|
Log-Analyse und Auswertung: Bitte um Unterstützung bei SystemreinigungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.09.2005, 21:42 | #1 |
| Bitte um Unterstützung bei Systemreinigung Hallo miteinander! Ich habe meinen Rechner heute mithilfe eines BartPE Systems (von CD) und diversen Tools gescannt und bin zu folgenden Ergebnissen gekommen: Antivirensoftware: AntiVirenKit 2005 (Kaspersky & BD Engine), AntiVir Personal, Bitdefender Es wurden von allen Engines keine Viren/Trojaner gefunden - dem immer laufenden AntiVir Guard sei Dank! :aplaus: Antispysoftware: Spybot S&D, Ad-Aware Es waren ein paar Tracking Cookies und Exploits (DSOExploits, WhenUSaveNow) dabei. Diese liessen sich aber ohne Probleme mit den beiden Programmen entfernen. :aplaus: Sonstige Scanner: RunAlyzer (SBSD compatible logfile), eScan (MWAV), HijackThis Bei der Analyse mit RunAlyzer habe ich auch nichts Verdächtiges festgestellt. Auch die Onlineauswertung des Hijack Log brachte keine aufregenden Erkenntnisse. Aber eScan macht mir Angst, denn es meldet, dass sich Spyware/Adware und Keylogger auf meinem System befinden sollen. Diese kann ich aber nirgendwo finden. Besonders der Keylogger gibt mir zu denken!!! Deshalb werde ich mal meine Logfiles posten, und möchte euch herzlich bitten, mich beim Aufspüren und Vernichten dieser kleinen Teufel zu unterstützen und mir zu sagen was ich tun kann um sie loszuwerden. Ich bin im Moment recht ratlos und mit meinem Latein am Ende! Mein System erschien mir bis zum eScan vollkommen sauber zu sein ... Schonmal vielen Dank im voraus für jede Unterstützung!!! Meine Logfiles ----------------------- Hijack This im Abgesichertem Modus Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 17:57:29, on 29.09.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\ESCAN\MWAVSCAN.COM C:\PROGRA~1\ESCAN\kavss.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\Software\SaiMfd.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127941420156 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\apachefriends\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) eScan im Abgesichertem Modus (Alle Fundstellen) Code:
ATTFilter Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Object "bearshare Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Object "FlashGet Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Object "PowerStrip Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Object "zipitpro Spyware/Adware" found in File System! Action Taken: Keine Aktion vorgenommen. Object "SpywareNo!/SpySheriff Commercial KeyLogger" found in File System! Action Taken: Keine Aktion vorgenommen. Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{2318C2B1-4965-11d4-9B18-009027A5CD4F}". Action Taken: Keine Aktion vorgenommen. Datei C:\Programme\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\etc\spsexec.exe markiert als not-a-virus:RiskTool.Win32.PsExec.13. Keine Aktion vorgenommen. "Flashget" benutze ich als Downloadmanager, wusste nicht, dass der gefährlich sein soll - oder gehts nur um die harmlose Werbung, die ich gern in Kauf nehme?!? "Powerstrip" benutze ich zum feintunen meiner Grafikkarte - das Programm hat aber keine Adware - ist das Programm jetzt wirklich gefährlich?!? "SpySheriff Commercial KeyLogger" macht mir richtig Sorgen? Was ist das und warum findet es kein anderer Scanner? Ich kann das nicht entfernen, weil ich nicht weiss wie und wo. Soll ich einfach mal die entsprechenden Registryeinträge suchen und löschen? "bearshare Spyware/Adware" - Kommentar siehe "SpySheriff Commercial KeyLogger" "zipitpro Spyware/Adware" - Kommentar siehe "SpySheriff Commercial KeyLogger" "mIRC" ist mir bekannt und ich denke, ich weiss mit den verborgenen Risiken dieser Software umzugehen. "C:\WINDOWS\system32\drivers\etc\spsexec.exe" - Ja moi, was ist denn damit nun wieder? Ich habe keine Ahnung .... ---------------------- Die Logfiles von AntiVirenKit 2005 (per BartPE c't Edt.), Ad-Aware und Spybot (beide im Abgesichertem Modus) hänge ich noch als .txt mit an.
__________________ Wenn der Computer alles kann, dann kann er mich mal kreuzweise! |
29.09.2005, 21:50 | #2 |
| Bitte um Unterstützung bei Systemreinigung__________________ |
29.09.2005, 22:07 | #3 |
| Bitte um Unterstützung bei Systemreinigung Danke riesurf, ich werde mich gleich mal ranmachen!
__________________Es bleiben aber noch einige Fragen offen und ich bin dankbar für weitere Antworten!!!
__________________ |
30.09.2005, 00:58 | #4 |
| Bitte um Unterstützung bei Systemreinigung Ähhh sorry fürs Doppelpost!! Ich wollte meinen letztes Posting editieren, aber fand keine Möglichkeit - da war kein Knopf zu sehen! (Edit: Bei diesem Posting isser nu wieder da ... ) Also ich habe mir alles zum Thema SpySheriff im Wintotal Forum durchgelesen und mein gesamtes Dateisystem & die Registry entsprechend durchsucht. Grad eben auch mal RegFreeze & Spy Sweeper scannen lassen. Ohne negativen Befund! Zusätzlich habe ich noch einmal von Hand alle "Run" & "RunOnce" Schlüssel der Registry durchsucht. Nichts besonderes gefunden. Ich schaue da auch eh jeden Tag nach und mir wäre bestimmt schon etwas ungewöhnliches aufgefallen. Da war aber nie etwas. Auch die System.ini ist absolut i.O.! Es ist also absolut nichts zu finden. Weder Reg-Einträge, noch irgendeine der dort genannten Dateien. Dazu kommt noch, dass ich auf meinem System auch keine der dort beschriebenen Symtome wahrnehme. Woher kommt also bloss die Warnmeldung von eScan? Ich verstehe das nicht ... zumal eScan angibt da wäre was im Dateisystem gefunden worden, verschweigt aber beharrlich wo die Teufel im Detail stecken. *grrr* Ich schau Morgen früh gleich wieder rein, in der Hoffnung dass inzwischen jemand einen guten Rat hier gepostet hat! Zu Hüüülfeeee, büdde büdde büdde!!!
__________________ Wenn der Computer alles kann, dann kann er mich mal kreuzweise! |
Themen zu Bitte um Unterstützung bei Systemreinigung |
adobe, antivir guard, avgnt.exe, bartpe, bho, confused, drivers, excel, explorer, gefährlich?, grafikkarte, hijack, hijack this, internet, internet explorer, kaspersky, keine ahnung, logfile, löschen, löschen?, object, programme, rundll, server, software, suche, träge, vielen dank, warum, werbung, windows, windows xp, windows\system32\drivers, yahoo |