Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kommunikatives Blau

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.11.2004, 20:06   #1
sventovit
 
Kommunikatives Blau - Standard

Kommunikatives Blau



Hallo,

ich habe so langsam alles ausprobiert. Bitte helft mir. Zur Zeit setze ich Trend Micro ein. Die Wirkung ist sehr fragwürdig. Nachdem jetzt auch im abgesicherten Modus allerlei Blue Screens ( NTFS/IRQ/...) erschienen sind, hoffe ich das man mir hier helfen kann. Bitte schaut euch den Log an :

Logfile of HijackThis v1.98.2
Scan saved at 17:10:07, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\ECOMCM.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\FRITZ!\IWatch.exe
D:\Eigene Dateien\Downloads\Privat\Mails\Software\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Winblöd
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:8081;https=127.0.0.1:8081;socks=127.0.0.1:1080;http=127.0.0.1:8081
R3 - Default URLSearchHook is missing
O1 - Hosts: 203.161.127.141 www.dcsresearch.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Programme\Common Files\Microsoft Shared\MAIN.EXE /LASTSCAN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Gruss und Dank

Sventovit

Alt 28.11.2004, 20:31   #2
Shadowdance
 
Kommunikatives Blau - Standard

Kommunikatives Blau



@ sventovit

was meinst Du mit Blue Screens und was hast Du ausprobiert? Welches Problem hast Du?

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINNT\System32\ECOMCM.EXEvv

teile uns das Ergebnis der Überprüfung mit.

Boote in den abgesicherten Modus (VGA-Modus) und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R3 - Default URLSearchHook is missing
O1 - Hosts: 203.161.127.141 w*w.dcsresearch.com
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - h**p://www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.141/code/PWActiveXImgCtl.CAB

boote in den normalen Modus.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird von Hand gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Erstelle ein neues Hijack This Logfile und poste es.

SD
__________________


Alt 28.11.2004, 22:24   #3
sventovit
 
Kommunikatives Blau - Standard

Kommunikatives Blau



Hallo SD,

ersteinmal vielen Dank für die schnelle Antwort. Bitte gib mir etwas Zeit um das alles duchzuführen.
Mit "alles ausprobiert" meinte ich :
- escan/Kaspersky/... inkl. abgesicherter Modus und updates und ... schlag mich tod.
Mit "blue screen" meinte ich die erschöpfenden Informationen beim Absturz eines Win2k prof Absturzes. Dieses hatte ich in allen nur erdenklichen Varianten. IRQ less or equal, NTFS lolFehler....

Bis "gleich" Dank + Gruß

Sventovit
__________________

Alt 29.11.2004, 00:47   #4
sventovit
 
Kommunikatives Blau - Standard

Kommunikatives Blau



Hallo Shadowdance,

hier nun die Ergebnisse :

File: ecomcm.exe
Status: OK
Packers detected: None

--> E-Scan zeigte mir 2 Dateien, habe ich natürlich auch gleich nachgeschaut. Ein ziemlich genialer Link, man beachte die Poetik.

File: gendel32.exe ( ist in C:\ )
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)

File: runner.exe ( ist in C:\Programme\Logitech\Desktop Messenger\8876480\6.1.4.36-8876480L\Program )
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)

Soll ich diese "pain in the ass"-Dateien löschen ?

Hier noch meine neue Log-Datei :

Logfile of HijackThis v1.98.2
Scan saved at 23:31:58, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\GEARSec.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\ECOMCM.EXE
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Eigene Dateien\Downloads\Privat\Mails\Software\hijackthis\HijackThis.exe
C:\WINNT\NotePad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Winblöd
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:8081;https=127.0.0.1:8081;socks=127.0.0.1:1080;http=127.0.0.1:8081
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SpyCop ScanCheck] C:\Programme\Common Files\Microsoft Shared\MAIN.EXE /LASTSCAN
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: symsupportutil - https://www-secure.symantec.com/regi...upportutil.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/regi...ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Ersteinmal Dank und bis morgen

Sventovit

Antwort

Themen zu Kommunikatives Blau
abgesicherten modus, agent, antivirus, antivirus scan, bho, blau, check, dateien, explorer, fritz!, ftp, helfen, hijack, hijackthis, internet, internet explorer, internet security, langsam, log, micro, microsoft, programme, registry, rundll, rundll32.exe, security, software, sun java, system, system32, trend micro, urlsearchhook, windows




Ähnliche Themen: Kommunikatives Blau


  1. mein bilschirm ist blau
    Plagegeister aller Art und deren Bekämpfung - 19.08.2015 (1)
  2. Bildschirm Blau?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2015 (1)
  3. wörter grün und blau doppelt unterstrichen
    Log-Analyse und Auswertung - 19.11.2014 (8)
  4. Windows 7, Firefox Wörter blau unterstrichen
    Plagegeister aller Art und deren Bekämpfung - 13.11.2014 (5)
  5. Windows 7 Firefox Wörter blau und unterstrichen
    Plagegeister aller Art und deren Bekämpfung - 01.09.2014 (13)
  6. Win 7, Wörter blau und doppelt unterstrichen + Werbung
    Log-Analyse und Auswertung - 30.08.2014 (9)
  7. Wörter blau und doppelt unterstrichen + Werbung
    Log-Analyse und Auswertung - 03.08.2014 (4)
  8. Werbetooltipps doppelt blau unterstrichen in Chrome und IE 11 (Win 8.1) + Redirekt
    Plagegeister aller Art und deren Bekämpfung - 13.04.2014 (7)
  9. Windows 7-Chrome-blau unterstrichene Wörter WERBUNG!
    Plagegeister aller Art und deren Bekämpfung - 10.04.2014 (9)
  10. Wörter sind doppelt blau untersrichen
    Log-Analyse und Auswertung - 28.02.2014 (9)
  11. doppelt blau unterstrichene Links
    Plagegeister aller Art und deren Bekämpfung - 25.10.2013 (13)
  12. Wörter im Internet Blau Markiert
    Log-Analyse und Auswertung - 28.07.2013 (11)
  13. Volumen wird in der Datenträgerverwaltung blau angezeigt
    Alles rund um Windows - 23.01.2012 (4)
  14. Spyware bildschrim blau bitte um hilfe
    Plagegeister aller Art und deren Bekämpfung - 22.02.2011 (13)
  15. Desktop nur noch blau
    Plagegeister aller Art und deren Bekämpfung - 27.07.2007 (7)
  16. nach escan immer noch blau
    Log-Analyse und Auswertung - 14.05.2006 (19)

Zum Thema Kommunikatives Blau - Hallo, ich habe so langsam alles ausprobiert. Bitte helft mir. Zur Zeit setze ich Trend Micro ein. Die Wirkung ist sehr fragwürdig. Nachdem jetzt auch im abgesicherten Modus allerlei Blue - Kommunikatives Blau...
Archiv
Du betrachtest: Kommunikatives Blau auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.