| |
| |||||||
Log-Analyse und Auswertung: Anwendungen öffnen csrss ctfmon usw...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.12.2005, 19:36
| #1 |
| |  Anwendungen öffnen csrss ctfmon usw... Hallo, ich hatte nach vielem durchlesen hier mit hilfe von MWAV den search.exe rausschmeissen können, kann nun nix mehr schlimmes finden. Ich hab allerdings immernoch ein kleines Problemchen, das noch nicht abgestellt ist. ZoneAlarm-Meldungen: Bei jedem starten von WIN: Concony Multimediaiver versucht C:\WINDOWS\SYSTEM32\ddwin.exe oder ein anderes Programm zu verwenden, um Zugriff auf berechtigte Ressourcen zu erhalten. Nur gelegentlich bei Start vom Editor oder irgend anderen Programmen: EDITOR versucht mit hilfe von Windowsmeldungen mit EXPLORER.EXE zu kommunizieren, um Tastatureingaben zu dokumentieren. Einige sporadische Meldungen ähnlich wie diese: hijackthis.exe versucht durch öffnen mit dem Prozess ctfmon zu kommunizieren. oft auch mit Prozess smss und csrss und spoolsv betrifft nicht speziell hijackthis.exe sondern beliebige andere Programme. Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 18:09:30, on 16.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\ZoneLabs\isafe.exe C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\Dit.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\ScanWizard 5\ScannerFinder.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trillian\trillian.exe D:\hjt\1-99-1\hjt.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O4 - Global Startup: BlueSoleil.lnk = ? O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ps: O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145 das hier sagt mir nix, nur wenn ich diese Einträge mit HJT lösche, dann werden verschiedene Internetseiten einfach nicht mehr gefunden. Wenn ich den Eintrag wieder restauriere, gehen diese Seiten wieder. Bitte um Hilfe oder Info, ob diese ZoneAalarm-Meldungen normaaal sind oder ob daran was faul ist. Grüße Oli |
| Themen zu Anwendungen öffnen csrss ctfmon usw... |
| adobe, antivir, avg, bho, computer, excel, google, hijack, home, internet, internet explorer, microsoft, mssql, nvidia, programm, programme, prozess, rundll, server, starten, system, tastatureingaben, tiere, träge, windows, windows xp |
Baum-Darstellung