Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte mal anschauen und mir helfen!

Bitte mal anschauen und mir helfen!


Log-Analyse und Auswertung: Bitte mal anschauen und mir helfen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.03.2005, 13:57   #1
Neo30880
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Habe Probleme auf meinem Rechner. Und zwar wird er irgendwann langsamer und ragiert nicht mehr. Den Taskmanager kann ich dann auch nicht mehr öffnen. Hier mein Logfile.

Logfile of HijackThis v1.99.1
Scan saved at 13:54:29, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sicherheit\AVPersonal\AVGUARD.EXE
C:\Programme\Sicherheit\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\tlntsvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spoolsrv.exe
C:\WINDOWS\System32\lxqufhav.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winhost.exe
C:\Programme\Internetzugang\Teledat\IWatch.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internetzugang\XXL-Surfer\XXL.exe
C:\Programme\Internetzugang\Browser\Opera\opera.exe
C:\Programme\Sicherheit\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft IntelliPoint\Point32.exe
C:\Dokumente und Einstellungen\Neo\Desktop\hijackthis\HijackThis.exe

O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - I:\PROGRA~1\WINDOW~1\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - I:\PROGRA~1\WINDOW~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\Run: [Internet] lxqufhav.exe
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\RunServices: [Internet] lxqufhav.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [Internet] lxqufhav.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\RunServices: [Internet] lxqufhav.exe
O4 - HKCU\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Internetzugang\Teledat\IWatch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - I:\Programme\Grafik-Tools\Ebay\Ebay.htm
O9 - Extra button: PicGrab - {339C4EDA-695A-4A33-88AF-E63DC2716E46} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {D9E72E21-A756-4B6A-AC46-5F6C8677AEA2} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {D9E72E21-A756-4B6A-AC46-5F6C8677AEA2} - I:\Programme\Grafik-Tools\PicGrab\iestarter.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9806041B-9A6E-4E78-AABC-E67461DBEABA}: NameServer = 217.10.66.66 217.10.64.99
O17 - HKLM\System\CS1\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{2EBF377B-0491-4571-8EA9-5B89DC67B417}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\Sicherheit\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\Sicherheit\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Alt 25.03.2005, 14:15   #2
Rene-gad
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


@Neo30880
Zitat:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Zitat:
C:\WINDOWS\System32\spoolsrv.exe
C:\WINDOWS\System32\lxqufhav.exe
C:\WINDOWS\System32\ctfmon.exe
Bitte über Task-Manager Prozesse beenden, Dateien löschen.
Zitat:
O4 - HKLM\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\Run: [Internet] lxqufhav.exe
O4 - HKLM\..\Run: [Windows Registry] winhost.exe
O4 - HKLM\..\RunServices: [Windows DLL Tracker] spoolsrv.exe
O4 - HKLM\..\RunServices: [Internet] lxqufhav.exe
O4 - HKLM\..\RunServices: [Windows Registry] winhost.exe
O4 - HKLM\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [Windows DLL Tracker] spoolsrv.exe
O4 - HKCU\..\Run: [Internet] lxqufhav.exe
O4 - HKCU\..\Run: [Windows Registry] winhost.exe
O4 - HKCU\..\RunServices: [Internet] lxqufhav.exe
O4 - HKCU\..\RunOnce: [Windows DLL Tracker] spoolsrv.exe
Alles fixen.
__________________
Alt 25.03.2005, 14:23   #3
Haui45
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


@Rene-gad
ich weiß ja nicht, aber hältst du das wirklich für eine gute Idee?

Das schau für mich nach einigen Backdoors aus.

btw: Warum soll er/sie die C:\WINDOWS\System32\ctfmon.exe löschen?


@Neo30880
Scanne dein System mal mit eScan im abgesicherten Modus und poste was wo gefunden wird.
__________________
Alt 25.03.2005, 14:55   #4
Neo30880
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Dank Danke!

Was heiß fixen lassen?

Alt 25.03.2005, 14:57   #5
Haui45
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Führe bitte erst den Scan durch.


Alt 25.03.2005, 15:00   #6
Neo30880
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Zitat:
Zitat von Haui45
Führe bitte erst den Scan durch.
Bin dabei erst mal zu downloaden.
Aber trotzdem, was heißt "fixen"???

Alt 25.03.2005, 15:04   #7
Haui45
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Fixen= mit HjT scannen, Haken setzen und "fix checked" anklicken, eigentlich logisch

btw: Der Link in mjeiner Sig. hätte auch zum gewünschten Ergebnis geführt...

P.S.: die ctfmon.exe würde ich nicht löschen

Alt 25.03.2005, 15:48   #8
Neo30880
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Hier das Ergebnis:


File C:\WINDOWS\system32\spoolsrv.exe infected by "Backdoor.Win32.Wootbot.am" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\lxqufhav.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winhost.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken.

Alt 25.03.2005, 15:54   #9
Cidre
Administrator, a.D.
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Hallo,

Backdoor.Win32.Wootbot.am -> http://www.sophos.de/virusinfo/analy...2forbotcr.html
Backdoor.Win32.Rbot.gen -> http://www3.ca.com/securityadvisor/v....aspx?id=39437

Daraus resultiert, zur deiner eigenen Sicherheit, ein Neuaufsetzen deines Systems, siehe den Link in meiner Signatur.
__________________
Gruß, Cidre


Alt 25.03.2005, 16:58   #10
Rene-gad
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


@Haui45
Zitat:
ich weiß ja nicht, aber hältst du das wirklich für eine gute Idee?
Nee Hast du ja Recht. Und mit C:\WINDOWS\System32\ctfmon.exe auch -hier aber ein Kopierfehler.
Sorry.
Ich habe nur gefunden, das winhost in Verbindung mit W32/Bropia gebracht wird, nicht mit einem BDS, spoolsrv.exeist schlimmstenfalls Adware, die sich mit dem von mir beschriebenen Vorgehen killen ließ, die lxqufhav.exelässt sich über Google nicht finden, denn der Name über einen teuflischen Namensgengerator erfunden wurde.
EDIT: Mittlerweile sind die Anzeichen von den gefundenen BDS aus dem Log nicht ersichtlich. Ich bin immer für Format c:\ aber nun rein wissenschaftlich gesehen.. . Ich glaube eher nicht, dass Kaspersky so viel False-Positives meldet.
Geändert von Rene-gad (25.03.2005 um 17:18 Uhr)

Alt 26.03.2005, 09:56   #11
Neo30880
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Zitat:
Zitat von Cidre
Hallo,

Backdoor.Win32.Wootbot.am -> http://www.sophos.de/virusinfo/analy...2forbotcr.html
Backdoor.Win32.Rbot.gen -> http://www3.ca.com/securityadvisor/v....aspx?id=39437

Daraus resultiert, zur deiner eigenen Sicherheit, ein Neuaufsetzen deines Systems, siehe den Link in meiner Signatur.
Wie soll ich die nun löschen? System war gerade erst neu vor 3 Tagen.

Alt 26.03.2005, 10:04   #12
Haui45
 
Bitte mal anschauen und mir helfen! - Standard

Bitte mal anschauen und mir helfen!


Zitat:
Wie soll ich die nun löschen? System war gerade erst neu vor 3 Tagen.
System nochmals neu aufsetzen und vor der ersten Verbindung zum Internet absichern. Anleitung in Cidre's Signatur beachten!
-> Warum das System kompromittiert wurde.

Antwort

Themen zu Bitte mal anschauen und mir helfen!
antivir, antivir update, bho, browser, desktop, ebay, einstellungen, explorer, helfen, hijack, hijackthis, homepage, internet, internet explorer, microsoft, monitor, nvcpl.dll, nvidia, opera, programme, registry, rundll, sicherheit, starten, sun java, system, taskmanager, tracker, windows, windows xp


« Hijacking Logfile wer kann helfen?? | Hijackthis log file von Newcommer »


Ähnliche Themen: Bitte mal anschauen und mir helfen!


  1. Bitte mal anschauen
    Mülltonne - 16.11.2008 (0)
  2. Bitte einmal meine Logfile anschauen und weiter helfen.
    Log-Analyse und Auswertung - 13.03.2008 (0)
  3. Bitte anschauen
    Mülltonne - 13.11.2007 (0)
  4. Bitte mal Log anschauen!
    Log-Analyse und Auswertung - 21.10.2007 (0)
  5. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 18.09.2006 (14)
  6. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 12.08.2006 (3)
  7. Bitte mal anschauen
    Log-Analyse und Auswertung - 18.12.2005 (9)
  8. Bitte anschauen ;)
    Log-Analyse und Auswertung - 05.09.2005 (16)
  9. Bitte Log mal anschauen
    Log-Analyse und Auswertung - 10.08.2005 (13)
  10. Bitte mal log anschauen
    Log-Analyse und Auswertung - 15.07.2005 (1)
  11. Wie kommen bloß die ganzen Trojaner auf meinem Rechner-Logfile bitte ,bitte anschauen
    Log-Analyse und Auswertung - 14.07.2005 (3)
  12. Bitte um Anschauen und helfen
    Log-Analyse und Auswertung - 28.06.2005 (2)
  13. Bitte mal anschauen...
    Log-Analyse und Auswertung - 22.03.2005 (3)
  14. bitte mal anschauen
    Log-Analyse und Auswertung - 02.03.2005 (1)
  15. bitte mal anschauen...
    Log-Analyse und Auswertung - 21.02.2005 (1)
  16. Das ist mit escan rausgekomen Bitte anschauen und helfen!!!
    Log-Analyse und Auswertung - 17.02.2005 (1)
  17. Bitte mal anschauen
    Log-Analyse und Auswertung - 12.01.2005 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte mal anschauen und mir helfen! - Habe Probleme auf meinem Rechner. Und zwar wird er irgendwann langsamer und ragiert nicht mehr. Den Taskmanager kann ich dann auch nicht mehr öffnen. Hier mein Logfile. Logfile of HijackThis - Bitte mal anschauen und mir helfen!...
Archiv
Du betrachtest: Bitte mal anschauen und mir helfen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55