|
Log-Analyse und Auswertung: DSL grottenlangsamWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.05.2005, 18:13 | #1 |
| DSL grottenlangsam hi spezies, mein dsl ist seit einigen tagen grottenlangsam. trojaner und viren hab ich net gefunden. mag mal jemand übers HijackThis schauen und mir sagen, ob der rechner clean ist? vielen dank! Logfile of HijackThis v1.99.0 Scan saved at 19:01:49, on 29.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\security\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297 O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1 O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) |
30.05.2005, 09:29 | #2 |
| DSL grottenlangsam also die automatische logfileauswertung sagt: alles ok.
__________________kann ich mich da drauf verlassen? |
30.05.2005, 20:22 | #3 |
| DSL grottenlangsam habe ich irgend etwas falsches geschrieben?
__________________ich wäre echt dankbar, wenn da mal einer von den fachleutchen rüberschauen könnte..... |
30.05.2005, 20:36 | #4 |
| DSL grottenlangsam @wuslon in den abgesicherten modus fixen mit HJT O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) neu booten hast du dieses programm erst seit kürzem installiert? O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll wenn nicht, dann mal mit escan scannen LG chaosman
__________________ Bonus vir semper tiro |
30.05.2005, 20:56 | #5 |
| DSL grottenlangsam @chaosman vielen dank, für deine aufmerksamkeit und hilfe habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) gefixt. Was war denn das Starten im abgesicherten Modus und danach runterfahren hat irgendwie lange gedauert O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll habe ich seit einigen wochen installiert, dann ok? hier das aktuelle hjt: Logfile of HijackThis v1.99.0 Scan saved at 21:52:43, on 30.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\CDAC11BA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\security\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297 O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1 O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
30.05.2005, 21:05 | #6 |
| DSL grottenlangsam @wuslon habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) gefixt. Was war denn das Oh oh. scanne doch mal(just in case) dein system mit escan chaosman
__________________ --> DSL grottenlangsam |
30.05.2005, 21:16 | #7 |
| DSL grottenlangsam Ist es evtl. so, dass dein DSL erst seit der Installation von "steganos internet anonym" so langsam ist? |
30.05.2005, 21:25 | #8 |
| DSL grottenlangsam @chaosman ohoh, macht mir aber arg angst .....werd dann mal den escan starten @haui45 nö, internet anonym war schon vorher drauf. habe ich auch nie aktiviert, dann wäre es klar, dass die surfgeschwindigkeit in die knie gehen würde, nutze nur den datenschredder, der enthalten ist..... |
30.05.2005, 21:36 | #9 |
| DSL grottenlangsam @wuslon ohoh, macht mir aber arg angst kann sein muss aber nicht sein LG chaosman
__________________ Bonus vir semper tiro |
30.05.2005, 23:34 | #10 |
| DSL grottenlangsam @chaosman so, eigentlich bin ich ganz optimistisch. War Dein "ohoh" nicht begründet? Ich hoffe doch sehr. die treffer aus AVPersonal dürften ja "nur" das Infected-Verzeichnis von AVPersonal sein..... der NoCD-Crack von Black Mirror dürfte doch nur "Schaden" anrichten, wenn ich eine aktive analog oder ISDN-Verbindung hätte. DSL ist da doch sicher Der letzte Treffer ist selber ausgelöst durch die Steganos Hacker Tools, also auch nicht schadhaft, oder Was ich bei escan immer nicht verstehe ist: "Result: ERROR!!!".....Das Ergebnis hatte ich mehrfach bei einigen Verzeichnissen im scan. Ist das bedenklich Mon Mar 07 13:21:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon May 30 22:51:57 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe Mon May 30 23:29:16 2005 => File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken. File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\johntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken. May 31 00:08:31 2005 => ***** Scanning complete. ***** Tue May 31 00:08:31 2005 => Total Files Scanned: 54945 Tue May 31 00:08:31 2005 => Total Virus(es) Found: 10 Tue May 31 00:08:31 2005 => Total Disinfected Files: 0 Tue May 31 00:08:31 2005 => Total Files Renamed: 0 Tue May 31 00:08:31 2005 => Total Deleted Files: 0 Tue May 31 00:08:31 2005 => Total Errors: 47 Tue May 31 00:08:31 2005 => Time Elapsed: 01:27:09 Tue May 31 00:08:31 2005 => Virus Database Date: 2005/05/30 Tue May 31 00:08:31 2005 => Virus Database Count: 132423 |
31.05.2005, 08:00 | #11 |
| DSL grottenlangsam Arg, ergänzend zu meinem letzen Posting : Ich habe noch einige Einträge aus der mwav.log gefunden. Gestern hatte ich nur nach "infected" gesucht. File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken. File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken. File D:\Downloads\s4d-sc4rh\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken. File D:\Downloads\s4d-sc4rh.rar tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken. File D:\Downloads\Steganos.Hacker.Tools.7.0\brutusA2\BrutusA2.exe tagged as not-a-virus:PSWTool.Win32.Brutus. No Action Taken. File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\realvnc\realvnc-3.3.7.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken. File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\winfingerprint\winfingerprint.exe tagged as not-a-virus:NetTool.Win32.Winfingerprint. No Action Taken. File E:\SimCity 4\Apps\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken. Und nun? |
31.05.2005, 10:20 | #12 |
| DSL grottenlangsam @wuslon der hier File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\j ohntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken. gefällt mir nicht. vllt hilft ds hier weiter http://securityresponse.symantec.com...theripper.html lg chaosman
__________________ Bonus vir semper tiro |
01.06.2005, 08:20 | #13 |
| DSL grottenlangsam @chaosman ehrlich gesagt bin ich für den link ein wenig zu blöde, um ihm folgen (also nicht dem link, dem inhalt) zu können. meine spärlichen englischkenntnisse sagen mir, dass ich nach der beschreibung den kram nur mit symantec wieder vom system bekomme? Kannst Du mir versuchen, da nochmal genauer zu helfen, wie ich den "john" wieder loswerde? Ist der andere Kram denn unbedenklich? |
03.06.2005, 00:06 | #14 |
| DSL grottenlangsam hallo forum, kann mir vielleicht nochmal jemand sagen, ob und wie ich "HackTool.Win32.John" sauber vom rechner bekommen kann? System neu aufsetzen? Und die anderen Funde von escan? Muss ich mir da keine Sorgen machen? Vielen Dank für Hilfestellung |
04.06.2005, 00:12 | #15 |
| DSL grottenlangsam Ok, also ist wohl meine einzige Chance, mir Symantec anzuschaffen, um Schritt 2 in dem Link von Chaosman auszuführen. Oder System neu aufsetzen? Was ist mit den anderen Funden? Ist mein System kompromittiert? Ich weiss, Mehrfachpostings sind nicht gerade beliebt, aber ich bin wirklich unsicher, was die Funde angeht, da halt wenig Ahnung und daher wäre Hilfe von Euch wirklich klasse. bye the way, die ursprüngliche Überschrift des Threats stimmt nicht mehr, DSL läuft wieder in gewohnter Bandbreite, war irgendwie ein Leitungsfehler von Arcor . |
Themen zu DSL grottenlangsam |
adobe, antivir, antivir update, avg, bho, drivers, dsl, excel, explorer, file missing, firefox, hijack, hijackthis, internet, internet explorer, langsam, microsoft, mozilla, mozilla firefox, nvidia, programme, rundll, security, software, system, trojaner, vielen dank, viren, windows, windows xp, windows\system32\drivers |