Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
gukct euch das mal bitte an

gukct euch das mal bitte an


Log-Analyse und Auswertung: gukct euch das mal bitte an

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 20.03.2005, 10:37   #1
valentino
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


hallo ich habe euch gerade gefunden und ich hoffe ihr könnt mir helfen habe mir eben das progi HijackThis geladen und mal gescannt das is meine log file

was könnt ihr erkenen und was muss ich machen bitte eine schritt für schritt anleitung was ich machen muss

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
G:\-=appz=-\FlashFXP.v3.1.12.Build.1075.Ripped.n.Cracked-dRag0nMa\flashfxp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D230CBC-7C11-4017-B2E5-6619A086C7B1}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


und noch eine frage was würdet ihr mir für ein viren programm empfehlen

THX schon ma

cu

Alt 20.03.2005, 10:43   #2
The Saint
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


Ich würde vorerst mal ein komplettes logile posten!

Beschreibung Betriebssystem:

Dieser Teil fehlt:

Logfile of HijackThis v1.99.1
Scan saved at 10:42:48, on 20.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
__________________
Alt 20.03.2005, 10:55   #3
valentino
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


sorry

Logfile of HijackThis v1.99.1
Scan saved at 10:55:14, on 20.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
G:\-=appz=-\FlashFXP.v3.1.12.Build.1075.Ripped.n.Cracked-dRag0nMa\flashfxp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Marcel\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D230CBC-7C11-4017-B2E5-6619A086C7B1}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
__________________
Alt 20.03.2005, 10:57   #4
Rene-gad
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


@valentino
EDIT:
Sorry, habe zu lange die Antwort vorbereitet:
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Bestellen XP SP2 CD-ROM
Zitat:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
Hier ist eine Mischung aus Spyware, Adware, Hijacker und Trojaner.
Z.B. NetPumper kannst du über Software-manager von Windows deinstallieren. Auf jedem Fall musst du diese Einträge fixen und die Dateien im abgesicherten Modus löschen.

Alt 20.03.2005, 11:07   #5
The Saint
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


Lass mal folgende Dateien

C:\Program Files\Media Access\MediaAccess.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\WINDOWS\System32\gah95on6.exe

HIER überprüfen und poste das Ergebniss.

Sollte so aussehen:
Zuletzt gefundene Malware war ...., gefunden von:

Scanner Name der Malware Dauer
AntiVir
Avast
AVG Antivirus
BitDefender
ClamAV
Dr.Web
F-Prot Antivirus
Fortinet
Kaspersky Anti-Virus
mks_vir
NOD32
Norman Virus Control


Alt 20.03.2005, 12:06   #6
valentino
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


also netpumper brauche ich zum leechen

und fixen wir geht das genau also was muss ich machen usw.

bitte eine schritt für schritt erklärung


THX


cu

Alt 20.03.2005, 12:23   #7
Rene-gad
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


@valentino
Zitat:
also netpumper brauche ich zum leechen
Also das braucht du für Nichts, denn das Programm enthält Spy- und Adware. Wenn du Mozilla als Standard-Browser verwenden würdest, bekämest auch einen DL-Manager ohne Malware.
Zitat:
und fixen wir geht das genau also was muss ich machen usw...
bitte eine schritt für schritt erklärung
http://www.trojaner-board.de/51130-a...ijackthis.html

Alt 20.03.2005, 12:28   #8
cronos
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


C:\WINDOWS\System32\gah95on6.exe wird das sein:

http://www.pestpatrol.com/pest_info/de/s/sahagent.asp
__________________
Only cronos endures

Alt 20.03.2005, 12:28   #9
The Saint
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


Ich würde zuerst mal Escan ausführen!
Erstelle diesen Ordner auf deinem Laufwerk c:\bases.
Downloade dir escan Enpacke den Inhalt des Zip files mwav.zip in den selben Ordner c:\bases.
Update, indem du die Datei kavupd.exe startest danach
Wechsle in den abgesicherten Modus bei abgeschaltener Systemwiederherstellung
(Rechtsklick auf den Arbeitsplatz--> Eigenschaften --> Systemwiederherstellung (Haken bei "Systemwiederherstellung bei allen Laufwerken deaktivieren" setzen).
Öffne nun den Explorer, gehe zum Ordner c:\bases und starte die Datei mwavscan.exe.

Diese Einstellungen beachten http://www.trojaner-board.de/42731-escan-anleitung.html


Mit HijackThis nochmals scannen und wie schon vom Rene-gad
beschrieben folgende Einträge fixen.

Zitat:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O4 - HKLM\..\Run: [Security Patch] scmss.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [tfD1pNTf] C:\WINDOWS\xiehpaf.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [DynHttp Dns Binary] dynizari.exe
O4 - HKLM\..\RunServices: [Security Patch] scmss.exe
O4 - HKLM\..\RunServices: [DynHttp Dns Binary] dynizari.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DynHttp Dns Binary] dynizari.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\System32\shdocvw.dll
scanne mit "do a system scan and save a logfile"
hacken setzen bei den bereits beschriebenen Dateien
Danach "fix checked" klicken.



Danach wechselst du zurück in den normalen Modus.
Systemwiederherstellung wieder aktivieren!
Nun öffnest du mit dem Editor unter "C:\bases", die mwav.txt und wählst unter bearbeiten -> suchen, hier gibst du infected ein.

Alle Zeilen in der infected steht markieren, und hier einfügen.
Ganz unten steht die Zusammenfassung, diese auch hier posten
Geändert von The Saint (20.03.2005 um 12:48 Uhr)

Alt 20.03.2005, 16:17   #10
dartus
 
gukct euch das mal bitte an - Standard

gukct euch das mal bitte an


Hallo Valentino,

Du hast den hier in Deinem Sysutem:

http://uk.trendmicro-europe.com/ente...OT.AUO&VSect=T
= dynizari.exe

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zu “Format C:” geraten,
um das zu vermeiden:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689
http://en.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Antwort

Themen zu gukct euch das mal bitte an
adobe, antivir, antivir update, bho, ctfmon.exe, desktop, download, einstellungen, excel, file, firefox, frage, helfen, hijack, hijackthis, internet, internet explorer, log, log file, mozilla, mozilla firefox, nvcpl.dll, nvidia, programme, rundll, security, software, system, urlsearchhook, viren, windows


« Ein etwas anderes Problem mit den se.dll trojaner | Komischer Kram.. Virus..Trojaner..wie auch immer. Brauche bitte hilfe! »


Ähnliche Themen: gukct euch das mal bitte an


  1. hilfe bitte ich brauche euch....
    Mülltonne - 12.11.2008 (0)
  2. Bitte schaut es euch mal an..
    Log-Analyse und Auswertung - 15.09.2008 (2)
  3. Bitte um Hilfe - schaut euch mal das Log an
    Log-Analyse und Auswertung - 09.02.2007 (1)
  4. schaut euch das bitte mal an!
    Log-Analyse und Auswertung - 07.03.2006 (1)
  5. Guck Euch mal bitte das an!!
    Log-Analyse und Auswertung - 24.12.2005 (2)
  6. Schaut euch diese mal bitte an
    Log-Analyse und Auswertung - 13.11.2005 (1)
  7. Bitte schaut euch das mal an !
    Log-Analyse und Auswertung - 07.08.2005 (6)
  8. Hijack Log - Bitte Euch um Rat
    Log-Analyse und Auswertung - 05.07.2005 (2)
  9. schaut euch das bitte mal an
    Log-Analyse und Auswertung - 08.04.2005 (1)
  10. bitte schaut euch das mal an
    Log-Analyse und Auswertung - 13.03.2005 (16)
  11. schaut euch das mal bitte an
    Log-Analyse und Auswertung - 12.03.2005 (3)
  12. Bitte schaut euch das mal an...
    Log-Analyse und Auswertung - 15.02.2005 (6)
  13. Bitte seht euch das mal an
    Plagegeister aller Art und deren Bekämpfung - 07.02.2005 (5)
  14. Sehts euch mal an bitte
    Log-Analyse und Auswertung - 06.02.2005 (7)
  15. Könnt ihr es euch mal bitte anschauen
    Log-Analyse und Auswertung - 04.01.2005 (1)
  16. Schaut euch das bitte mal an
    Log-Analyse und Auswertung - 05.11.2004 (3)
  17. Bitte euch um Hilfe
    Log-Analyse und Auswertung - 24.10.2004 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema gukct euch das mal bitte an - hallo ich habe euch gerade gefunden und ich hoffe ihr könnt mir helfen habe mir eben das progi HijackThis geladen und mal gescannt das is meine log file was könnt - gukct euch das mal bitte an...
Archiv
Du betrachtest: gukct euch das mal bitte an auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130