| |
| |||||||
Log-Analyse und Auswertung: Bitte um Prüfung der logs!!!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
24.01.2005, 17:25
| #1 |
| |  Bitte um Prüfung der logs!!! Hijacklog: Logfile of HijackThis v1.99.0 Scan saved at 17:16:16, on 24.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\WINDOWS\System32\wuampd.exe C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\System32\p3.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\MSN\MSNCoreFiles\msn6.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Uli\Desktop\sysprog\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_webtour.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe O4 - HKLM\..\Run: [MSNPluginSrvcs] p6.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe O4 - HKLM\..\RunServices: [MSNPluginSrvcs] p6.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe O4 - HKCU\..\Run: [MSNPluginSrvcs] p6.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {8C6C6922-6258-44AC-9912-53964AC55299} (xload class) - http://195.126.216.98/download/xloader.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{46FA4204-72B9-4BAF-A200-3E06CF2C515B}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe avlog: 23.01.2005,10:38:26 [INIT] Der AVGuard Service wird gestarted. 23.01.2005,10:38:26 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion! 23.01.2005,10:38:26 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt. 23.01.2005,10:38:27 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaabedac. 23.01.2005,10:38:36 [INFO] Start Filter Device. 23.01.2005,10:38:36 [INIT] AntiVirService Version: 6.29.00.03 AVE Version 6.29.0.7 VDF Version: 6.29.0.63 23.01.2005,10:38:36 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet! 23.01.2005,10:57:22 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic! C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF 23.01.2005,12:28:57 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic! C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF 23.01.2005,14:54:02 [WARNUNG] Diese Datei enthält verdächtigen Code Heuristic/Backdoor.Generic! C:\SYSTEM VOLUME INFORMATION\_RESTORE{1B8CB955-2196-4320-8B40-82279D8DBFAC}\RP39\A0003309.RBF 23.01.2005,18:38:00 [INFO] Stop Filter Device. 23.01.2005,18:38:01 [EXIT] Der AVGuard Dienst wurde beendet! Habe probs beim abspeichern von Dateien, Systemleistung sinkt rapiede ab und über ie explorer können 80 % der seiten nicht aufgerufen werden weil sie gar nicht angewählt werden. eine avlog die ich vor weingen minuten gemacht habe und unter avlog speicherte hatte auf einmal folgende bezeichnung:~$avlog und keine möglichkeit diese aus word zu kopieren. Bitte um Hilfe da ich den Pc vor einer woche schon mal komplett formatiert habe da ich einen Trojaner drauf hatte! Dank im Voraus Drizzt |
|
24.01.2005, 17:27
| #2 |
   | Bitte um Prüfung der logs!!! du musst neuinstallieren weil der RBOT.UM drauf ist.
__________________befolge auch diese Anleitung um einen weiteren Befall zu verhindern. |
|
24.01.2005, 20:31
| #3 |
 | Bitte um Prüfung der logs!!! Hallo Chris,
__________________ich schaue in letzter Zeit häufiger in dieses Forum und versuche die Hinweise der erfahrenen User nachzuvollziehen, indem ich das Logfile auswerte mit der automatischen Auswertung. Leider mit geringem Erfolg  Wie konntest Du erkennen, dass der RBOT.UM drauf ist? Ich würde gerne solch ein Logfile besser interpretieren können.VG Jazzy |
|
24.01.2005, 21:04
| #4 |
| | Bitte um Prüfung der logs!!! am dateinamen und dem registrierungseintrag. außerdem kennzeichnen die meisten würmer mit microsoft namen wie svchost. allerdings ist dann meist ein buchstabe falsch zb. scvhost. zb. der rbot.um. der verwendet im autostart registrierungseintrag immer den startnamen "Windows Update" mit dem dateinamen "wuampd.exe" wenn man das mal ein paar wochen gemacht hat, erkennt man solche einträge recht schnell. |
|
25.01.2005, 00:11
| #5 |
| | Bitte um Prüfung der logs!!! Danke Chris!!! |
|
25.01.2005, 00:52
| #6 |
| |  Bitte um Prüfung der logs!!! Vielen dank habe mir schon sowas gedacht und die festplatten formatiert nun bleibt nur noch die frage welchen virenscanner und welche firewall soll ich drauf tun den av virenscanner hatte ich ja und dauernd neue updates hab ich auch gemacht. nützte ja wohl nix. mit norton habe ich auch nur schlechte erfahrung gemacht. beides sollte auch für totale pc anfänger geeignet sein da ich diesen pc mit anderen teile. habtt jemand da eine lösung???? Mfg drizzt  |
|
| Themen zu Bitte um Prüfung der logs!!! |
| antivir, antivir update, askbar, auf einmal, avg, bho, bitte um hilfe, desktop, dll, drivers, einstellungen, excel, explorer, hijackthis, home, ie explorer, internet, internet explorer, object, programme, rundll, seiten, shockwave, software, system, t-online, tcpip, trojaner, warnung, windows, windows xp, yahoo |
Linear-Darstellung
