Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: DSL grottenlangsam

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.05.2005, 18:13   #1
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



hi spezies,

mein dsl ist seit einigen tagen grottenlangsam. trojaner und viren hab ich net gefunden. mag mal jemand übers HijackThis schauen und mir sagen, ob der rechner clean ist? vielen dank!

Logfile of HijackThis v1.99.0
Scan saved at 19:01:49, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297
O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

Alt 30.05.2005, 09:29   #2
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



also die automatische logfileauswertung sagt: alles ok.

kann ich mich da drauf verlassen?
__________________


Alt 30.05.2005, 20:22   #3
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



habe ich irgend etwas falsches geschrieben?

ich wäre echt dankbar, wenn da mal einer von den fachleutchen rüberschauen könnte.....
__________________

Alt 30.05.2005, 20:36   #4
chaosman
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@wuslon

in den abgesicherten modus fixen mit HJT
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

neu booten

hast du dieses programm erst seit kürzem installiert?
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll

wenn nicht, dann mal mit escan
scannen

LG
chaosman
__________________
Bonus vir semper tiro

Alt 30.05.2005, 20:56   #5
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@chaosman

vielen dank, für deine aufmerksamkeit und hilfe

habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
gefixt. Was war denn das

Starten im abgesicherten Modus und danach runterfahren hat irgendwie lange gedauert

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll

habe ich seit einigen wochen installiert, dann ok?


hier das aktuelle hjt:

Logfile of HijackThis v1.99.0
Scan saved at 21:52:43, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297
O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Alt 30.05.2005, 21:05   #6
chaosman
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@wuslon
habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
gefixt. Was war denn das

Oh oh.
scanne doch mal(just in case) dein system mit escan

chaosman
__________________
--> DSL grottenlangsam

Alt 30.05.2005, 21:16   #7
Haui45
 
DSL grottenlangsam - Standard

DSL grottenlangsam



Ist es evtl. so, dass dein DSL erst seit der Installation von "steganos internet anonym" so langsam ist?

Alt 30.05.2005, 21:25   #8
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@chaosman

ohoh, macht mir aber arg angst .....werd dann mal den escan starten


@haui45

nö, internet anonym war schon vorher drauf. habe ich auch nie aktiviert, dann wäre es klar, dass die surfgeschwindigkeit in die knie gehen würde, nutze nur den datenschredder, der enthalten ist.....

Alt 30.05.2005, 21:36   #9
chaosman
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@wuslon
ohoh, macht mir aber arg angst
kann sein
muss aber nicht sein

LG
chaosman
__________________
Bonus vir semper tiro

Alt 30.05.2005, 23:34   #10
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@chaosman

so, eigentlich bin ich ganz optimistisch. War Dein "ohoh" nicht begründet? Ich hoffe doch sehr.

die treffer aus AVPersonal dürften ja "nur" das Infected-Verzeichnis von AVPersonal sein.....

der NoCD-Crack von Black Mirror dürfte doch nur "Schaden" anrichten, wenn ich eine aktive analog oder ISDN-Verbindung hätte. DSL ist da doch sicher

Der letzte Treffer ist selber ausgelöst durch die Steganos Hacker Tools, also auch nicht schadhaft, oder

Was ich bei escan immer nicht verstehe ist: "Result: ERROR!!!".....Das Ergebnis hatte ich mehrfach bei einigen Verzeichnissen im scan. Ist das bedenklich

Mon Mar 07 13:21:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon May 30 22:51:57 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe
Mon May 30 23:29:16 2005 => File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\johntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.

May 31 00:08:31 2005 => ***** Scanning complete. *****

Tue May 31 00:08:31 2005 => Total Files Scanned: 54945
Tue May 31 00:08:31 2005 => Total Virus(es) Found: 10
Tue May 31 00:08:31 2005 => Total Disinfected Files: 0
Tue May 31 00:08:31 2005 => Total Files Renamed: 0
Tue May 31 00:08:31 2005 => Total Deleted Files: 0
Tue May 31 00:08:31 2005 => Total Errors: 47
Tue May 31 00:08:31 2005 => Time Elapsed: 01:27:09
Tue May 31 00:08:31 2005 => Virus Database Date: 2005/05/30
Tue May 31 00:08:31 2005 => Virus Database Count: 132423

Alt 31.05.2005, 08:00   #11
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



Arg, ergänzend zu meinem letzen Posting :

Ich habe noch einige Einträge aus der mwav.log gefunden. Gestern hatte ich nur nach "infected" gesucht.

File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken.
File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken.
File D:\Downloads\s4d-sc4rh\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.
File D:\Downloads\s4d-sc4rh.rar tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\brutusA2\BrutusA2.exe tagged as not-a-virus:PSWTool.Win32.Brutus. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\realvnc\realvnc-3.3.7.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\winfingerprint\winfingerprint.exe tagged as not-a-virus:NetTool.Win32.Winfingerprint. No Action Taken.
File E:\SimCity 4\Apps\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.

Und nun?

Alt 31.05.2005, 10:20   #12
chaosman
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@wuslon
der hier
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\j ohntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.
gefällt mir nicht.

vllt hilft ds hier weiter
http://securityresponse.symantec.com...theripper.html


lg
chaosman
__________________
Bonus vir semper tiro

Alt 01.06.2005, 08:20   #13
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



@chaosman

ehrlich gesagt bin ich für den link ein wenig zu blöde, um ihm folgen (also nicht dem link, dem inhalt) zu können. meine spärlichen englischkenntnisse sagen mir, dass ich nach der beschreibung den kram nur mit symantec wieder vom system bekomme?

Kannst Du mir versuchen, da nochmal genauer zu helfen, wie ich den "john" wieder loswerde?

Ist der andere Kram denn unbedenklich?

Alt 03.06.2005, 00:06   #14
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



hallo forum,

kann mir vielleicht nochmal jemand sagen, ob und wie ich "HackTool.Win32.John" sauber vom rechner bekommen kann? System neu aufsetzen?

Und die anderen Funde von escan? Muss ich mir da keine Sorgen machen?

Vielen Dank für Hilfestellung

Alt 04.06.2005, 00:12   #15
wuslon
 
DSL grottenlangsam - Standard

DSL grottenlangsam



Ok,

also ist wohl meine einzige Chance, mir Symantec anzuschaffen, um Schritt 2 in dem Link von Chaosman auszuführen.

Oder System neu aufsetzen?

Was ist mit den anderen Funden?

Ist mein System kompromittiert?

Ich weiss, Mehrfachpostings sind nicht gerade beliebt, aber ich bin wirklich unsicher, was die Funde angeht, da halt wenig Ahnung und daher wäre Hilfe von Euch wirklich klasse.

bye the way, die ursprüngliche Überschrift des Threats stimmt nicht mehr, DSL läuft wieder in gewohnter Bandbreite, war irgendwie ein Leitungsfehler von Arcor .

Antwort

Themen zu DSL grottenlangsam
adobe, antivir, antivir update, avg, bho, drivers, dsl, excel, explorer, file missing, firefox, hijack, hijackthis, internet, internet explorer, langsam, microsoft, mozilla, mozilla firefox, nvidia, programme, rundll, security, software, system, trojaner, vielen dank, viren, windows, windows xp, windows\system32\drivers





Zum Thema DSL grottenlangsam - hi spezies, mein dsl ist seit einigen tagen grottenlangsam. trojaner und viren hab ich net gefunden. mag mal jemand übers HijackThis schauen und mir sagen, ob der rechner clean ist? - DSL grottenlangsam...
Archiv
Du betrachtest: DSL grottenlangsam auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.