|
Log-Analyse und Auswertung: Hab ich ein Problem???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.08.2005, 16:39 | #1 |
| Hab ich ein Problem??? Also... um es mal irgendwie darzustellen... Ich hatte gestern abend und heute früh ein "Aha-Erlebnis". Will heißen, daß ich ziemlich dämlich aus der Wäsche geguckt habe, als ich meinen Computer gestartet habe, dieser auch hoch fuhr, sich nach einer Weile verabschiedete und erneut hochfuhr. Da hab ich mir mal eben auf "Trojaner-Info", und die darin verlinkten Seiten, die Augen wund gelesen und mich dann entschlossen (nachdem ich nicht wirklich fündig geworden bin ), mich hier anzumelden. Auf einer Seite http://www.trojaner-info.de/news/wurm_zotob.shtml fand ich dann diesen Hinweis: ***schnipp*** Woran bemerkt ein Benutzer die Infektion seines Systems? Der Computer wird sich mehrere Male selbständig herunterfahren und wieder booten, wodurch der Computer nicht mehr verfügbar ist. ***schnapp*** Da sich mein Rechner jedoch (bis jetzt) nur immer EIN MAL runtergefahren hat, weiß ich nicht so recht, ob ich nun von diesem "Kriechtier" befallen bin oder nicht... Nun ja... ein Mal ist kein Mal und da würde ich lieber auf Nummer sicher gehen. Zur Anmerkung: Zur Zeit verwende ich die Free-Ware Version von Norton Firewall und Norton Antivirus 2005. Ich wollte sie mal testen und sie evtl. (wenn sie was taugt!) käuflich zu erwerben. Desweiteren habe ich Ad-Aware SE Personal (Free-Ware) drauf und beides heute schon laufen lassen. Ad-Aware hatte 9 "Tracking-Cookies" gefunden, die ich dann ins Nirvana geschickt und danach den Rechner neu gestartet habe. Bis JETZT ist er danach nicht noch mal abgeschmiert... Ob ich damit aber das Übel an der Wurzel gepackt habe, weiß ich jedoch nicht. Und da ist auch mein "Problem" verankert ...nämlich: 1.) Gibt es einen Tool (oder auch mehrere Tools), den ich mir auf den Composter schmeißen kann, der die gängigsten Trojaner, Viren und Würmer findet? 2.) Wobei ich nicht in den Rechner "kriechen" muß, um ihn anzuwenden (da ich nicht wirklich fit darin bin...) Vielleicht habt Ihr ja noch eine Idee bzw. den / die entsprechenden Tool/s, die / der mir hilft, meinen Rechner mal auf "Herz und Nieren" zu prüfen ... TROTZ der "legendären" Firewall und Anitvirus auf dem Rechner *** Ach noch was... Ich habe bei Symantec.de einen "Portscan" durchgeführt... soweit mir das "Programm" mitteilte, sind alle meine Ports geschlossen und auch verbrogen. Jedoch konnte ich den Virenscanner nicht laufen lassen, da es mir dann immer sagte, daß ich die "Active X Steuerelemente" einrichten sollte. Das hab ich dann auch nach deren Anweisungen gemacht, aber es hat sich nichts geändert und die Fehlermeldung kam wieder.
__________________ Wer bin ich? ...und wenn ja, wieviele? |
24.08.2005, 16:47 | #2 |
Moderator, a.D. | Hab ich ein Problem??? Poste mal ein Hijackthis-Log. Hier ist eine gute Anleitung:
__________________http://www.trojaner-board.com/showthread.php?t=17493 Von der Vorstellung, dass Programme wirkungsvoll vor Infektionen schützen solltest du dich schon mal verabschieden. Gruß Yopie |
24.08.2005, 17:24 | #3 |
| Hab ich ein Problem??? Hi Yopie...
__________________Na Du machst mir Spaß... Ich bin ein "Greenhorn" auf diesem Gebiet... deswegen hab ich ja auch nach einem "Rundum Sorglospaket" gefragt Hab hier auch mal rumgelesen... http://www.trojaner-board.de/showthread.php?t=8612 und bin dann dort auch mal auf diese Seite gucken gegangen ...wo ja auch die Rede von "CoolWebSearch" ist http://www.intermute.com/spysubtract..._download.html Ob der auf dieser Seite genannte Tool, mit dem in Deinem Link genannten "Browser HiJacker", identisch ist, weiß ich nicht. Leider hab ich auf der deutschen Seite http://de.trendmicro-europe.com/ dazu nichts gefunden... vielleicht hätte ich dann einen Vergleich gehabt. Ansonsten muß ich mich da erst mal "durchwühlen" und mich an die "Compi-Freak-Special-Abkürzungen" (<--- nicht bös gemeint!) gewöhnen
__________________ |
24.08.2005, 17:27 | #4 | ||
Moderator, a.D. | Hab ich ein Problem??? Warum wählst du nicht die zweite Möglichkeit: Zitat:
Dabei beachten: Zitat:
Yopie |
25.08.2005, 02:04 | #5 |
| Antworten... Ich kann Dir auf die PN nicht antworten... Dein Postfach quillt über
__________________ Wer bin ich? ...und wenn ja, wieviele? |
25.08.2005, 02:16 | #6 |
Moderator, a.D. | Hab ich ein Problem??? Das war nur ein temporäres Problem... Aber schreibs einfach in den Thread rein, wenns was mit dem Thema zu tun hat. Gruß Yopie |
25.08.2005, 02:22 | #7 |
| Hab ich ein Problem??? Ich hab das Zeitlimit geknackt Sie ist raus...
__________________ Wer bin ich? ...und wenn ja, wieviele? |
26.08.2005, 13:55 | #8 |
| Hab ich ein Problem??? So... ich hab mal nen Versuch gestartet und hoffe, daß ich alles richtig gemacht habe. Hier ist nun "mein" Logfile... Logfile of HijackThis v1.99.1 Scan saved at 14:30:38, on 26.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\programme\babylon\Babylon.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe C:\Programme\WEB.DE\WEB.DE Screensaver\TraySvr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\XXXXXXX\Eigene Dateien\Downloads\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com/ O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_1_6_0.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [dEFGU11v] C:\PROGRA~1\wpvooqwp\ospotwo.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Babylon Translator] C:\programme\babylon\Babylon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\RECYCLER\NPROTECT\00047737.EXE O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Search - h**p://bar.mywebsearch.com/menusearch.html?p=ZSzeb005XXDE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmesde.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU) O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - h**p://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093811542125 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - h**p://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h**p://fdl.msn.com/public/chat/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EBF290FC-2665-4E4B-823F-DE0762BE6275}: NameServer = XXXXXXXXXXXXXXXXXXXXXXXXXXXX O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
__________________ Wer bin ich? ...und wenn ja, wieviele? Geändert von Cidre (26.08.2005 um 15:29 Uhr) Grund: Schriftgröße (2) geändert! |
26.08.2005, 13:58 | #9 |
| Hab ich ein Problem??? Ist es auch möglich das Log völlig normal zu Posten wie andere auch,da bekommt man ja Augenkrebs bei..... |
26.08.2005, 14:02 | #10 |
| Hab ich ein Problem??? Echt? Naja... das ist die Macht der Gewohnheit... aber ich editiere es mal... Aber nur dieses eine Mal!!! Gewöhnt Euch lieber daran... ich lieeeeeebe "indigo"
__________________ Wer bin ich? ...und wenn ja, wieviele? |
26.08.2005, 15:21 | #11 |
| Hab ich ein Problem??? Ich hab dann mal das "Anwendungsfenster" der HijackThis exe geschlossen... da ich nicht wußte, was ich sonst noch damit anfangen kann, ohne meinen Rechner ins Nirvana zu schießen... Ansonsten werd ich die Prozedur wohl noch mal wiederholen müssen... macht nix
__________________ Wer bin ich? ...und wenn ja, wieviele? |
26.08.2005, 15:28 | #12 |
Administrator, a.D. | Hab ich ein Problem??? @ Bobby-Joe Es geht hier nicht um die verwendete Farbe des Textes, sondern um die Schriftgröße! Die von dir gewählte Größe ist als unübersichtlich und ermüdend anzusehen. Ich denke nicht, daß sich das viele Leute hier antun werden... Dein HJT Log-File editiere ich auf Normalgröße. Bei deinen anderen Posts mußt du es selber wissen, wie du das zukünftig handhaben willst, aber wundere dich nicht, wenn dir keiner mehr antwortet. |
26.08.2005, 15:48 | #13 |
| Hab ich ein Problem??? Und ich dachte immer, kleine Schriftgrößen sind ermüdend... Zumindest sind Bücher mit großer Schrift wesentlich angenehmer zu lesen, als die mit kleiner Schrift... oder irre ich da etwa auch? Wie dem auch sei... wenn Ihr die "Logfiles" lieber kleiner lest, ist es o.k. ...und wenn mir keiner mehr, wegen meiner Schriftgröße, antworten mag, dann kann ich es wohl auch nicht ändern... Jedoch ist es das, um was es hier wirklich geht??? Komische Kriterien...
__________________ Wer bin ich? ...und wenn ja, wieviele? |
26.08.2005, 15:52 | #14 |
Administrator, a.D. | Hab ich ein Problem??? Das sind keine komische Kriterien, sondern das Lesen wird dadurch erheblich erleichtert und der Antwortende braucht nicht ständig zu scrollen. |
26.08.2005, 15:56 | #15 |
Moderator, a.D. | Hab ich ein Problem??? Scan diese Datei: C:\PROGRA~1\wpvooqwp\ospotwo.exe mal unter http://virusscan.jotti.org/de , und poste das Ergebnis. Bei mir war die Schriftgröße übrigens i.O., jetzt ist sie etwas kleiner. Kann aber auch an meinen Browsereinstellungen liegen... Gruß Yopie |
Themen zu Hab ich ein Problem??? |
ad-aware, antivirus, booten, computer, fehlermeldung, firewall, herunterfahren, heulen, infektion, mehrere, nicht mehr, norton, problem, programm, prüfen, rechner, scan, seite, seiten, selbständig, tool, tools, version, viren, virenscanner, würmer |