| |
| |||||||
Log-Analyse und Auswertung: Könnte mir bitte jemand beim Auswerten helfen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.07.2005, 18:37
| #2 |
 |  EILT !!! Brauche mal Eure Hilfe beim Auswerten!!! Hallo,
__________________verfolge seit einiger Zeit die Einträge zu diesem Thema. Habe folgendes Problem mit meinem Rechner: Im Mai neu in Betrieb genommen mit XP und DSL, und von Mal zu Mal eine langsamere Kiste, das Hochfahren dauert jetzt nahezu 5 Minuten, ehe man damit arbeiten kann, und der Arbeitsspeicher ist auch immer schnell voll ("virtueller Arbeitsspeicher reicht nicht aus, Auslagerungsdatei wird vergrößert"). Bis dato hatte ich nur AntiVir, McAfee Firewall und Microsoft Antispy. Seit ein paar Tagen lädt der AntiVirGuard beim Systemstart nicht mehr mit und läßt sich auch nachträglich nicht mehr aktivieren. Habe in Euren Foren Hinweise gefunden, mal AdAware, Spybot Search&Destroy und CW Shredder zu installieren und Scannen zu lassen. Habe diverse Trojaner etc (z.B. SearchAssistand, DMS 180 Solutions, AZESearch) gefunden und hoffentlich beseitigt. Nun habe ich ein eScan und ein Highjackthis Logfile. Könnte sich das bitte mal jemand anschauen und auswerten? Es ist dringend. ich bin mit einem Schreibservice selbständig und über Stunden online. Ich kann es mir nicht leisten, noch mehr Zeit zu verlieren. Hier ist die eScan Logfile: :04 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Mon Jul 25 18:52:04 2005 => Loading Spyware Signatures from External Database... Mon Jul 25 18:52:05 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Mon Jul 25 18:52:53 2005 => Object "altnet Spyware/Adware" found in File System! Action Taken: No Action Taken. Mon Jul 25 18:52:53 2005 => System found infected with bargain buddy Spyware/Adware ({014da6c4-189f-421a-88cd-07cfe51cff10})! Action taken: No Action Taken. Mon Jul 25 18:52:59 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Mon Jul 25 18:53:01 2005 => ***** Scanning Registry for errors created because of Adware/Spyware ***** Mon Jul 25 18:53:11 2005 => Entry "HKCR\CLSID\{3910C366-78E9-11D4-8C24-00104BF6CAF3}" refers to invalid object "C:\Programme\Gemeinsame Dateien\Macromedia\SCS DLLs\VBaddin.dll". Action Taken: No Action Taken. Mon Jul 25 18:53:15 2005 => Entry "HKCR\CLSID\{83D4679F-B6D7-11D2-BF36-00C04FB90A03}" refers to invalid object "C:\PROGRA~1\MESSEN~1\rtcimsp.dll". Action Taken: No Action Taken. Mon Jul 25 18:53:15 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken. Mon Jul 25 18:53:18 2005 => Entry "HKCR\CLSID\{CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA}" refers to invalid object "c:\programme\javasoft\jre1.4\1.4.1\bin\bin\npjpi141.dll". Action Taken: No Action Taken. Mon Jul 25 18:53:19 2005 => Entry "HKCR\CLSID\{EB25861A-560C-11d1-B771-00A0C906C72A}" refers to invalid object "C:\Corel\Graphics8\PROGRAMS\SCESHL.DLL". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\DXemul.DDClipperEmul" refers to invalid object "{FACF11A2-5095-11D3-A9DE-00C0268E5C48}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\DXemul.DDClipperEmul.1" refers to invalid object "{FACF11A2-5095-11D3-A9DE-00C0268E5C48}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FlashpointEditor.CssParser" refers to invalid object "{E67EF0A8-25B0-4B17-AAF0-F3402F5A342C}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FlashpointEditor.CssParser.1" refers to invalid object "{E67EF0A8-25B0-4B17-AAF0-F3402F5A342C}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.DataStore" refers to invalid object "{35D6E5F7-ACA3-4802-A9FE-50D4D1636F4A}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.DataStore.1" refers to invalid object "{35D6E5F7-ACA3-4802-A9FE-50D4D1636F4A}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvEd" refers to invalid object "{813EF4C0-AE21-49A8-A0F3-7B3F67055B47}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvEd.1" refers to invalid object "{813EF4C0-AE21-49A8-A0F3-7B3F67055B47}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvEdDesignerImpl" refers to invalid object "{DD9DD85C-F8A3-49BA-A744-9CC88BD70ABF}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvEdDesignerImpl.1" refers to invalid object "{DD9DD85C-F8A3-49BA-A744-9CC88BD70ABF}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvHTMLParser" refers to invalid object "{C08CFDE6-7F41-4744-893F-64CCAE0EBD8B}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvHTMLParser.1" refers to invalid object "{C08CFDE6-7F41-4744-893F-64CCAE0EBD8B}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvShape" refers to invalid object "{193F28BC-69A3-4C7E-908F-13EBFCAD1764}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.FvShape.1" refers to invalid object "{193F28BC-69A3-4C7E-908F-13EBFCAD1764}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.ShapeUndo" refers to invalid object "{DAC507E7-5D3E-439F-8E34-344D18A11852}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\FvEditor.ShapeUndo.1" refers to invalid object "{DAC507E7-5D3E-439F-8E34-344D18A11852}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\Medi8or.DDSurfaceEmul.1" refers to invalid object "{86FC1FD3-BCF3-11D1-B76F-58BB04C10000}". Action Taken: No Action Taken. Mon Jul 25 18:53:22 2005 => Entry "HKCR\Medi8or.DirectDrawEmul.1" refers to invalid object "{86FC1FD1-BCF3-11D1-B76F-58BB04C10000}". Action Taken: No Action Taken. Und hier noch das Highjackthis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:32:03, on 25.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\keyhook.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\DOKUME~1\Susan\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Susan\LOKALE~1\Temp\kavss.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://r.office.microsoft.com/r/rlidOfficeUpdate?clid=1031 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - D:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - D:\PROGRA~1\PREISP~1\BUYERT~1\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - D:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - D:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [AnyDVD] D:\Programme\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: AntiVir Guard.lnk = C:\Programme\AVPersonal\AVGNT.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - D:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html O8 - Extra context menu item: amazon Suche - D:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm O8 - Extra context menu item: amazon Suche starten - D:\Programme\Preispiraten\Preispiraten2\Searchamazon.htm O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: eBay - Mein eBay - D:\Programme\Preispiraten\Preispiraten2\SearchEbaymein.htm O8 - Extra context menu item: eBay - Powersuche - D:\Programme\Preispiraten\Preispiraten2\SearchEbaypower.htm O8 - Extra context menu item: eBay - Startseite - D:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm O8 - Extra context menu item: eBay Suche starten - D:\Programme\Preispiraten\Preispiraten2\SearchEbay.htm O8 - Extra context menu item: Google Suche - D:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm O8 - Extra context menu item: Google Suche starten - D:\Programme\Preispiraten\Preispiraten2\SearchGoogle.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - D:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - D:\Programme\Preispiraten\Buyertools Reminder\ReminderIE.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O10 - Broken Internet access because of LSP provider 'c:\programme\newdotnet\newdotnet4_85.dll' missing O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7212884C-CB10-427B-9E68-B36AFAAEC8DA}: NameServer = 205.188.146.145 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe So, hoffe dass ich das ganze jetzt richtig gemacht habe. Schöne Grüße Fröschlein
__________________ Geändert von Cidre (28.07.2005 um 17:02 Uhr) |
| Themen zu Könnte mir bitte jemand beim Auswerten helfen? |
| aktivieren, altnet, antispyware, antivir, antivir guard, arbeitsspeicher, auswerten, auswirkungen, ergebnis, escan, files, found, guard, hallo zusammen, helfen, infected, logfile, microsoft, nicht mehr, not-a-virus, object, probleme, programme, quara, software, system, total |
Baum-Darstellung