| |
| |||||||
Log-Analyse und Auswertung: flashutil9d, mscorsvw, und Systemauslastung, Ist mein System okay?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
15.02.2012, 22:44
| #1 |
| |  flashutil9d, mscorsvw, und Systemauslastung, Ist mein System okay? Hallo Trojaner-Board leute, also, ich wurde von meinen Eltern gebeten, mir das System mal anzuschauen, da deren Rechner recht langsam lief... Nach einem HijackThis habe ich insbesondere mscorsvw (.Net 4.0 (Welche App braucht den wirklich 4.0, ich meine Dynamics und LinqToSql, nutzt doch eh noch keine "etablierte" Anwendung, und der Rest ist schon seit 3.5 da) optimierungs-Tool, sowie ich das verstanden habe) uns flashutil9d (poppte nach systemstart auf, sah verdechtig aus, irgendwie... gegoogelt, abgeschossen, seitdem weg) und ein paar andere Sachen, i.e.v. Code:
ATTFilter O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
Code:
ATTFilter R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
abgeschossen, bevor ich mich ans Trojaner-Board erinnert habe. (ach ja, und noch ein paar Toolbars füer den nichtgenutzten IE sowie ein Paar Kontextmenueeinträge) Daher ist auch meine damalige HijackThis mit in der .Zip im Anhang. Dann hatte ich noch Spybot Search n Destroy runtergeladen, aktuallisiert und einmal laufen lassen, ohne Befund (zwei Doubleclick, ähm... hab ich vergessen irgendwie in den temorary internet files, nichts wirklich böeses, eher cokies...) Dann hab ich gedacht, da dies auch eine Arbeitsrechner ist, "frag doch mal die Pros vom trojaner-Board", also, hier bin ich... So, aber nun zur dds - Auswertung: Code:
ATTFilter .
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_29
Run by Maria at 20:48:26 on 2012-02-15
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1023.649 [GMT 1:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Security Client\msseces.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\VMSnap3.EXE
C:\WINDOWS\Domino.EXE
C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\DLPSP.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
svchost.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\DLSDBNT.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Dell Printers\Additional Color Laser Software\Status Monitor\DLPWDNT.EXE
.
============== Pseudo HJT Report ===============
.
mWinlogon: SfcDisable=-99 (0xffffff9d)
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programme\java\jre6\bin\jp2ssv.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [H/PC Connection Agent] "c:\programme\microsoft activesync\Wcescomm.exe"
uRun: [<NO NAME>]
mRun: [MSC] "c:\programme\microsoft security client\msseces.exe" -hide -runkey
mRun: [SoundMan] SOUNDMAN.EXE
mRun: [SetDefPrt] c:\programme\brother\mfl_suite\BrStDvPt.exe
mRun: [ControlCenter2.0] c:\programme\brother\controlcenter2\brctrcen.exe /autorun
mRun: [VMSnap3] c:\windows\VMSnap3.EXE
mRun: [Domino] c:\windows\Domino.EXE
mRun: [BigDog303] c:\windows\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
mRun: [DLPSP] "c:\programme\dell printers\additional color laser software\status monitor\DLPSP.EXE"
mRun: [SunJavaUpdateSched] "c:\programme\gemeinsame dateien\java\java update\jusched.exe"
mRun: [Adobe ARM] "c:\programme\gemeinsame dateien\adobe\arm\1.0\AdobeARM.exe"
dRunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab
TCP: DhcpNameServer = 192.168.42.1
TCP: Interfaces\{7A5586FA-F50C-44C1-A4DC-28B13473B43C} : DhcpNameServer = 192.168.42.1
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\dokumente und einstellungen\maria\anwendungsdaten\mozilla\firefox\profiles\j47v1p5c.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\dokumente und einstellungen\maria\anwendungsdaten\mozilla\firefox\profiles\j47v1p5c.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\programme\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: c:\programme\java\jre6\bin\new_plugin\npdeployJava1.dll
.
---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true
============= SERVICES / DRIVERS ===============
.
R1 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2011-4-18 165648]
R2 DLSDB;Dell Printer Status Database;c:\programme\dell printers\additional color laser software\status monitor\dlsdbnt.exe [2011-4-26 135168]
R2 TomTomHOMEService;TomTomHOMEService;c:\programme\tomtom home 2\TomTomHOMEService.exe [2011-4-22 92592]
R3 vmfilter303;vmfilter303;c:\windows\system32\drivers\vmfilter303.sys [2011-4-21 428160]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [2011-4-21 25088]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
.
=============== Created Last 30 ================
.
2012-02-15 18:54:03 -------- d-----w- c:\programme\Spybot - Search & Destroy
2012-02-15 18:54:03 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\Spybot - Search & Destroy
2012-02-15 18:18:45 6557240 ----a-w- c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\{57cdeb76-3a29-4378-bb57-f57a2c5bd328}\mpengine.dll
2012-02-15 10:33:40 3072 ------w- c:\windows\system32\iacenc.dll
2012-02-15 10:33:40 3072 ------w- c:\windows\system32\dllcache\iacenc.dll
2012-02-13 19:33:12 520192 ------w- c:\windows\system32\ati2sgag.exe
2012-02-13 19:27:58 -------- d-----w- c:\programme\ATI
2012-02-13 19:26:38 -------- d-----w- C:\ATI
2012-02-13 12:38:00 -------- d-----w- c:\dokumente und einstellungen\maria\anwendungsdaten\elsterformular
2012-02-13 12:37:22 -------- d-----w- c:\dokumente und einstellungen\all users\anwendungsdaten\elsterformular
2012-02-13 12:36:53 -------- d-----w- c:\programme\ElsterFormular
2012-01-31 14:15:41 6557240 ----a-w- c:\dokumente und einstellungen\all users\anwendungsdaten\microsoft\microsoft antimalware\definition updates\backup\mpengine.dll
2012-01-24 12:42:35 18816 ----a-w- c:\windows\system32\drivers\pccsmcfd.sys
2012-01-24 12:42:26 -------- d-----w- c:\programme\PC Connectivity Solution
.
==================== Find3M ====================
.
2012-01-31 12:44:05 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-01-12 17:20:28 1860096 ----a-w- c:\windows\system32\win32k.sys
2011-12-17 19:43:23 916992 ----a-w- c:\windows\system32\wininet.dll
2011-12-17 19:43:23 43520 ------w- c:\windows\system32\licmgr10.dll
2011-12-17 19:43:23 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-12-16 12:22:58 385024 ------w- c:\windows\system32\html.iec
2011-12-09 08:51:10 1456640 ----a-w- c:\programme\gemeinsame dateien\Falk Navi-Manager.msi
2011-12-05 18:11:50 1089536 ----a-w- c:\windows\system32\ROBOEX32.DLL
2011-11-27 12:48:17 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-25 21:57:03 293888 ----a-w- c:\windows\system32\winsrv.dll
2011-11-20 06:12:19 61952 ----a-w- c:\windows\system32\packager.exe
1997-09-03 22:00:00 311296 ----a-w- c:\programme\gemeinsame dateien\Msacc8.olb
.
============= FINISH: 20:49:02,57 ===============
Falls jemand die Zeit fünde sich die Log(s) mal anzuschauen, wäre ich dankbar. Ach ja, DeamonTools wird nicht gebraucht, aber ich wolte dennoch wissen, ob ich die vituelle Hardware (Defrogger, da geht es doch drum, oder?) wieder Re-Enablen kann (insbesondere wegen dem Teamviewer VPN Adapter (oder ist der nicht betroffen).. Aber nun gut, ich höre mal auf zu plappern, und schaue, was jemand, der mehr als nur gefährliches Halbwissen hat, von den Logs hält. Also danke nochmal, und ich werde am WE nochmal reinschauen können in den Thread (dann auch von nem andern PC aus, den hier stelle ich erstmal unter "Karantäne", besser zu Vorsichtig als mit Kreditkarte an nem Rechner zu hantieren, der vllt......... ) So, das wars nun echt von mir, vielen Dank schonmal, Digit4lPh33r |
|
17.02.2012, 12:13
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | flashutil9d, mscorsvw, und Systemauslastung, Ist mein System okay? Hijackthis wollen wir hier eigentlich nicht sehen.
__________________Zitat:
Wenn Daemontools nicht gebraucht wird dann sollte man es auch deinstallieren. MBAM und ESET hast du schon laufen lassen auf diesem Rechner?
__________________ |
|
| Themen zu flashutil9d, mscorsvw, und Systemauslastung, Ist mein System okay? |
| adobe, bonjour, cdburnerxp, cpu, dsl, einstellungen, explorer, firefox, gebraucht, helper, hijack, hijackthis, hkus\s-1-5-18, home, internet, karte, kreditkarte, langsam, microsoft security, microsoft security essentials, monitor, mozilla, ohne befund, plug-in, rundll, security, software, svchost, system, trojaner-board, usb, windows, windows xp |
Linear-Darstellung
