Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ein Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.07.2005, 16:04   #1
Mieze
 
ein Log - Standard

ein Log



Könnte sich das mal jemand anschauen? Kenne mich damit nicht aus.

Logfile of HijackThis v1.99.1
Scan saved at 16:29:18, on 09.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Hijackthis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =

h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

h**p://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

h**p://www.1und1.com/d1redirect
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} -

C:\Programme\Yetisports\IEButtonYetiSportsEBayInterface.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -

C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} -

C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe

/r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update

Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [PP8 SE Reminder] "C:\Programme\Scansoft\PaperPort\WebEreg\NAVBrowser.exe"

-r "C:\Programme\Scansoft\PaperPort\WebEreg\navLoad.ini"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L

ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: SmartUI.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search -

res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -

h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?110

5175605078
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D70AEA1-A5A2-48E9-8D60-352B5B22B0BE}: NameServer =

192.168.122.252,192.168.122.253
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} -

C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd -

C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -

C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin -

C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel

Application Accelerator\iaantmon.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Alt 09.07.2005, 16:24   #2
chaosman
 
ein Log - Standard

ein Log



@Mieze
beschreibe dein problem doch etwas genauer

wechsle in den abgesicherten modus und fixe mit HJT
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} -
h**p://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,84/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} -

h**p://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,21/mcgdmgr.cab

wenn du diesen eintrag nicht kennst, dann fixen
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D70AEA1-A5A2-48E9-8D60-352B5B22B0BE}: NameServer =192.168.122.252,192.168.122.253

neu booten, neues HJT logfile posten

chaosman
__________________

__________________

Alt 09.07.2005, 17:33   #3
Mieze
 
ein Log - Standard

ein Log



hatte anscheinend nen Trojaner drauf small.aaq.1, wollt nur mal wissen ob der jetzt weg ist und ob ich noch weiteren Mist drauf hab. desweiteren lässt sich die internetverbindung manchmal schwer kappen und er zeigt irgendwelche fehlgeschlagenen schreibversuche an.
__________________

Alt 09.07.2005, 17:43   #4
cronos
 
ein Log - Standard

ein Log



Dann scanne dein System doch bitte zunächst wie beschrieben mit Escan und teile uns dann die Ergebnisse mit.
__________________
Only cronos endures

Alt 09.07.2005, 19:59   #5
Mieze
 
ein Log - Standard

ein Log



also hier das Ergebnis:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 09 19:47:02 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Jul 09 20:22:15 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 09 19:27:15 2005 => File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Sat Jul 09 19:28:25 2005 => File C:\DOKUME~1\******\LOKALE~1\Temp\~update01B3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:28:25 2005 => File C:\DOKUME~1\********\LOKALE~1\Temp\~update7D18.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:32:49 2005 => File C:\Dokumente und Einstellungen\*******\Eigene Dateien\Download\aawsepersonal.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:33:03 2005 => File C:\Dokumente und Einstellungen\****\Eigene Dateien\Download\pllangs.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:33:15 2005 => File C:\Dokumente und Einstellungen\*****\Eigene Dateien\Download\xmas_p3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:33:17 2005 => File C:\Dokumente und Einstellungen\*****\Eigene Dateien\Download\zlsSetup_55_109_000.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:35:29 2005 => File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\~update01B3.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:35:29 2005 => File C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temp\~update7D18.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:38:17 2005 => File C:\Homebox\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 19:41:38 2005 => File C:\I386\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
Sat Jul 09 19:46:17 2005 => File C:\Programme\1&1 Internet\Profi-Dialer\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:00:33 2005 => File C:\Programme\ICQLite\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:00:34 2005 => File C:\Programme\Infogrames\Monopoly\ArcadeInstallMONOPOLY11c.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:04:35 2005 => File C:\Programme\JoWooD\SpellForce\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:04:37 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\Plugins\Langs\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:04:38 2005 => File C:\Programme\Lavasoft\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:09:54 2005 => File C:\Programme\Passage 3 Weihnachts-Edition\Unwise32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:10:06 2005 => File C:\Programme\rondomedia\Der neue 3D-Weltatlas\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:11:34 2005 => File C:\Programme\toswinst\T-Online\T-Online\Copas\CopasInst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Sat Jul 09 20:20:06 2005 => File C:\WINDOWS\SYSTEM32\KILLAPPS.EXE tagged as not-a-virus:Tool.Win32.KillApp.c. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Sat Jul 09 20:22:15 2005 => Total Virus(es) Found: 22
Sat Jul 09 20:22:15 2005 => Total Errors: 20
Sat Jul 09 20:22:15 2005 => Time Elapsed: 00:57:48
Sat Jul 09 20:22:15 2005 => Total Objects Scanned: 76117
Sat Jul 09 19:23:54 2005 => Virus Database Date: 2005/06/24
Sat Jul 09 20:22:15 2005 => Virus Database Date: 2005/06/24
Sat Jul 09 20:29:13 2005 => Virus Database Date: 2005/06/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Alt 09.07.2005, 20:39   #6
Cidre
Administrator, a.D.
 
ein Log - Standard

ein Log



Die Virus Log Information ist soweit in Ordnung.
Zitat:
die internetverbindung manchmal schwer kappen und er zeigt irgendwelche fehlgeschlagenen schreibversuche an.
Beschreibe dies mal genauer.
__________________
--> ein Log

Alt 09.07.2005, 21:10   #7
Mieze
 
ein Log - Standard

ein Log



Als was genau in den Fehlermeldungen steht kann ich dir jetzt nicht sagen, da er die selten bringt, aber dann richtig viele aufeinmal. sind ein paar Zahlen drauf und das er nicht schreiben konnte oder auf irgendwas nicht zugreifen konnte. Diese süßen kleinen Fensterchen bedecken dann auch fast den ganzen Bildschirm. Dann kann ich auch nur noch über Task beenden aus dem Internet, da sich bei meinem Programm über das ich die Internetverbindung aufbaue die Verbindungstrennung blokiert, die ist aber auch das einzige das blockiert, alle anderen Funktionen lassen sich noch ausführen.
Das einzige was übrig bleibt ist also wie gesagt, entf + strg+ alt Programm sofort beenden, programm wieder aufrufen und dann die Verbindung kappen. Dieses problem tritt aber so wie heute z.B. auch ohne die vorhin erwähnten Fehlermeldungen auf.

Antwort

Themen zu ein Log
adobe, antivir, application, avg, bho, cdrom, cyberlink, dateien, dsl, excel, explorer, hijack, hijackthis, hotkey, icqtoolbar, internet, internet explorer, log, messenger, microsoft, monitor, mssql, programme, server, software, system, system32, urlsearchhook, windows, windows messenger, windows xp




Zum Thema ein Log - Könnte sich das mal jemand anschauen? Kenne mich damit nicht aus. Logfile of HijackThis v1.99.1 Scan saved at 16:29:18, on 09.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer - ein Log...
Archiv
Du betrachtest: ein Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.