|
Log-Analyse und Auswertung: irgendwas ist faul,Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.09.2005, 18:15 | #1 |
| irgendwas ist faul, ich weiss nur nicht was ! Der HijackThis Report scheint i.O. zu sein: Logfile of HijackThis v1.99.1 Scan saved at 19:03:51, on 03.09.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**l://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiKey] Atitask.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE Trotzdem ist mein System teilweise sehr langsam, ab und an werde mit "yr computer might be at risk" daraufhingewiesen das sich zumindest Werbeverarsche eingeschlichen hat. Smartsurfer oeffnet sich ab und an auch von selbst - da will was online ! Die Programme Hoster, RegSeeker und FreshUI werden alle 3 beim Aufmachen aufgrund eines ungueltigen Vorgangs wieder geschlossen. Seit heute wird beim Hochfahren gemeldet dass die Windowsgeraetedatei entweder absichtlich oder unabsichtlich geloescht wurde und entweder ordendlich entfernt oder neu aufgespielt werden soll. Ist wahrscheinlich ne' separate Baustelle durch meine Rumspielerei aber bin auch hier fuer einen Tip dankbar. Habe win98se. Antivir, e-scan, spyboot und ad-aware finden nix entsprechendes. Zuletzt Spyfinder.a durch Spyboot gefunden und angeblich eliminiert. Bin gespannt. Schoenes Wochenende Gruss bandog Geändert von bandog (05.09.2005 um 12:22 Uhr) |
04.09.2005, 17:16 | #2 |
| irgendwas ist faul, Hallo, aeh, sorry muss unten heissen findspy.a, nicht spyfinder.a
__________________Dann habe ich gerade gesehen das es zu meinem Problem schon einen Thread gibt http://www.trojaner-board.de/showthr...ight=findspy.a Allerdings hat es auf beide Postings 1x im Mai und dann im Juli keine Antwort gegeben. Ist ja komisch das Spybot den Trojaner schon so lange erkennt, aber noch nicht beseitigen kann. Ganz zu schweigen von AntiVir und E-scan. Gruss bandog |
05.09.2005, 07:41 | #3 |
| irgendwas ist faul, Nächstes mal bitte Links im Log auf H**P://www.blabla.de editieren sonst klickt wer drauf und hat sich was eingefangen ( ist aber auch ne art stammkunden zu bekommen XD )
__________________
__________________ |
05.09.2005, 12:24 | #4 |
| irgendwas ist faul, Hi, den muss ich uebersehen haben. Aber gefunden hast du auch nichts komisches, oder ? Sonst irgendwelche Ideen zu dem findspy.a ? Gruss bandog |
05.09.2005, 13:01 | #6 |
| irgendwas ist faul, Hi Chris, danke fuer Deine Antwort. E-scan up-date ich bei jeder I-net session, der findet nichts. Das System ist def. NICHT sauber. Mir ist noch was eingefallen. Entweder mit Spybot oder mit Ad-aware habe ich kuerzlich "Wareout" entfernt. Koennte sein, dass da noch etwas (oder auch "etwas mehr") uebriggeblieben ist. Die Geschichte mit den Programmen (Regseeker, freshdownload, hoster) die beim aufrufen die Windowsmeldung "Abbruch durch ungueltigen Vorgang" hervorrufen, hatte ich im Eingangsposting schon erwaehnt. Komisch ist das man mit diesen Programmen trotzdem ganz normal arbeiten kann, solange man diese Meldung nicht wegdrueckt oder mit OK bestaetigt. Kann das auch mit Spyware/Trojaner zusammenhaengen ? Gruss bandog |
06.09.2005, 13:22 | #7 |
| irgendwas ist faul, Hallo, gross ist die Resonanz auf meinen Thread ja gerade nicht. Ich habe mich natuerlich selber umgeschaut und bin mir jetzt ziemlich sicher, dass - wie gestern schon vermutet das Problem mit Wareout zusammenhaengt. Dazu gibt es ja diverses in den verschiedenen Foren. Mich wundert jetzt aber sehr, dass E-scan nichts mehr findet und ich habe mir verschiedene Beschreibungen angesehen - hier bei Tj-board aber auch woanders. Das klingt alles sehr kompliziert wie mwav.exe unter C:bases eingeben undsoweiter; Ich up-date mein e-scan indem ich unter "sonstiges" den up-date anklicke. Nachdem der download im Dos-Fenster durch ist schliesst sich dieses und ich klicke wieder unter "sonstiges", mache alle Haekchen und der Scan laeuft normal durch. Kann es sein dass ich dabei etwas falsch mache und so die up-dates dem Scan nicht zur Verfuegung stehen ??? Danke vorab. Gruss bandog |
06.09.2005, 13:26 | #8 |
Moderator, a.D. | irgendwas ist faul, Halte dich beim eScan einfach an die Anleitung, dann bekommst du a) bessere Ergebnisse b) weitere Antworten. Gruß Yopie |
06.09.2005, 13:33 | #9 |
irgendwas ist faul, das ist mir neu... allerdings nur, wenn escan beim richtigen ausführen wieder nix findet; wie wird der trojaner/wurm/virus bitte geladen? es gibt ja 5 möglichkeiten: 1.startmenü-autostart (wäre aufgeführt, wenn eintrag vorhanden) 2.registrierungseintrag run, runservices in HKLM und HKCU (wäre aufgeführt, wenn eintrag vorhanden) 3.winlogon notify (wäre aufgeführt, wenn eintrag vorhanden) 4.als treiber (nicht aufgeführt!) 5.systemdatei ersetzt, mitladung (nicht aufgeführt!) ich vermute, da escan den nicht erkannt hat hast du es hier mit einem neueren trojaner zutun der noch nicht erkannt wird. es wird zeit das wir heraus finden, welche dateien ersetzt wurden.. klicke auf start -> ausführen -> sfc eingeben Einstellungen Geänderte Dateien suchen (selektieren) Gelöschte Dateien suchen (selektieren) OK -> Starten Jetzt poste die dateinamen die verändert wurden. |
06.09.2005, 15:43 | #10 |
| irgendwas ist faul, Hallo Chris, werde ich heute abend so machen. Heisst das aus Deiner Sicht und nach meiner Beschreibung habe ich e-scan richtig ausgefuehrt ? Nur zur Klarstellung: Ich habe E-scan als Programm schon einige Zeit drauf und nach der Installation ist ja auch einiges gefunden worden. Ich hatte auch gesehen, das am Programm und der Anwendung Aenderungen/Vereinfachungen vorgenommen wurden. Und die Beschreibungen hier sind ja auch schon ein paar Tage aelter. @Yopie, meine Frage bezieht sich daher nur auf die Up-dates und ob da etwas schief gehen kann. Ich habe mir Cidres Anleitung noch mal durchgelesen und kriege da keine klare Antwort. Daher meine Frage und ich denke dass Du Dir nichts vergibts, mir darauf Deine Meinung zu meiner Vorgehensweise mitzuteilen, statt Selbstverstaendlichkeiten zu posten, die im Moment nicht weiterhelfen. Will heissen ich kann lesen und tue das auch ! Das heisst aber nicht zwangslaeufig, dass ich das gelesene auch - richtig - verstanden habe, gelle ? Gruss bandog |
06.09.2005, 15:47 | #11 |
Moderator, a.D. | irgendwas ist faul, Bei den Updates kann eigentlich nichts schiefgehen. Der Vorteil der Anleitung ist, dass du ein angepasstes Protokoll der Funde ins Forum posten kannst, und daraufhin massgeschneiderte Tips bekommst. Scannst du im abgesicherten Modus? Kein AV-Scanner erkennt alles, auch eScan nicht. Gruß Yopie |
06.09.2005, 16:18 | #12 |
| irgendwas ist faul, thks yopie, - gut zu hoeren; bei evtl. funden werd' ich dass dann nochmal lesen. - nein, soll/muss ich bei win98se ? - is' schon klar ! gruss bandog |
06.09.2005, 16:22 | #13 | |
Moderator, a.D. | irgendwas ist faul,Zitat:
Gruß Yopie |
09.09.2005, 12:24 | #14 |
| irgendwas ist faul, Hi, habe jetzt Gelegenheit gehabt weiterzumachen. Yopie, das ist z.B. so eine Sache wo ich mir unsicher war; das hab ich mit der Systemwiederherstellung in einen Topf geschmissen, die es ja bei win98se nicht gibt. Und da es keine - fuer mich ersichtlichen - Unterschiede im Ergebnis gab, egal ob ich im Normal- oder sicheren Modus e-scan ausgefuehrt habe, hatte ich es dann zuletzt nur im normalen Modus ausgefuehrt. Ich habe jetzt noch einmal, Anti-vir, spybot, ad-aware und e-scan upgedated und jeweils den Scan im sicheren Modus durchlaufen lassen, kein Programm hat etwas gefunden. Nach wie vor gehen ab und an die netten Fenster auf (yr comp. might be at risk, windows sec. center, balloon, etc) und smartsurfer oeffnet sich auch immer wieder allein (obwohl angeklickt ist, "nicht automatisch oeffnen"). Dazu ist das System nach wie vor sehr langsam. Chris, sfc hat ergeben das angeblich Notepad defect ist und es wurde vorgeschlagen die Systemdiskette einzulegen. Habe ich aber zunaechst mal mit ignorieren uebersprungen, da Notepad ohne Probleme laeuft. Ich koennte jetzt natuerlich abwarten was weiter passiert und ob demnaechst ein up-date der Schutzprogramme einen Fehler findet. Die Chancen stehen gut, denn ich lese immer haeufiger von den genannten Symptomen. Ich habe auch die Moeglichkeit ein 2 Monate altes Image neu aufzuspielen, und dann zu up-daten. Hat noch jemand eine Idee was ich jetzt tun koennte ? schoenes Wochenende bandog |
09.09.2005, 19:20 | #15 |
irgendwas ist faul, ok dann wirds zeit für silentrunners.vbs führe silentrunners aus. dann poste den inhalt der datei (dessen namen er am ende anzeigt) hier. |
Themen zu irgendwas ist faul, |
ad-aware, antivir, bho, computer, explorer, firefox, hijack, hijackthis, internet, internet explorer, langsam, microsoft, mozilla, mozilla firefox, neu, online, programme, registry, regseeker, rundll, rundll32.exe, sehr langsam, services, software, start, system, von selbst, windows |