Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ist das ein Virus??

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 24.09.2005, 20:29   #1
Bauleiter111
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



Hallo zusammen,

habe ein Problem wie viele andere auch hier, wie ich gelesen habe. Muß vorher sagen, das ich keine große Ahnung von Computern habe aber bisher gelesen habe, man sollte diesen Logfile erstellen und hier angeben. ich hoffe das ist richtig so. Also das Problem ist, wenn ich den Pc hochfahre dauert es fast 5 Minuten ehe er einsatzbereit ist. Was mir noch auffiel, früher beim hochfahren musste ich kein Passwort etc. eingeben, da ist der Komplett hochgefahren. Nun zeigt er mir eine Maske an, die ich dann weiterdrücken muss (Passwort). Wen ich ca. 10 min im Internet bin, hängt ersich auf und es lassen sich keine Seiten mehr aufrufen, gehe ich dann auf trennen, fährt er sich ganz von alleine runter. Nach dem Hochfahren erscheint dann das mit dem schwerwiegenden Fehler, dort steht dann folgendes drin.

BCCode : b8 BCP1 : 00000000 BCP3 : 00000000
BCP4 : 00000000 OSVer : 5_1_2600 SP : 2_0 Product : 768_1

Ich hoffe irgendjemand kann mir helfen. Ach so, Norton Antivirus hat nichts gefunden.
Hatte woanders schon erfahren das mit der Datei
C:\WINDOWS\system32\wintime.exe etwas nicht stimmt, kann sie aber nicht finden, auch nicht mit dem verstellen der Ordneroptionen. Wäre schön, wenn jemand eine Lösung hätte.

Logfile of HijackThis v1.99.1
Scan saved at 17:51:58, on 24.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Bas
is2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Bas
is2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Bas
is1\ToADiMon.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BASIS-SOFTWARE\BAS
IS2\UPDATE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\Rar$EX00.687\HijackThis.ex
e

O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Bas
is1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOC
OCKPIT.EXE /nosplash
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: tempweg.bat
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted IP range: 64.127.104.144
O15 - Trusted IP range: 64.127.104.144 (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-0
7046F351EFA}: NameServer = 217.237.151.33 217.237.149.225
O21 - SSODL: System - {3557805E-3573-44CE-98DB-87BE82C1F9DF} - C:\WINDOWS\system32\system32.dll (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

Alt 24.09.2005, 20:35   #2
felix1
/// Helfer-Team
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



Lasse die Datei
C:\WINDOWS\system32\wintime.exe

hier prüfen
http://virusscan.jotti.org/de/

und teile das Ergebnis mit.
__________________


Alt 24.09.2005, 20:44   #3
Bauleiter111
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



Wie schon geschrieben, ich finde die Datei bei mir nicht. Ich weiß auch nicht warum, habe die Ordneroptionen schon alle umgestellt, aber nichts.
__________________

Alt 24.09.2005, 20:50   #4
Cidre
Administrator, a.D.
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



@ Bauleiter111

Vermutlich wurde diese Datei schon gelöscht, da diese auch nicht unter den laufenden Prozessen zu finden ist und somit existiert nur noch dieser verwaiste Schlüssel in der Registry.

Wäre eine Möglichkeit...

Scanne sicherheitshalber mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.
__________________
Gruß, Cidre


Alt 24.09.2005, 20:54   #5
felix1
/// Helfer-Team
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



Fixe mit HJT erstmal:

O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) -
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted IP range: 64.127.104.144
O15 - Trusted IP range: 64.127.104.144

Mache anschliessend einen escan. Halte Dich genau an die Anleitung und poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.com/showthread.php?t=17492


Alt 25.09.2005, 02:04   #6
Bauleiter111
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



So, hat etwas länger gedauert, ich poste mal das Ergebnis es Scans, aber nur infected files, weil es sonst zu viel wäre, über 7 MB. Ich hoffe, es kann jemand was damit anfangen und mir helfen.

Sat Sep 24 23:06:14 2005 => System found infected with eDonkey2000 Spyware/Adware ({320154BB-D666-48F6-990E-172B32954620})! Action taken: No Action Taken.
Sat Sep 24 23:06:14 2005 => System found infected with FlashGet Spyware/Adware ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: No Action Taken.
Sat Sep 24 23:06:14 2005 => System found infected with FlashGet Spyware/Adware ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: No Action Taken.
Sat Sep 24 23:06:39 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sat Sep 24 23:06:59 2005 => System found infected with Lop.com Spyware/Adware (install.htm)! Action taken: No Action Taken.
Sat Sep 24 23:17:49 2005 => File C:\erikxx.chm infected by "Trojan.Win32.Dialer.ce" Virus! Action Taken: No Action Taken.
Sun Sep 25 00:31:33 2005 => File C:\WINDOWS\hosts1.txt infected by "Trojan.Win32.Qhost.m" Virus! Action Taken: No Action Taken.
Sun Sep 25 01:15:49 2005 => ***** Scanning complete. *****

Sun Sep 25 01:15:49 2005 => Total Objects Scanned: 91485
Sun Sep 25 01:15:49 2005 => Total Virus(es) Found: 16
Sun Sep 25 01:15:49 2005 => Total Disinfected Files: 0
Sun Sep 25 01:15:49 2005 => Total Files Renamed: 0
Sun Sep 25 01:15:49 2005 => Total Deleted Objects: 0
Sun Sep 25 01:15:49 2005 => Total Errors: 420
Sun Sep 25 01:15:49 2005 => Time Elapsed: 02:10:37
Sun Sep 25 01:15:49 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 01:15:50 2005 => Virus Database Count: 151043

Sun Sep 25 01:15:50 2005 => Scan Completed.

Sun Sep 25 02:00:29 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 02:00:29 2005 => Virus Database Count: 151043

Alt 01.10.2005, 20:39   #7
Bauleiter111
 
Ist das ein Virus?? - Standard

Ist das ein Virus??



Kann mir hier vielleicht doch noch jemand helfen?

Antwort

Themen zu Ist das ein Virus??
5 minuten, antivirus, aufrufe, bho, computer, computern, drivers, explorer, fehler, firefox, helper, hijack, hijackthis, hängt, internet, internet explorer, internet security, ist das ein virus?, logfile, mozilla, mozilla firefox, problem, security, settings manager, software, symantec, system, t-online, temp, usb, virus, windows, windows xp





Zum Thema Ist das ein Virus?? - Hallo zusammen, habe ein Problem wie viele andere auch hier, wie ich gelesen habe. Muß vorher sagen, das ich keine große Ahnung von Computern habe aber bisher gelesen habe, man - Ist das ein Virus??...
Archiv
Du betrachtest: Ist das ein Virus?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.