|
Log-Analyse und Auswertung: Trojaner onboard? Bitte Hilfe!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
19.11.2005, 12:00 | #1 |
| Trojaner onboard? Bitte Hilfe! Habe eben einen langen Salm geschrieben, was ich alles habe und was nicht, um alles zu erklären, aber dann hat es mich rausgeworfen, also nochmal kurz und schmerlos der Logfile von HiJack: Sorry jetzt nochmal ohne links, tut mir leid, bin irgendwie etwas nervös heute , also Logfile of HijackThis v1.99.1 Scan saved at 11:01:18, on 19.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\TBPanel.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\System32\CfgSrvc.exe C:\WINDOWS\System32\CfgSrvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-online.de/ F3 - REG:win.ini: load= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2D36AF92-04D3-11D8-B719-0000865F231B} (TMinReq Class) - h**ps://my.sabre.com/jars/TMinReqX.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121538682439 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - h**p://carpoint.msn.com/components/ocx/Survid/MSSurVid.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - h**ps://w*w-secure.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - h**p://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{47A2DDD0-83C5-413D-8BCE-3359BE5F9B1E}: NameServer = xxxx O17 - HKLM\System\CCS\Services\Tcpip\..\{5AA578B9-A923-4097-8A90-7E0D7E62EA6E}: NameServer = xxxx O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Config Service Helper (CfgSrvc) - Unknown owner - C:\WINDOWS\System32\CfgSrvc.exe O23 - Service: HSSP Configuration Module (HsspConfig) - Unknown owner - C:\WINDOWS\System32\CfgSrvc.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Geändert von wombiroo (19.11.2005 um 12:12 Uhr) |
19.11.2005, 12:07 | #2 |
| Trojaner onboard? Bitte Hilfe! @wombiroo
__________________du schreibst nicht viel über dein problem. lasse diesen datei C:\WINDOWS\System32\CfgSrvc.exe hier überprüfen http://virusscan.jotti.org/de/ und poste das ergebnis chaosman
__________________ |
19.11.2005, 12:42 | #3 |
| Trojaner onboard? Bitte Hilfe! So, also bei Jotti wurde nichts gefunden unter der "CfgSrvc.exe"
__________________Jetzt schreibe ich mal im Editor, denn bei meiner ersten langen Erklärung bin ich irgendwie rausgeflogen: Problem: - Seit 4 Wochen ist das Papierkorbsymbol bei Start immer weg und lässt sich per Desktop anpassen wiederherstellen - Compi wird immer langsamer - hat irgendwann einmal sehr lange gerödelt, dachte das wäre Norton-Liveupdate im Hintergrund - Ich kann die Dateien aus dem Norton-Nprotect-Ordner nicht löschen, obwohl tausendmal probiert und auch auch Protection entfernt und und - Maus geht oft nachschleppend (so wie bei pc-anywhere, wenn der andere festhält - habe aber def. kein remote-zeugs auf diesem Gerät und auch noch nie gehabt) - Nach Bildschirmschoner braucht er 3-5Minuten zum "erwachen" und dann auch nur stockend mit schwarzen Bereichen, die nach und nach verschwinden - Wollte gestern deshalb mal Defragmentieren, und die HDD war zu 99% voll! Von 60GB waren 44GB alleine für die Systemwiederherstellung verbraucht, was über "WinDirStat" festgestellt habe, ich selber brauche nur 15GB mit meinem Kram - und zwar wird seit ca. 4 Wochen für jeden Punkt zunehmend mehr Platz bis zu 4GB verwandt - Datenträgerbereinigung geht auch nichtmehr, da kann ich warten auf Godot... - da die Wiederherstellung ohnehin zu KEINEM Punkt nicht mehr geht, habe ich diese deaktiviert, der Speicher wird ja angeblich gelöscht und siehe da, 15GB besetzt, und die üblichen 44GB sind frei, - aber Porbleme s.o. sind noch vorhanden... Lösungsversuche: - Adaware6.0 hat Alexa gefunden und angeblich harmlose MRU-Vorgänge, habe ich in Quarantäne gesetzt und dann auch den Schlüssel dafür in der Reg. gelöscht - Spybot hat nix gescheites dolles gefunden, eben auch nur Alexa und ein paar Programmbibiliothekenreste von alten Programmen (dies über die "Werkzeuge", aber nicht bedenklich eingestuft) - CWS hat beim Scan "ucmoretoolbar" gefunden und gelöscht - die automatische Auswertung von HijackThis machte mich auf den og. CfgSrvc.exe aufmerksam und damit kam ich eben zu Euch - gerade eben Jotti-Scan gemacht, der hat nichts gefunden, weshalb ich den Report hier nicht reinsetzen muss, oder? Idee: - soll ich mal eine ältere Version von HiJack nehmen, 1.98 oder so? Also erstmal find ichs toll, daß man hier sooo schnell geholfen wird, und das mit den links beim ersten mal tut mir leid! Wer lesen kann und es auch tut ist eben echt im Vorteil...;-) Hoffe auf weitere Hilfe, bevor ich den Apparat hier plattmache (btw. die XP-Reparatur wird mir ja erstmal auch nicht weiterhelfen...) Danke im voraus, w. |
19.11.2005, 15:28 | #4 |
| Trojaner onboard? Bitte Hilfe! Jetzt ist mir noch eine Fehlfunktion aufgefallen: Wenn man unter Systemsteuerung/Software öffnet, dann werden brav alle Programme aufgelistet, aber die drei Felder oben links "was man tun will", also "Prog. hinzufügen etc." erscheinen ohne jegliche Beschriftung und produzieren auch keine Sprechblasen mehr... was tun? Danke im voraus, w. |
21.11.2005, 10:17 | #5 |
| Trojaner onboard? Bitte Hilfe! Bin anscheinend leider hier untergegangen hat noch einer eine Idee? Würde mich über Hilfe freuen... Gruß.w. |
Themen zu Trojaner onboard? Bitte Hilfe! |
adobe, adobe reader, antivirus, askbar, bho, dll, drivers, einstellungen, explorer, fritz!, gainward, hijack, hijackthis, internet, internet explorer, internet security, logfile, monitor, nvidia, object, registry, rundll, security, security center, settings manager, software, symantec, system, temp, trojaner, windows, windows xp |