micro ein. Die Wirkung ist sehr fragwürdig. Nachdem jetzt auch im abgesicherten Modus allerlei Blue Screens ( NTFS/IRQ/...) erschienen sind, hoffe ich das man mir hier helfen kann. Bitte schaut euch den Log an : Logfile of HijackThis v1.98.2 Scan saved at 17:10:07, on 28.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSec.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\SLEE401.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\ECOMCM.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\FRITZ!\IWatch.exe D:\Eigene Dateien\Downloads\Privat\Mails\Software\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Winblöd R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:8081;https=127.0.0.1:8081;socks=127.0.0.1:1080;http=127.0.0.1:8081 R3 - Default URLSearchHook is missing O1 - Hosts: 203.161.127.141 www.dcsresearch.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Programme\Common Files\Microsoft Shared\MAIN.EXE /LASTSCAN O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk.disabled O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab Gruss und Dank Sventovit |
28.11.2004, 20:31 | #2 |
| Kommunikatives Blau @ sventovit
__________________was meinst Du mit Blue Screens und was hast Du ausprobiert? Welches Problem hast Du? Überprüfe mit virusscan.jotti.dhs.org: C:\WINNT\System32\ECOMCM.EXEvv teile uns das Ergebnis der Überprüfung mit. Boote in den abgesicherten Modus (VGA-Modus) und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): R3 - Default URLSearchHook is missing O1 - Hosts: 203.161.127.141 w*w.dcsresearch.com O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - h**p://www.windowsecurity.com/trojanscan/TDECntrl.CAB O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB boote in den normalen Modus. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird von Hand gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
28.11.2004, 22:24 | #3 |
| Kommunikatives Blau Hallo SD,
__________________ersteinmal vielen Dank für die schnelle Antwort. Bitte gib mir etwas Zeit um das alles duchzuführen. Mit "alles ausprobiert" meinte ich : - escan/Kaspersky/... inkl. abgesicherter Modus und updates und ... schlag mich tod. Mit "blue screen" meinte ich die erschöpfenden Informationen beim Absturz eines Win2k prof Absturzes. Dieses hatte ich in allen nur erdenklichen Varianten. IRQ less or equal, NTFS lolFehler.... Bis "gleich" Dank + Gruß Sventovit |
29.11.2004, 00:47 | #4 |
| Kommunikatives Blau Hallo Shadowdance, hier nun die Ergebnisse : File: ecomcm.exe Status: OK Packers detected: None --> E-Scan zeigte mir 2 Dateien, habe ich natürlich auch gleich nachgeschaut. Ein ziemlich genialer Link, man beachte die Poetik. File: gendel32.exe ( ist in C:\ ) Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) File: runner.exe ( ist in C:\Programme\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program ) Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Soll ich diese "pain in the ass"-Dateien löschen ? Hier noch meine neue Log-Datei : Logfile of HijackThis v1.98.2 Scan saved at 23:31:58, on 28.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\cisvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSec.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\system32\SLEE401.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINNT\wanmpsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\ECOMCM.EXE C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Eigene Dateien\Downloads\Privat\Mails\Software\hijackthis\HijackThis.exe C:\WINNT\NotePad.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Winblöd R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:8081;https=127.0.0.1:8081;socks=127.0.0.1:1080;http=127.0.0.1:8081 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Programme\Common Files\Microsoft Shared\MAIN.EXE /LASTSCAN O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk.disabled O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab Ersteinmal Dank und bis morgen Sventovit |
Themen zu Kommunikatives Blau |
abgesicherten modus, agent, antivirus, antivirus scan, bho, blau, check, dateien, explorer, fritz!, ftp, helfen, hijack, hijackthis, internet, internet explorer, internet security, langsam, log, micro, microsoft, programme, registry, rundll, rundll32.exe, security, software, sun java, system, system32, trend micro, urlsearchhook, windows |