|
Log-Analyse und Auswertung: problem mit dem pc..Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
28.05.2005, 10:05 | #1 |
| problem mit dem pc.. hi.. ich hab ein problem mit meinem pc.. erstens ist er wenn ich ihn starte immer auf 100% cpu auslastung.. und das mehrmals hintereinander für ca. 30 sek. laut ad-aware und antivir premium hab ich nichts auffem rechner... ich hatte das mal mit im taskmanager mitbeobachtet.. und da is mir eine issas.exe und eine servic~1.exe aufgefallen.. hatten beide 50% der cpu auslastung soweit ich das mitverfolgen konnte... hab mal gegoogelt und laut einer seite is die issas.exe wohl ein trojaner oder sowas, wenn sie wohl nich im system32 drin ist.. aber da ist sie nicht und unter suchen hab ich sie auch nirgens anders gefunden ?! dann wollt ich den prozess beenden aber da kam nur die meldung: "taskmanager konnte diesen kritischen prozess nicht beenden." über die servic~1.exe hab ich nichts gefunden.. hab mal mit HijackThis ein logfile gemacht: Logfile of HijackThis v1.99.1 Scan saved at 10:55:06, on 28.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonalPremium\AVGUARD.EXE C:\Programme\AVPersonalPremium\AVESVC.EXE C:\Programme\AVPersonalPremium\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE d:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\AVPersonalPremium\AVGNT.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\System32\alg.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\ICQLite\ICQLite.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Dokumente und Einstellungen\susi\Eigene Dateien\downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.ewetel.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewetel.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.ewetel.de:8080 O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Programme\iMesh\iMesh5\iMeshBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonalPremium\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111008248803 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1C6FAD1-C854-48A7-982D-9C8709B635AD}: NameServer = 212.6.108.140 212.6.108.141 O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\Programme\AVPersonalPremium\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVGUARD.EXE O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\Programme\AVPersonalPremium\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe ich hoffe mir kann einer helfen.. gruß susi _____________ Anm. Aktive Links editiert! Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis. LG Cidre S-Mod TB Geändert von Cidre (28.05.2005 um 18:13 Uhr) |
28.05.2005, 11:31 | #2 |
| problem mit dem pc.. @su-si
__________________HJT soll aus einem speziell angelegten Ordner ausgeführt werden. Bitte alle Links im Log deaktivieren (z.B. h**p statt http) Benutzername unerkennbar machen. Mach bitte noch Folgendes: 1.Systemwiederherstellung abschalten 2. Dieses Bereinigungsprogramm hilft dir, den ganzen Müll aus den Temp-Ordner und Papierkorb zu entfernen. 3. Infected-Ordner des Antivirus-Programms, ggf. auch von Spybot Search & Destroy, Ad-Aware usw. leeren. Der Name des Ordners sowie Pfad sind Programm- und Benutzerabhängig. Bitte RTFM zum AV-Programm. Bei einigen Programmen (z. B. AVPE) ist diese Option nicht im Programm integriert. In dem Fall soll dies manuell erfolgen. 4. eScan genau nach Anleitung (bitte ausdrucken und aufmerksam lesen) im abgesicherten Modus laufen lassen. Log hier Posten. |
28.05.2005, 17:07 | #3 |
| problem mit dem pc.. soo.. also den ganzen log kann ich nich posten.. der passt hier wohl nich rein.. also bin ich auf suchen gegangen und hab das mit tagged und infected rauskopiert...
__________________Sat May 28 13:46:39 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. Sat May 28 13:57:47 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\INFECTED\*.* Sat May 28 13:57:49 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\MAIL\INFECTED\*.* Sat May 28 14:24:53 2005 => File C:\WINDOWS\system32\o infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken Sat May 28 16:34:58 2005 => Total Disinfected Files: 0 Sat May 28 14:38:06 2005 => File D:\Programme\aida\aida_directx.dll tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sat May 28 14:38:05 2005 => File D:\Programme\aida\aida32.exe tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sat May 28 14:38:05 2005 => File D:\Programme\aida\aida32.bin tagged as not-a-virus:Tool.Win32.AIDA.3862. No Action Taken. Sat May 28 14:27:43 2005 => File D:\eigene dateien\downloads\Neuer Ordner\Creatures 3 nocd.ace tagged as not-a-virus:CrackTool.Win32.AssasinPatch. No Action Taken. Sat May 28 14:26:33 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sat May 28 13:45:14 2005 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. is des richtig? hab des ja noch nie gemacht noch etwas? gruß susi Geändert von Cidre (28.05.2005 um 18:12 Uhr) |
28.05.2005, 18:10 | #4 | |||
| problem mit dem pc.. @su-si Zitat:
Zitat:
Zitat:
|
Themen zu problem mit dem pc.. |
1.exe, 100%, 100% cpu, ad-aware, adobe, antivir, antivir premium, antivir update, bho, cpu, cyberlink, drivers, dsl, einstellungen, file missing, hijack, hijackthis, internet, internet explorer, logfile, monitor, problem, prozess, rundll, scan, security, security suite, software, solution, system, taskmanager, trojaner, tuneup utilities, windows, windows messenger, windows xp, windows\system32\drivers |