|
Log-Analyse und Auswertung: Auch einmal RatlosWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.10.2005, 15:41 | #1 |
| Auch einmal Ratlos Hallo, ja nun habe ich auch mal eine Frage. Da ja, als ich im Krankenhaus verweilen musste, einige Personen auch an meinem Arbeitsrechner waren, haben sie einiges verstellt. Und ich bin nun, da zwei Monate Ausfall, nicht mehr ganz auf der Höhe der Zeit! Nun zur Sache, ich habe im Hijackthis, einen Eintrag, den ich nicht interpretieren kann. Ich vermute, weiß es aber nicht, dass das mit der Netzwerkeinstellung von VM ware zu tun hat, ich habe da „Use bridged networking“ eingestellt. So nun mein Log: Logfile of HijackThis v1.99.1 Scan saved at 16:28:28, on 01.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe H:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\system32\vmnat.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\clapton\Desktop\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119904152111 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing) Ja, mit dem Eintrag, kann ich nichts anfangen! Schon mal vielen Dank für die Hilfe. Liebe Grüße, Charlie und ein schönes WE. [edit] links entfernt [/edit]
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. Geändert von GUA (01.10.2005 um 23:05 Uhr) |
01.10.2005, 23:04 | #2 |
| Auch einmal Ratlos Hallo,
__________________ich hab zwar nicht viel Ahnung von dem allem (fast gar keine ^^), jedoch hab ich denLog einfach mal bei http://www.hijackthis.de/index.php?langselect=english eingegeben ... Also genau der Eintrag den du da hast der wird als "böse" angezeigt. Die engliche Beschreibung davon: These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it. Also meiner meinung nach solltest du dringendst fixen. Aber naja... vertrau mir selbst nicht ganz richtig ... vllt. gibt ja auch jemand anderes seine meinung noch dazu! Ich hoffe ich konnt en bissel helfen falls es richtig ist was ich hier geschrieben hab. Mfg contestedgenius
__________________ Geändert von contestedgenius (01.10.2005 um 23:37 Uhr) |
03.10.2005, 09:47 | #3 |
| Auch einmal Ratlos Hallo, erst einmal vielen Dank für deine Bemühungen.
__________________Ja, aber ich bin kein Freund der automatischen Auswertung, den die macht mir zu viele Fehler, positiv, sowie auch negativ. Was mich etwas irritiert ist, warum wird dieser Eintrag überhaupt erzeugt? Denn ich habe weder auf dem Hostsystem noch Gastsystem die Win-FW aktiviert, ja das ganze Sicherheitscenter ist bei beiden Systemen deaktiviert. Ja und mit fixen bin ich nicht so schnell, habe natürlich BA, auch sonst Sicherrungen, wie ein sauberes Image, aber ich möchte halt immer erst wissen was es ist und warum? Ja und machen tut das“Teil“ gar nichts, denn mein Sniffer zeigt keinerlei Aktivitäten, weder im LAN, noch im WAN! Ein HJT meiner Virtuellen Maschine folgt gleich, aber die muss ich erst mal starten. Also bis gleich, liebe Grüße, Charlie. Nachtrag: Logfile of HijackThis v1.99.1 Scan saved at 10:51:10, on 03.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\Explorer.EXE C:\Programme\VMware\VMware Tools\VMwareTray.exe C:\Programme\VMware\VMware Tools\VMwareUser.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\VMware\VMware Tools\VMwareService.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HJT\HijackThis.exe O4 - HKLM\..\Run: [VMware Tools] C:\Programme\VMware\VMware Tools\VMwareTray.exe O4 - HKLM\..\Run: [VMware User Process] C:\Programme\VMware\VMware Tools\VMwareUser.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Programme\VMware\VMware Tools\VMwareService.exe
__________________ Geändert von charlie1 (03.10.2005 um 09:52 Uhr) |
03.10.2005, 09:56 | #4 |
| Auch einmal Ratlos Hey charlie! Hau den Eintrag doch einfach raus. Der ist nicht böse sondern einfach überflüssig, weil die dazugehörige Datei schlichtweg fehlt. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
03.10.2005, 10:18 | #5 |
| Auch einmal Ratlos Hallo Cacatoa, ja die Datei muss ja fehlen, denn ich habe ja die FW’s abgeschalten. Aber das lustige ist, der Eintrag lässt sich mit HJT nicht fixen, Systemwiederherstellung ist deaktiviert, ja dass weiß ich noch. Meine Güte, über zwei Monate keinen PC unter den Fingern und man fängt von Vorne wieder an, dass hätte ich vor Monaten noch mit Links gemacht. Liebe Grüße und noch ein schönes Restwochenende, wünscht Charlie.
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
03.10.2005, 10:32 | #6 |
Administrator, a.D. | Auch einmal Ratlos Hi Charlie, nun enttäuscht du mich aber... Du weißt, daß es sich bei den O23 Einträge um Dienste handelt? Wie beendet man diesen Dienst? Genau... Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf 'Windows-Firewall/Gemeinsame Nutzung der Internetverbindung' -> Eigenschaften -> 'Starttyp' deaktiviert und 'Dienststatus' beenden einstellen -> Übernehmen Somit verschwindet auch der Eintrag...
__________________ --> Auch einmal Ratlos |
03.10.2005, 11:01 | #7 |
| Auch einmal Ratlos Danke Cidre, ich Rindvieh, und schon ist Ruhe in der Kiste, meine Güte Charlie, Charlie, welche Blamage!! Wer weiß, was die bei meiner OP noch so alles entfernt haben, sollte eventuell auf mein Gehirn ein gutes Backup aufspielen! Liebe Grüße, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
03.10.2005, 11:16 | #8 |
| Auch einmal Ratlos hey charlie1 Hast du schon irgendwelsche Einträge gefixt oder Dateien gelöscht? #PC neustarten & poste mal dein aktuelle HijackThis Log Gruss Expert |
03.10.2005, 12:03 | #9 |
| Auch einmal Ratlos Hallo @ All, da ich ja ein sturer Bock bin, gebe ich ja nicht zeitiger Ruhe, bis ich die Ursache gefunden habe, koste es, was es wolle, in dem Falle, halt zwei Tage. Nun habe ich es endlich, zwei Fehler meinerseits! Ich hatte bei VW ware Netzwerkeinstellungen, versehendlich, NAT eingestellt, oder es wurde in meiner Abwesenheit geändert. Bei dieser Einstellung nutzt das Gastsystem die Netzwerkeinstellungen des Hostbetriebssystems um mit dem Netzwerk oder Internet zu kommunizieren, das war die genaue Ursache, des Eintrages und kein Bug von HJT, sondern einer meinerseits. Es gibt ja für Alles eine Ursache und die will ich immer wissen, bin nu mal so, aber das mit den Diensten beenden ist mir jetzt noch peinlich, danke Cidre, dass hätte ich nun wirklich wissen müssen! LG, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
Themen zu Auch einmal Ratlos |
adobe, bho, dateien, desktop, dll, einstellungen, ellung, explorer, firefox, hijack, hijackthis, internet, internet explorer, log, logfile, mein log, microsoft, mozilla, mozilla firefox, personen, programme, ratlos, rundll, scan, security, security suite, software, system, tuneup utilities, vielen dank, windows, windows xp |