| |
| |||||||
Log-Analyse und Auswertung: Bitte um ÜberprüfungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.04.2005, 00:08
| #1 |
 |  Bitte um Überprüfung Hallo mal wieder, mein Logfile anbei, bitte mal nen Blick drauf werfen, scheint wohl alles in Ordnung, aber was ist mit O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll und vor allem bei Running processes C:\WINDOWS\system32\NOTEPAD.EXE ??? VIELEN DANK FÜR EURE HILFE JJHoschi Logfile of HijackThis v1.99.0 Scan saved at 00:56:36, on 1.4.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVirenKit 2004\AVKService.exe C:\Programme\AntiVirenKit 2004\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\SLEE503.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\WINDOWS\System32\DCxxMjpgControl.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Hijack this\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\PROGRA~1\Coolspot\PERSON~1\pidd.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DCxxCTRL] C:\WINDOWS\System32\DCxxMjpgControl.exe Autostart O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Startup: PowerReg SchedulerV2.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\icslsp.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{21E225F9-4DEC-408E-B3FA-BA0E0A550DFD}: NameServer = 62.155.254.208,194.25.2.129 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe ******************************************************** SORRY, habe gerade genau den gleichen Eintrag "010" schon mal zur Diskussion auf Eurem Board gesehen und ebenfalls mit LSP-Fix folgende Files in der linken Spalte notiert: mswsock.dll TCP/IP winrnr.dll NTDS icslsp.dll (Protocol handler) rsrpsp.dll " " Was ist nun zu tun ? Geändert von JJHoschi (01.04.2005 um 00:29 Uhr) |
|
01.04.2005, 08:35
| #2 |
  | Bitte um Überprüfung Na, wieder mal da? *g*
__________________Hier hast Du Dein "backdoor"-Notepad. Hat aber mit Deinem Logfile nicht viel zu tun *ggg* Laß doch im abgesicherten Modus einfach LSPFix laufen und zieh die Einträge nach rechts auf "remove". Das sollte es gewesen sein. cacatoa
__________________ |
|
01.04.2005, 21:52
| #3 |
| | Nach LSP Fix kein Internetzugang Hallo cacatoa,
__________________ich habe mit LSP Fix wie beschrieben die vier dll-Dateien removed. Ergebnis: Der Notepad-Backdoor ist weg, aber leider auch mein Internetzugang. (Dieser Eintrag erfolgt über einen anderen User) Was soll ich nun machen ? Über eine Antwort würde ich mich freuen. Vielen Dank und viele Grüße, JJHoschi |
|
01.04.2005, 22:06
| #4 |
 | Bitte um Überprüfung Hallo JJHosch, die 010-Einträge lagen wohl im Zusammenhang mit diesem Programm: O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE Versuch dieses Programm zu deinstatallieren oder neuzuinstallieren. dartus |
|
01.04.2005, 22:45
| #5 |
| | Leider kein Erfolg Hallo dartus, vielen Dank für Deine schnelle Antwort. Ich habe das Programm deinstalliert und neu installiert, aber es brachte leider keinen Erfolg. Was kann ich jetzt noch machen? Vielen Dank und viele Grüße, JJHoschi |
|
01.04.2005, 22:49
| #6 |
 | Bitte um Überprüfung hi, irgendwie möchte ich ein aktuelles logfile sehen
__________________ --> Bitte um Überprüfung |
|
01.04.2005, 23:02
| #7 | ||
| Administrator, a.D. | Bitte um ÜberprüfungZitat:
Die einzige die du löschen solltest, wäre die c:\windows\system32\icslsp.dll gewesen! Zitat:
|
|
01.04.2005, 23:22
| #8 |
| | Bitte um Überprüfung Hallo Cidre, kann ich die zuviel gelöschten Dateien wieder herstellen, ohne das komplette System neu aufzusetzen ? Vielen Dank und viele Grüße, JJHoschi |
|
02.04.2005, 00:00
| #9 |
| | Bitte um Überprüfung Hallo JJHoschi, lade Dir hier --> http://www.dlldump.com/ diese Dateien : mswsock.dll, winrnr.dll, und rsvpsp.dll und stelle sie in den Ordner Windows\System32 dartus |
|
02.04.2005, 00:17
| #10 |
| | kurze zwischenfragefrage servus allerseits. gestern nacht gelang es mir erstaunlicherweise und auch nur durch fleißiges Lesen in euren wunderbaren Foren, ein bescheuertes troja-pferd zu entfernen - vielen, vielen Dank. ne andere sache: kann ich. wenn ich "Microsoft Office System Professional DVD 2003 SP1 Integrated" , also anscheinend die 2003-version, herunterlade, diese auch mit Windows XP Professional benutzen? freu mich über antwort... Gruß |
|
02.04.2005, 07:14
| #11 |
| | Bitte um Überprüfung @ JJHoschi: Eigentlich dachte ich, Du könntest mit LSPFix umgehen; wir hatten doch schon damit zu tun. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
| Themen zu Bitte um Überprüfung |
| acrobat, adobe, bho, button, dateien, excel, explorer, g data, hijack, hijack this, hijackthis, internet, internet explorer, logfile, microsoft, notepad.exe, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, software, system, system32, unknown file in winsock lsp, update, urlsearchhook, windows, windows xp, winsock |
Linear-Darstellung
