|
Log-Analyse und Auswertung: extrem langsamer Laptop - HiJack- und StartUp-LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.03.2005, 05:56 | #1 |
| extrem langsamer Laptop - HiJack- und StartUp-Log Hallo alle zusammen, eine Freundin meldete mir Probleme mit Laptop. Darauf ich F-Secure Client-Security inst., Ad-Aware und Spybot. Probleme behoben und nun folgt der Spuk. Der Rechner wird nach I-Net-Verbindung mit einem mal extrem langsam, der Lüfter springt an und die CPU-Last steigt auf 100%. Sitze in Santiago, Freundin in Berlin. Sie also HijackThis und StartUp und hier sind die Log´s: Logfile of HijackThis v1.99.1 Scan saved at 22:51:08, on 18.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\PROGRA~1\F-Secure\CLIENT~1\5_55\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Client-Security\5_55\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fssm32.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSMA32.EXE C:\WINDOWS\System32\mnmsrvc.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSMB32.EXE C:\WINDOWS\System32\rundll32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FCH32.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FAMEH32.EXE C:\Programme\F-Secure\Client-Security\5_55\FWES\Program\fsdfwd.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FNRB32.EXE C:\Programme\F-Secure\Client-Security\5_55\Common\FIH32.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fsav32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\Sun\2\5_0_01\bin\jusched.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSM32.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Ahead\Sipps\SIPPS\SIPPS.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\F-Secure\Client-Security\5_55\FSGUI\fsguiexe.exe C:\Programme\F-Secure\Client-Security\5_55\BackWeb\7681197\Program\F-Secure Automatic Update.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Lavasoft\Ad-aware\SE-1_05-Pro\Ad-Aware.exe C:\Programme\Mozilla_FireFox\firefox.exe C:\PROGRA~1\WinZip\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8l.hpwis.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Miri\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de8l.hpwis.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2A272B74-2FF4-4D1D-A18E-E3ED06C6C8C6} - C:\WINDOWS\System32\ilcb.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\Search_Destroy\1_3\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Microsoft Update Machine] explore.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\Sun\2\5_0_01\bin\jusched.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Client-Security\5_55\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\Client-Security\5_55\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SIPPS] C:\Programme\Ahead\Sipps\SIPPS\SIPPS.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] explore.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update Machine] explore.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\Sun\2\5_0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\Sun\2\5_0_01\bin\npjpi150_01.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://de8l.hpwis.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106159172114 O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C31ED8-652A-444A-95F1-89827CCD5407}: NameServer = 10.96.152.141,194.25.0.52 O17 - HKLM\System\CCS\Services\Tcpip\..\{CAFCE230-3817-4B9D-B8EE-BE87C6084826}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\CLIENT~1\5_55\BackWeb\7681197\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Client-Security\5_55\Common\FNRB32.EXE O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\Client-Security\5_55\BackWeb\7681197\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\Client-Security\5_55\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Client-Security\5_55\Common\FSMA32.EXE O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe und nun StartUp: StartupList report, 18.03.2005, 22:54:14 StartupList version: 1.52 Started from : C:\unzipped\startuplist\StartupList.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\PROGRA~1\F-Secure\CLIENT~1\5_55\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Client-Security\5_55\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fssm32.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSMA32.EXE C:\WINDOWS\System32\mnmsrvc.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSMB32.EXE C:\WINDOWS\System32\rundll32.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FCH32.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FAMEH32.EXE C:\Programme\F-Secure\Client-Security\5_55\FWES\Program\fsdfwd.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FNRB32.EXE C:\Programme\F-Secure\Client-Security\5_55\Common\FIH32.EXE C:\Programme\F-Secure\Client-Security\5_55\Anti-Virus\fsav32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Java\Sun\2\5_0_01\bin\jusched.exe C:\Programme\F-Secure\Client-Security\5_55\Common\FSM32.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Ahead\Sipps\SIPPS\SIPPS.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\F-Secure\Client-Security\5_55\FSGUI\fsguiexe.exe C:\Programme\F-Secure\Client-Security\5_55\BackWeb\7681197\Program\F-Secure Automatic Update.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Lavasoft\Ad-aware\SE-1_05-Pro\Ad-Aware.exe C:\Programme\Mozilla_FireFox\firefox.exe C:\PROGRA~1\WinZip\winzip32.exe C:\unzipped\hijackthis\HijackThis.exe C:\WINDOWS\notepad.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\unzipped\startuplist\StartupList.exe -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run ATIModeChange = Ati2mdxx.exe AGRSMMSG = AGRSMMSG.exe ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe CamMonitor = C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe RealTray = C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER Microsoft Update Machine = explore.exe SunJavaUpdateSched = C:\Programme\Java\Sun\2\5_0_01\bin\jusched.exe F-Secure Manager = "C:\Programme\F-Secure\Client-Security\5_55\Common\FSM32.EXE" /splash F-Secure TNB = "C:\Programme\F-Secure\Client-Security\5_55\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW T-DSL SpeedMgr = "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe SIPPS = C:\Programme\Ahead\Sipps\SIPPS\SIPPS.exe -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Microsoft Update Machine = explore.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe Microsoft Update Machine = explore.exe MsnMsgr = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\ssmypics.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\WINDOWS\System32\ilcb.dll (file missing) - {2A272B74-2FF4-4D1D-A18E-E3ED06C6C8C6} (no name) - C:\Programme\Spybot\Search_Destroy\1_3\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} (no name) - c:\programme\google\googletoolbar3.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} -------------------------------------------------- Enumerating Download Program Files: [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\System32\macromed\Shockwave 10\Download.dll CODEBASE = http://download.macromedia.com/pub/s...irector/sw.cab [WUWebControl Class] InProcServer32 = C:\WINDOWS\System32\wuweb.dll CODEBASE = http://v5.windowsupdate.microsoft.co...?1106159172114 -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 7.131 bytes Report generated in 0,070 seconds Ich vermute folgende Probs bei meiner Auswertung des HiJack-Log´s: O4 - HKLM\..\Run: [Microsoft Update Machine] explore.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] explore.exe O4 - HKCU\..\Run: [Microsoft Update Machine] explore.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C31ED8-652A-444A-95F1-89827CCD5407}: NameServer = 10.96.152.141,194.25.0.52 O17 - HKLM\System\CCS\Services\Tcpip\..\{CAFCE230-3817-4B9D-B8EE-BE87C6084826}: NameServer = 217.237.151.33 217.237.149.225 und würde behaupten: W32/Agobot-IJ mit allen Folgen die daraus entstehen. oder: GAOBOT.GL WORM bzw. GAOBOT.ADW Gibt es jemanden der das bestätigt bzw. mir sagt welcher "Mitbewohner"? Ich möchte nicht unbedingt, dass die Freundin umsonst von vorne anfängt! Danke und viele Grüße Piffelpoffel |
24.03.2005, 11:24 | #2 |
| extrem langsamer Laptop - HiJack- und StartUp-Log Hallo Piffelpoffel,
__________________lt. Trendmicro ist es der hier: http://www.trendmicro.com/vinfo/viru...T%2EOK&VSect=P Die Namensgebung differiert natürlich zwischen den Antivir-Herstellern. Nicht abstreitbar ist, dass dieser Trojaner Backdoorfunktionalität besitzt. http://de.wikipedia.org/wiki/Backdoor In diesen Fällen wird aus Gründen der eigenen Sicherheit hier auf diesem Board dringend zu "Format C:" geraten, um dies zu vermeiden: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 http://www.trojaner-board.de/showthread.php?t=15124 Zwecklosigkeit von Removal-Tools: http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 sry dartus |
25.03.2005, 16:48 | #3 |
| extrem langsamer Laptop - HiJack- und StartUp-Log Hi Dartus,
__________________danke für deine Hilfe, aber ein verstehe ich noch nicht: Die Datei die im Log ist heißt explore.exe, die du mit dem Hinweis auf den Wurm meinst aber expl0rer.exe. Wie kommst du auf den Wurm? Habe ich was in den Logßs übersehen? Kannst du oder jemand anderes mir die Stellen im Log zeigen, wo der Wumrbefall oder was auch immer daraus hervor geht. Ist für mich reine Lernfrage um wieder etwas mehr zu verstehen. Danke und frohe Ostern. Piffelpoffel |
25.03.2005, 17:29 | #4 | |
Administrator, a.D. | extrem langsamer Laptop - HiJack- und StartUp-LogZitat:
http://www.google.de/search?q=%22%5B...&start=10&sa=N |
25.03.2005, 22:47 | #5 |
| extrem langsamer Laptop - HiJack- und StartUp-Log Danke an alle, Rechner ist quasi auf dem Weg zu einer Neusinst. :-( Frohe Ostern Piffelpoffel |
Themen zu extrem langsamer Laptop - HiJack- und StartUp-Log |
ad-aware, adobe, bho, browser, cpu-last, dll, download, einstellungen, explorer, extrem langsam, f-secure, file missing, firefox, firewall, hijack, hijackthis, internet, internet explorer, langsam, langsamer laptop, microsoft, mozilla, plug-in, programme, registry, registry key, registry value, rundll, saver, screensaver, shockwave, software, sun java, system, temp, userinit.exe, windows, windows xp |