| |
| |||||||
Log-Analyse und Auswertung: Jetzt weiß ich nicht mehr weiter, hier ist mein Log!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.12.2004, 13:41
| #1 |
 |  Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Er hat danach die netssh.exe übrigens nicht mehr gefunden! Ist doch schonmal was , oder? Sooo, da bin ich mal gespannt, was ihr da findet hier zuerst mal das hijackthis-log:Logfile of HijackThis v1.98.2 Scan saved at 13:39:59, on 06.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\csrss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe F:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe F:\WINDOWS\Explorer.EXE F:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe F:\WINDOWS\system32\spoolsv.exe F:\WINDOWS\System32\alg.exe F:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe F:\Programme\Norton AntiVirus\navapsvc.exe F:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE F:\WINDOWS\System32\locator.exe F:\WINDOWS\System32\wuauclt.exe F:\Programme\Norton AntiVirus\SAVScan.exe F:\WINDOWS\System32\RunDll32.exe F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe F:\Programme\PestPatrol\PPControl.exe F:\Programme\PestPatrol\PPMemCheck.exe F:\Programme\PestPatrol\CookiePatrol.exe C:\Corel 8\Programs\MFIndexer.exe F:\Programme\AGFEO\ISDN Guard\agfguard.exe F:\Downloads\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - F:\WINDOWS\System32\netcfg.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] F:\PROGRA~1\NORTON~3\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] F:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [PestPatrol Control Center] F:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] F:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] F:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "F:\Programme\eScan\LAUNCH.EXE" O4 - HKCU\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel 8\Programs\MFIndexer.exe O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\office\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: http://*.search-soft.net O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - O17 - HKLM\System\CCS\Services\Tcpip\..\{287CCCA2-0457-467A-B696-6612E8605ABB}: NameServer = 192.168.122.252,192.168.122.253 Und nu das log vom rem.bat: Microsoft Windows XP [Version 5.1.2600] F:\WINDOWS\system32 "Files found" --------------------------------------------------------------------- clfmon.exe Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ rsn.exe odcfg.exe getdns.exe netssh.exe syspack.dll netcfg.dll odbcfg32.dll p2pserv.dll Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "netcfg.dll"="" "odbcfg32.dll"="" "p2pserv.dll"="" "clfmon.exe"="" "netssh.exe"="" "syspack.dll"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "clfmon.exe"="" "netssh.exe"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys] "{98DBBF16-CA43-4c33-BE80-99E6694468A4}"="" "{E9590744-812B-46C3-96EB-33212855927D}"="" "Files"="" "Ms4Hd"="" "Processes"="" "RegKeys"="" "RegValues"="" "Vendor"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues] "clfmon.exe"="" "netssh.exe"="" "sessngr.exe"="" "spoolsvc.exe"="" ----------------------------------------------------------------- Done |
|
06.12.2004, 13:53
| #2 | |
  | Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Fixe jetzt bitte noch foglendes:
__________________Zitat:
Schicke mir bitte die Datei C:\bad.zip zur Kontrolle an meine Mailadresse badfiles@bul-online.de (Bitte diese Mailadresse nur für den Versand der bad.zip verwenden!) Wenn wieder alles im grünen Bereich ist, kannst Du anschließend noch ein bisschen aufräumen. Die Dateien C:\bad.reg, C:\bad.zip und c:\log.txt kannst Du nun löschen. Außerdem sollten sich unter C:\windows\system32 folgende Dateien befinden, die ebenfalls gelöscht werden können: 1. rem.bat vom 4.12.2004 (Größe 30KB) und 2. zip.exe vom 21.12.1999 (Größe 124 KB)
__________________ Geändert von Lutz (06.12.2004 um 14:10 Uhr) |
|
08.12.2004, 10:39
| #3 |
| | Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Guten Morgen Lutz!
__________________Da freut man sich ja wie Weihnachten, wenn die Kiste wieder sauber ist! Welche Dateien, sollte ich, von wegen aufräumen, noch in den Datenbanken entfernen, die jetzt durch die Virenjagd entstanden sind? Bis auf den Eintrag DSO Exploit bei spybot, ist wohl ein Programmfehler und richtet wohl keinen Schaden an, habe ich jetzt nur dieses dämliche, nervende "Blubb", was hier und da über die Soundkarte kommt! Lässt sich das irgendwo finden oder hast du da eine Idee? Ich hab schon im NAV gesucht ob ein Popup-Blocker sowas macht, da war aber nichts! Ich hab Mozilla gestern installiert und auch schon gearbeitet, leider fehlen mir diverse Funktionen, wie z.B. shift drücken und dann per Mausklick ein neues fenster aus einem Link herraus öffnen! Geht das bei Mozilla nur mit "rechter Maustaste auf link und dann im neuen Fenster öffnen"? Übrigens.... magst du Gummibärchen oder auf was stehst du so? Gruß aus dem Rheinland! |
|
08.12.2004, 11:12
| #4 | |||||
| |  Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Moin Himbeertoni, freut mich zu lesen, dass Dein System wieder so läuft, wie es soll!  Zitat:
1. rem.bat vom 4.12.2004 (Größe 30KB) und 2. zip.exe vom 21.12.1999 (Größe 124 KB) Zitat:
Zitat:
Den Popup-Blocker im InternetExplorer gibt es ja in der Form erst seit dem ServicePack2 für XP. Dort kann man Töne (de-)aktivieren, aber das trifft bei Dir ja nicht zu. Hast Du schon mal bei PestPatrol oder dem ISDN-Guard von AGFEO geschaut, ob es dort so eine Funktion gibt? Oder hast Du in der Nähe des Rechners ein Bluetooth- und/oder Infrarot-Empfänger (z. B. ein entsprechendes Handy)? Wenn ich mein Handy neben mein Notebook lege, gibt das Notebook auch einen Ton von sich, welchen ich selbst allerdings nicht unbedingt als 'Blubb' bezeichnen würde... Zitat:
Zitat:
  (Kleiner Scherz!)Nein, lass mal. Das ist schon in Ordnung so. Außerdem habe ich hierbei selbst auch wieder einiges dazu gelernt.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
08.12.2004, 12:41
| #5 |
| | Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Mahlzeit! Hast Du schon mal bei PestPatrol oder dem ISDN-Guard von AGFEO geschaut, ob es dort so eine Funktion gibt? Gucke da gleich mal nach! Danke! Oder hast Du in der Nähe des Rechners ein Bluetooth- und/oder Infrarot-Empfänger (z. B. ein entsprechendes Handy)? Wenn ich mein Handy neben mein Notebook lege, gibt das Notebook auch einen Ton von sich, welchen ich selbst allerdings nicht unbedingt als 'Blubb' bezeichnen würde... Ist auch kein Störgeräusch, sondern ein richtiges "Blubb" als *.wav oder so, quasi ein "programmiertes Blubb"! Mozilla muß ich erstmal kennenlernen, auf jedenfall werde ich den IE 6.0 nicht mehr nehmen, wenn ich in den Tiefen des Netztes wühle! Auf was ich stehe, gehört nicht um 11:15 Uhr in ein öffentliches Forum... (Kleiner Scherz!)Wäre doch Blödsinn, wenn ich dir was schicke, was du nicht magst, oder? Darum hast du die Chance was auszuwählen! Was schicken, werde ich auf jeden Fall, da kommst du nicht drum herum! Nein, lass mal. Das ist schon in Ordnung so. Außerdem habe ich hierbei selbst auch wieder einiges dazu gelernt. ....und Arbeit gehabt! Nein! Keine Chance!  |
|
08.12.2004, 12:52
| #6 | |
| | Jetzt weiß ich nicht mehr weiter, hier ist mein Log!Zitat:
 !  Um das ganze mal abzukürzen: Ja, ich mag Gummibärchen...
__________________ --> Jetzt weiß ich nicht mehr weiter, hier ist mein Log! |
|
08.12.2004, 13:52
| #7 |
| | Jetzt weiß ich nicht mehr weiter, hier ist mein Log! Aha! Geht doch! Das man manche Menschen immer zu Ihrem Glück zwingen muß! An die Adresse auf deiner Homepage? Übrigens..... vielleicht brauche ich deine Hilfe nochmal irgendwann und ich kann dann vielleicht von einem "Gummibärchen-Bonus" zähren! |
|
08.12.2004, 20:07
| #8 | ||
| |  Jetzt weiß ich nicht mehr weiter, hier ist mein Log!Zitat:
Zitat:
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
| Themen zu Jetzt weiß ich nicht mehr weiter, hier ist mein Log! |
| abgesicherten modus, ad-aware, antivirus, askbar, control center, dateien, diverse, dll, drivers, dsl, excel, explorer, helfen, heulen, hijack, hijackthis, internet, internet explorer, log, löschen, mein log, microsoft, monitor, popup, programme, rundll, scan, software, symantec, system volume information, tcpip, träge, warum, windows, windows xp |
Hybrid-Darstellung
