|
Log-Analyse und Auswertung: mein logWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.01.2005, 20:13 | #1 |
| mein log Logfile of HijackThis v1.99.0 Scan saved at 18:23:04, on 29.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\TpShocks.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\IBM\Messages By IBM\ibmmessages.exe C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\Program Files\D-Tools\daemon.exe C:\WINDOWS\system\lsvchost.exe C:\WINDOWS\sptsupd.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\The Bat!\thebat.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\ICQLite\ICQLite.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Michael Frans\Desktop\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findwhatevernow.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\Ipswitch\WS_FTP Home\wsbho2k0.dll O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - C:\WINDOWS\neti.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [cxmmkhr] C:\WINDOWS\system32\thjqgg.exe O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe O4 - HKCU\..\Run: [Clock] C:\WINDOWS\xcopy.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Program Files\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: IBM PM Service - Unknown - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: IBM KCU Service - Unknown - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe hab hier ein akutes problem. Norton Antivirus (up to date) findet nichts. spybot auch nicht. von meinem computer gehen massenweise emails raus. genauer gesagt gehen sie nicht raus, weil Antivirus jedesmal ne fehlermeldung ausspuckt und die mail anscheinend nicht vershcickt wird. das ganze läuft nicht über meinen email client, wahrscheinlich würde ich das ohne Antivir gar nicht merken. mein comp als mailschleuder für hilfe wär ich dankbar! |
29.01.2005, 20:41 | #2 |
| mein log also ich glaub du machst am besten erst mal das :
__________________-lade dir escan runter und gehe genau nach dieser anleitung vor : http://www.trojaner-board.de/42731-escan-anleitung.html -starte windows wieder im normalen modus -öffne die datei mwav.log -suche die infected datein und kopiere sieh hier rein -poste ein neues HijackThis log das jedenfalls nen anfang damit die profis hier wissen was auf deinem comp genau ist ^^ |
29.01.2005, 20:48 | #3 |
| mein log @SiDhe
__________________der ist im system http://de.virusspy.nl/virus/webus-d.php und zwar hier C:\WINDOWS\system\lsvchost.exe ich kann dir nur empfehlen dein system neu aufsetzen hier eine hilfestellung http://trojaner-board.de/showthread.php?t=12154 sry chaosman
__________________ |
29.01.2005, 20:57 | #4 |
| mein log danke ihr zwei! so sieht das eScan log aus: File C:\WINDOWS\system\lsvchost.exe infected by "Backdoor.Win32.Robobot.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system\lsvchost.exe infected by "Backdoor.Win32.Robobot.f" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.j" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\91J4P93D\searchsetter[1].exe infected by "Trojan.Win32.StartPage.nv" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\B69DLZ8U\barginbuddy[1].exe infected by "not-a-virus:AdWare.BargainBuddy.a" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\B69DLZ8U\hh[1].exe infected by "TrojanSpy.Win32.Spung.a" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\GG87HUS9\cdt_bbi8016[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\GG87HUS9\setup_incred_404_p2[1].exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\GLNC2L7A\adp8032[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken. File C:\DOCUME~1\MICHAE~1\LOCALS~1\TEMPOR~1\Content.IE5\GLNC2L7A\searchenhancer[1].exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken. neu aufsetzen kommt bei mir momentan nur in frage, wenn es überhaupt nicht anders geht, keine zeit dafür ... gibt es eine andere möglichkeit? sowieso: bin etwas verwundert, wo und wie ich mir das eingefangen hab: firewall im router und zonealarm, NUR firefox als browser, antivir geupdated, windows (xp pro) geupdatet, sicherer emailclient (thebat) ... echt keine ahnung ... |
29.01.2005, 21:00 | #5 |
| mein log also eins steht fest. nen grossteil hast du dir beim surven im internet gezogen. dafür gibt es aber ne menge tools die das serven im inet sicherer machen zum beispiel neue fenster blocken etc. musst einfach mal in google suchen ^^ |
29.01.2005, 21:02 | #6 |
| mein log @SiDhe Setz dein System neu auf. Beachte die von chaosman verlinkte Anleitung! Über die Entfernung von Schädlingen |
29.01.2005, 21:55 | #7 |
| mein log ok, eScan findet nichts mehr. hab lsvchost.exe gelöscht. hab auch schätze ich die ursprungsdatei gefunden, eine "install.exe", zusammen mit "arun.exe". hatten alle dasselbe datum. natürlich habt ihr recht, ich sollte das system eigentlich plätten. hab aber keine zeit, und solange das problem nicht nochmal auftaucht, lass ich alles beim alten erst mal. danke an alle |
Themen zu mein log |
adobe, antivirus, bho, computer, desktop, explorer, fehlermeldung, firefox, hijack, hijackthis, home, icqtoolbar, internet, internet explorer, logfile, mein log, monitor, mozilla, mozilla firefox, object, rundll, security, security center, security suite, software, sun java, symantec, system, urlsearchhook, windows, windows messenger, windows xp |