Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Ist nun alles OK?

Ist nun alles OK?


Log-Analyse und Auswertung: Ist nun alles OK?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.12.2004, 14:18   #1
Vandol
 
Ist nun alles OK? - Standard

Ist nun alles OK?


Hier meine neuen Logfiles von HijackThis und escan. Wäre nett wenn ihr noch mal drüber schauen könntet.
Danke Vandol

Logfile of HijackThis v1.98.2
Scan saved at 19:19:30, on 09.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F 2.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Tools\WinRar\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.735\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32/left.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.123.254
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F 2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {14325268-79E0-4D2A-89A4-FFFC6E22741E} - http://akamai.downloadv3.com/binari...ice_3_EN_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A12191-BBB1-450F-B9BF-7E5BDB10B8DD}: NameServer = 192.168.123.254,212.185.252.73

escan:
Thu Dec 09 18:52:35 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
Thu Dec 09 18:52:48 2004 => File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Dec 09 18:52:51 2004 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Thu Dec 09 18:56:36 2004 => File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
Thu Dec 09 20:56:37 2004 => File D:\Festplatte_Downloads\Patches\Skout\skout101.zip tagged as not-a-virus:Cracker.AssasinPatch. No Action Taken.
Thu Dec 09 18:54:40 2004 => File C:\DOKUME~1\Andreas\LOKALE~1\Temp\temp.fr0D62 infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Thu Dec 09 19:51:28 2004 => File C:\RECYCLER\S-1-5-21-2919174591-3357591376-1883412291-1005\Dc40.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.
Thu Dec 09 20:45:57 2004 => File C:\WINDOWS\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken.
Thu Dec 09 21:03:42 2004 => ***** Scanning complete. *****

Thu Dec 09 21:03:42 2004 => Total Files Scanned: 102698
Thu Dec 09 21:03:42 2004 => Total Virus(es) Found: 11
Thu Dec 09 21:03:42 2004 => Total Disinfected Files: 0
Thu Dec 09 21:03:42 2004 => Total Files Renamed: 0
Thu Dec 09 21:03:42 2004 => Total Deleted Files: 0
Thu Dec 09 21:03:42 2004 => Total Errors: 45
Thu Dec 09 21:03:42 2004 => Time Elapsed: 01:39:42
Thu Dec 09 21:03:42 2004 => Virus Database Date: 2004/12/08
Thu Dec 09 21:03:42 2004 => Virus Database Count: 111920

Thu Dec 09 21:03:42 2004 => Scan Completed.

Alt 10.12.2004, 15:55   #2
Vandol
 
Ist nun alles OK? - Standard

Ist nun alles OK?


Grml, scheinbar nicht, es Öffnen sich immer noch Seiten wie zB:

http://www.spotresults.com/cgi-bin/search.cgi?keyword
http://eblocs.com/spyblocs/adv/admed_008.html
http://69.20.61.245/info@nictechnetw...ad-armorie.htm

und der PC startet einfach neu.

Kann wer helfen und weis was ich machen soll?
__________________
Alt 10.12.2004, 18:05   #3
MountainKing
 
Ist nun alles OK? - Standard

Ist nun alles OK?


Deaktiviere die Systemwiederherstellung, gehe in den abgesicherten Modus und fixe mit HJT (erst in einen eigenen Ordner entpacken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\system32/left.html
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O16 - DPF: {14325268-79E0-4D2A-89A4-FFFC6E22741E} - http://akamai.downloadv3.com/binari...ice_3_EN_XP.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Lösche die Dateien danach und starte in den normalen Modus, aktiviere die Wiederherstellung. Falls es nicht hilft, arbeite dich mal hier weiter durch, das ist ein aktuelles Problem, das wohl noch nicht so einfach zu lösen ist:

http://www.trojaner-board.com/showthread.php?t=10329
__________________
Alt 10.12.2004, 18:25   #4
Vandol
 
Ist nun alles OK? - Standard

Ist nun alles OK?


OK hab sie mal gefixt, aber es öffnen sich immer noch selbstständig Fenster.
HIer mein neues Log file:

Logfile of HijackThis v1.98.2
Scan saved at 18:24:59, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Festplatte_Downloads\Downloads\AV\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.123.254
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2A12191-BBB1-450F-B9BF-7E5BDB10B8DD}: NameServer = 192.168.123.254,212.185.252.73

Alt 11.12.2004, 23:47   #5
Shadowdance
 
Ist nun alles OK? - Standard

Ist nun alles OK?


Hallo Vandol,

unter welchem Pfad findet man auf Deinem System die 'kavupd.exe'?

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken),

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

wenn Du diese Einträge nicht kennst, bitte fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.123.254

wenn Du diese Seiten nicht selbst eingetragen hast, bitte fixen:

O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD


Antwort

Themen zu Ist nun alles OK?
button, c:\windows\temp, dll, drivers, explorer, festplatte, hijack, hijackthis, infected, internet, internet explorer, logfiles, messenger, microsoft, neue, not-a-virus, nvcpl.dll, p2p, programme, rundll, software, start, system, system32, tcpip, temp, urlsearchhook, usb, windows, windows messenger, windows xp, windows\temp


« logfile O1-Einträge | Probleme mit Trojaner »


Ähnliche Themen: Ist nun alles OK?


  1. 5. win 10 clean install, anfangs alles ok, nach einiger zeit ruckelt alles bei zirka 50 % aller startups
    Log-Analyse und Auswertung - 17.09.2015 (3)
  2. Virus löscht alles nach neustart alles normal?
    Log-Analyse und Auswertung - 25.03.2013 (1)
  3. alles neu!
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (1)
  4. Alles ok?
    Mülltonne - 29.09.2007 (0)
  5. Alles ok?
    Mülltonne - 11.08.2007 (0)
  6. ist alles im lot???
    Mülltonne - 14.07.2007 (1)
  7. Alles im Lot?
    Mülltonne - 19.04.2007 (1)
  8. alles ok mit dem HJT Log
    Mülltonne - 25.05.2006 (1)
  9. ist bei mir alles okay?
    Mülltonne - 23.03.2006 (1)
  10. Is das alles O.K. so wei´s ist?
    Log-Analyse und Auswertung - 04.03.2006 (3)
  11. Alles ok bei mir?
    Log-Analyse und Auswertung - 06.02.2006 (4)
  12. alles ok bei mir?
    Log-Analyse und Auswertung - 01.01.2006 (1)
  13. Ist da alles OK?
    Log-Analyse und Auswertung - 08.03.2005 (6)
  14. Alles weg!
    Plagegeister aller Art und deren Bekämpfung - 01.02.2005 (15)
  15. Alles okay?
    Log-Analyse und Auswertung - 29.12.2004 (6)
  16. Alles ok?
    Log-Analyse und Auswertung - 17.11.2004 (8)
  17. Ist alles ok ???
    Log-Analyse und Auswertung - 30.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Ist nun alles OK? - Hier meine neuen Logfiles von HijackThis und escan. Wäre nett wenn ihr noch mal drüber schauen könntet. Danke Vandol Logfile of HijackThis v1.98.2 Scan saved at 19:19:30, on 09.12.2004 Platform: - Ist nun alles OK?...
Archiv
Du betrachtest: Ist nun alles OK? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55