| |
| |||||||
Log-Analyse und Auswertung: Könnte sich jemand diesen Log mal anschauen ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
26.01.2006, 13:48
| #16 |
 |  Könnte sich jemand diesen Log mal anschauen ? Hallo lueff, dieses Thema hast Du einem Jahr eröffnet (siehe Post von Focus 24.01.05. Keine Ahnung warum Sabina es wiederbelebte. Hast Du einen Router oder gehst Du über ein Netzwerk ins Inet? Denn die IP 192.168.2.1 deutet daraufhin --> http://de.wikipedia.org/wiki/Private_IP-Adresse Wechsel nun in den abgesicherten Modus. Smitfraudfix.cmd --> Option 2 --> und mit o (für oui -- ja) bestätigen. Poste dann wiederum das entspr. Logfile. dartus
__________________ Kein Support per PN |
|
26.01.2006, 14:23
| #17 |
  | Könnte sich jemand diesen Log mal anschauen ? lueff
__________________O17 - HKLM\System\CCS\Services\Tcpip\..\{EDCD674D-BF8C-445B-8E19-F4A62AE59DAF}: NameServer = 192.168.2.1 da wuerde mich nun auch interssiere...ob es ein Router ist, oder eine korrumpierte Adresse. Hast du einen Router?
__________________ |
|
26.01.2006, 14:25
| #18 |
 | Könnte sich jemand diesen Log mal anschauen ? Hallo Dartus,
__________________Sorry, habe ich gar nicht bemerkt ! Also, ja gehe mit einem Router ins Netz...habe mich aber mit den Sicherheitseinstellung nicht befasst...viel zu faul ich war.... Also hier nochmals den ganzen Durchgang: SmitFraudFix v2.15 Rapport fait à 14:15:12,96 le 26.01.2006 Executé à partir de H:\frische\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\ »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» Recherche D:\Dokumente und Einstellungen\Administrator\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Recherche Menu Démarrer »»»»»»»»»»»»»»»»»»»»»»»» Recherche Bureau »»»»»»»»»»»»»»»»»»»»»»»» Recherche G:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Recherche présence de clés corrompues »»»»»»»»»»»»»»»»»»»»»»»» Recherche éléments du bureau »»»»»»»»»»»»»»»»»»»»»»»» Recherche Sharedtaskscheduler [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport nach und nach dem Durchlauf: SmitFraudFix v2.15 Rapport fait à 14:15:58,79 le 26.01.2006 Executé à partir de H:\frische\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage Fichiers Temporaires »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre Nettoyage terminé. »»»»»»»»»»»»»»»»»»»»»»»» Fin du rapport DAnke !!!!!!!!!!!!!!!
__________________ |
|
26.01.2006, 14:28
| #19 |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo dartus warum wohl erscheinen diese Angaben, wenn ich es bei Whois eingebe??? Verstehst du was davon ? Und findest eine Erklaerung? Suchbegriff: 192.168.2.1 Adresse: whois.arin.net Suchergebnis: OrgName: Internet Assigned Numbers Authority OrgID: IANA Address: 4676 Admiralty Way, Suite 330 City: Marina del Rey StateProv: CA PostalCode: 90292-6695 Country: US
__________________ MfG Sabina |
|
26.01.2006, 14:33
| #20 |
| | Könnte sich jemand diesen Log mal anschauen ? Hi Sabina, ja es ist die Adresse meines Routers....so viel ich weiß sind dieses IP`s für Privatanwender reserv. deshalb kann im Prinzip jeder diese haben.....
__________________ Das Leben ist zu kurz um sich ständig zu ärgern ;-) |
|
26.01.2006, 14:39
| #21 |
 | Könnte sich jemand diesen Log mal anschauen ? Hallo, also so sonderlich viel Ahnung von der Materie habe ich auch nicht, aber in internen Netzwerken werden meist die IPs 192.168.xxx.xxx für die Kommunikation Router/PC genutzt. Das was du bei whois nachgeschlagen hast ist ja die externe IP, die fest vergeben wird. Ich hoffe ich habe die Verwirrung jetzt nicht noch größer gemacht. Grüße Wildone |
|
26.01.2006, 14:50
| #22 | |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo Sabina, hier kann alles erlesen werden: http://de.wikipedia.org/wiki/IANA IANA-HP Zitat:
__________________ Kein Support per PN |
|
26.01.2006, 16:11
| #23 | ||||
| | Könnte sich jemand diesen Log mal anschauen ? 192.168.2.1 habe ich bis jetzt fuer den Wareout interpretiert...Schande ueber mich  Danke fuer eure Tipps.  Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{25C4ABCD-D6BF-4487-97C5-59D4D8A3FB6D}: NameServer = 85.255.115.22,85.255.112.155 O17 - HKLM\System\CCS\Services\Tcpip\..\{1768DC22-0997-444C-BAEB-B3F74BD76104}: NameServer = 195.95.218.21,85.255.112.14 O17 - HKLM\System\CCS\Services\Tcpip\..\{521674B7-A14F-4362-92A6-DE51C1E80C45}: NameServer = 192.168.121.252,192.168.121.253 diese Anzeige von Whois bedeutet also nicht, dass die Verbindung manipuliert ist ?????????...genau mit dieser Anzeige...komme ich nicht zurecht Marina del Rey Zitat:
Zitat:
Zitat:
__________________ MfG Sabina Geändert von Sabina (26.01.2006 um 16:23 Uhr) |
|
26.01.2006, 17:08
| #24 |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo Sabina, mir scheint, dass Du meine Links nicht gelesen hast.  IANA ist eine legitime Organisation, die die Vergabe von IPs regelt. Bei diesen IPs 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 hält IANA die Finger drauf. Sprich sie werden nicht für das Internet freigegeben! dartus
__________________ Kein Support per PN |
|
27.01.2006, 00:12
| #25 |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo dartus Danke 
__________________ MfG Sabina |
|
27.01.2006, 01:34
| #26 |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo Sabina, dartus
__________________ Kein Support per PN |
|
25.05.2006, 20:38
| #27 |
| | Könnte sich jemand diesen Log mal anschauen ? Hallo zusammen, ich bin über Google uaf dieses Forum gestoßen. Hatte mein Problem schon bei Protectus.de gepostet und die Moderatorin Sabina hat mir auch bereits prima geholfen, aber meinte nun letztendlich, dass mein rechner wohl nicht mehr zu retten sei und neu aufgesetzt werden müsste. Ich will aber noch nicht aufgeben. Es geht bei mir genau um den im Thread genannten Wareout in die Ukraine. Leider hat Sabina mir bisher noch nicht geantwortet, was ein Wareout genau ist und welche Konsequenzen er hat. Ist das eine korrumpierte Internetverbindung? Hier mein aktueller Log von Hijackthis (nach diversen Säuberungsversuchen). Es geht wohl um die Nummer 17, soweit ich das sehen: Logfile of HijackThis v1.99.1 Scan saved at 12:28:12, on 25.05.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Antivirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\oodag.exe D:\Outpost Firewall\outpost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\Fast.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Spyware Nuker 2004\swn2.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe D:\Webroot\Washer\wwDisp.exe D:\a-squared\a2guard.exe C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\PROGRA~1\INTERN~1\iexplore.exe C:\PROGRA~1\INTERN~1\iexplore.exe D:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Pecki\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.huerth.de/buecherei/infos.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.netcologne.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Spyware Nuker] C:\Programme\Spyware Nuker 2004\swn2.exe /h O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.exe -boot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [OutpostFeedBack] D:\Outpost Firewall\feedback.exe /dump  s_startupO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q O4 - HKCU\..\Run: [Window Washer] D:\Webroot\Washer\wwDisp.exe O4 - HKCU\..\Run: [a-squared] "D:\a-squared\a2guard.exe" O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra 'Tools' menuitem: PopThis! Options... - {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\WINDOWS\System32\shdocvw.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B5BC2EE9-FD49-440A-A344-BDC86379D2C6}: NameServer = 85.255.113.107 85.255.112.121 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - AppInit_DLLs: D:\OUTPOS~1\wl_hook.dll O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - (no file) O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Antivirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\Outpost Firewall\outpost.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Unknown owner - D:\Programme\Norton AntiVirus\SymProxySvc.exe (file missing) O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Außerdem gibt es noch den Ordner in C:\Programme\SinEspias, der eigentlich gelöscht sein sollte, aber immer noch da ist. Vielleicht hat hier ja noch jemand einen Tipp!? Vielen Dank und Grüße, Pecki P.S. Hier der Link zum Thread bei Protectus (hoffe das ist erlaubt...) http://board.protecus.de/t23423.htm |
|
| Themen zu Könnte sich jemand diesen Log mal anschauen ? |
| 1.exe, bho, button, dateien, ebay, einstellungen, explorer, helper, hijack, hijackthis, internet, internet explorer, log, messenger, monitor, nvidia, object, programme, rundll, rundll32.exe, system, system32, tcpip, temp, windows, windows messenger, windows xp, wireless |
Linear-Darstellung
