| |
| |||||||
Log-Analyse und Auswertung: Nach Gobot.35570 dieses LOG FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.02.2005, 13:09
| #1 |
| |  Nach Gobot.35570 dieses LOG File Hallo, als ich vor ein paar Tagen meinen Laptop ausschaltete, erschien beim Runterfahren ein blauer Bildschirm, auf dem alle mögliche weiße Schrift schnell durchlief und danach die Datenträgerüberprüfung durchgeführt wurde. Als er sich dann im Anmeldebildschirm von WinXP befand bin ich auf "ausschalten" gegangen und habe ich abgeschaltet. Am nächsten morgen waren dann alle Einstellungen im Firefox verschwunden und beim Start lädt er die Firefox Startseite. Allerdings war das nur in einem, meiner drei Benutzerkonten, dass ich im eigeschränkten Modus betreibe. Im Administrator Konto und im anderen eingeschränkten Konto ist alles normal. Habe dann mit AntiVir den Gobot.35570 gefunden und ihn gelöscht. Dazu habe ich noch AdAware Prof. und Spybot und HijackThis (alles frisch geupdated) durchlaufen lassen. Mittlerweile habe ich folgene HijackThis Log - Datei: Logfile of HijackThis v1.99.0 Scan saved at 12:09:33, on 03.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe D:\Programme\Systemsicherheit\AntiVir\AVGUARD.EXE D:\Programme\Systemsicherheit\AntiVir\AVWUPSRV.EXE D:\Programme\Kommunikation\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TOSHIBA\TME3\Tmesbs32.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\00THotkey.exe C:\WINDOWS\System32\TPWRTRAY.EXE C:\Programme\TOSHIBA\TME3\TMESBS32.EXE C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe C:\WINDOWS\System32\TDispVol.exe C:\WINDOWS\System32\TFNF5.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe C:\Programme\TOSHIBA\TouchED\TouchED.Exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WINDOWS\Twain_32\FlatBed\HotKey.exe D:\Programme\Multimedia\Player\Winamp 5.03\Winamp\winampa.exe D:\PROGRA~1\KOMMUN~1\T-DSLS~1.02\SpeedMgr.exe D:\Programme\Systemsicherheit\Acronis True Image\TrueImageMonitor.exe D:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\Programme\Systemsicherheit\AntiVir\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe D:\Programme\Systemsicherheit\SpyBot Search & Destroy 1.3 RC4\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\Multimedia\Foto\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe D:\Programme\Kommunikation\T-DSL Speedmanager 5.02\tsmsvc.exe D:\Programme\Systemsicherheit\HijackThis 1.99\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.2.1/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Anwendungen\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SYSTEM~2\SPYBOT~1.3RC\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 03 O4 - HKLM\..\Run: [TDispVol] TDispVol.exe O4 - HKLM\..\Run: [TFNF5] TFNF5.exe O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe" O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [cPadAlarm] C:\Programme\Synaptics\SynTP\cPad\AlarmWatcher.exe O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Multimedia\Player\Winamp 5.03\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\KOMMUN~1\T-DSLS~1.02\SpeedMgr.exe" O4 - HKLM\..\Run: [Acronis True Image Monitor] "D:\Programme\Systemsicherheit\Acronis True Image\TrueImageMonitor.exe" O4 - HKLM\..\Run: [InstantAccess] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Systemsicherheit\AntiVir\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] d:\PROGRA~1\MULTIM~1\sonst\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Systemsicherheit\SpyBot Search & Destroy 1.3 RC4\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\Kommunikation\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Anwendungen\Microsoft Office XP\Office10\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\Programme\Multimedia\Foto\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\ANWEND~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100195654709 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8F1FEC11-AB15-4078-B701-89F577823ED7}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B5E85F40-63CC-4FAC-A978-B47FD37AC61A}: NameServer = 192.168.2.1 O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\Systemsicherheit\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Systemsicherheit\AntiVir\AVWUPSRV.EXE O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - D:\Programme\Kommunikation\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: Tmesbs32 - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\Kommunikation\T-DSL Speedmanager 5.02\tsmsvc.exe O23 - Service: WLTRYSVC - Unknown - C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe (file missing) Kann ich den Laptop als sauber betrachten oder muss ich Ihn komplett neu aufsetzen? Wäre es in deisem Fall möglich, die Datenpartition auf Virenfreiheit zu überprüfen und ein Backup zu erstellen, welches ich nach dem Neuaufsetzen wieder verwednen kann? Vorab vielen Dank für Eure Hilfe, Grüße Rosebutt |
|
03.02.2005, 13:27
| #2 |
  | Nach Gobot.35570 dieses LOG File Hallo,
__________________es bringt nichts einfach einen Backdoor zu fixen http://www.sophos.de/virusinfo/analyses/w32gobota.html Dein System ist nicht mehr vertrauenswürdig,d.h du musst es neu aufsetzen,les dazu auch die Tipps von Cidre: http://trojaner-board.de/showthread.php?t=12154 Gruss |
|
| Themen zu Nach Gobot.35570 dieses LOG File |
| administrator, adobe, adobe reader, antivir, antivir update, bho, bildschirm, drivers, einstellungen, excel, explorer, file, file missing, firefox, hijack, hijackthis, hijackthis log, hilfe, internet, internet explorer, log, log file, neu aufsetzen, nvcpl.dll, nvidia, programme, rundll, software, sun java, system, systemsicherheit, tcpip, usb, vielen dank, windows, windows xp |
Linear-Darstellung
