|
Log-Analyse und Auswertung: Hier stimmt was nicht.....Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
02.01.2006, 00:35 | #1 |
| Hier stimmt was nicht..... Hallo Leute, Irgend etwas stimmt nicht mit meinem Rechner. Antivir funktioniert nicht mehr. Habe das Gefühl ich kann auch nicht mehr auf die Antivir Webseite zugreifen und updates laden (Mag ich mir einbilden). Alle Nase lang öffnet sich ein Fenster und will ein File downloaden: b..php von w**.cansew.ca Hier ist ein aktueller Logfile, ich hoffe ihr könnt mir hier aus der Patsche helfen. Schon mal Dankeschön Batto Logfile of HijackThis v1.99.1 Scan saved at 23:07:44, on 01/01/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe C:\WINDOWS\system32\pctspk.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\anti_troj.exe C:\WINDOWS\system32\winlog.exe C:\Program Files\TCM\TCM Mouse Only\MouseDrv.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\anti_troj.exe C:\WINDOWS\system32\winlog.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE D:\ADownload\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.co.uk/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [CR INSPECTOR] C:\Program Files\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKLM\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O4 - HKLM\..\Run: [WireLessMouse] C:\Program Files\TCM\TCM Mouse Only\MouseDrv.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Systems.exe] D:\KGB Spy\Systems.exe O4 - HKCU\..\Run: [anti_troj] C:\WINDOWS\system32\anti_troj.exe O4 - HKCU\..\Run: [key2] C:\WINDOWS\system32\winlog.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_sit e.cab?1124643474266 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_sit e.cab?1124643457121 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) |
02.01.2006, 02:05 | #2 |
| Hier stimmt was nicht..... Hallo Batto,
__________________eine saubere Bereinigung ist IMHO kaum möglich, da durch diverse Würme Dein Antivir-Programm abgeschaltet wurde. Dadurch wurde noch mehr "nachgeladen". Mein Rat: http://www.trojaner-board.de/showthread.php?t=12154 dartus
__________________ |
09.01.2006, 00:07 | #3 |
| Hier stimmt was nicht..... Hi Dartus,
__________________Danke für deine Antwort. Ich habe sofort formatiert und Windows neu aufgesetzt. (Hat ein wenig gedauert bis alles wieder halbwegs lief) Meine Daten lagen alle auf der D Partition (Desktop, Eigene Daten usw). Muss ich davon ausgehen, dass auch dort Daten manipuliert worden sind? Ich habe die Daten ersteinmal auf DVD kopiert und würde die wichtigsten Sachen gerne wieder einspielen. Ist das riskant und gibt es eine Möglichkeit diese daten vorher gründlich zu scannen. Batto |
09.01.2006, 00:17 | #4 |
| Hier stimmt was nicht..... Hallo Batto, sofern sich auf Deiner Sicherungskopie keine ausführende Dateien befinden (z.B. "exe" usw), sollte es kein Problem sein. Zur Vorsicht mit einem Virenscanner mit aktuellen Signaturen vor der Überspielung prüfen. dartus
__________________ Kein Support per PN |
09.01.2006, 00:49 | #5 |
| Hier stimmt was nicht..... Hi Dartus, Muss noch einmal nachhaken. Die Daten waren zum Zeitpunkt der Virusattacke auf dem Rechner. Ich hatte jedoch die Festplatte in eine C und eine D Partition geteilt. Auf der C Partition war das Betriebssystem und die Programme installiert. Alle Daten ( bis auf die Outlook pst Datei) befanden sich auf der D Partition. Mit einem Hilfsprogramm (Powertools) wurden Desktop, Eigene Daten usw dann umgelenkt. Ich frage mich nun, ist der Virus oder was auch immer auf meinem Rechner getobt hat, so schlau und hat die Daten dort gefunden und evtl infiziert? Inzwischen habe ich die Daten auf DVD gespeichert und lasse nun alle möglichen Virenscanner darüber laufen. Bislang sieht es so aus als ob sie clean sind. Batto |
09.01.2006, 00:57 | #6 |
| Hier stimmt was nicht..... Wo Du die Daten hast, also ob auf Partition X, Y oder Z, ist erstmal egal. Wie bereits geschrieben, sollte man ausführbaren Dateien nicht Vertrauen. Sind diese aber überlebensnotwendig, kann man, wie Du es getan hast, diese mit Virenscannern, welche eine aktuelle Signatur haben, scannen. Ein gewisses Restrisiko bleibt.
__________________ --> Hier stimmt was nicht..... |
22.01.2006, 18:21 | #7 |
| Hier stimmt was nicht..... Hello again! Nachdem ich das System neu aufgesetzt habe sieht es nun so aus: Logfile of HijackThis v1.99.1 Scan saved at 17:11:12, on 22.01.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe C:\WINDOWS\System32\pctspk.exe C:\WINDOWS\System32\ESB.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\ADownload\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://xxx.google-de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CR INSPECTOR] C:\Programme\Generic\USB Card Reader Driver v1.8d\CR INSPECTOR.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.8d\Disk_Monitor.exe O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [ESB] C:\WINDOWS\System32\ESB.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe +c O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich frage mich nun, ob da noch immer ein Virus oder Backdoor Programm im Hintergrund auf meinem System läuft. Könnt ihr etwas erkennen? Es ist noch ein ziemliches Durcheinander, zB habe ich neben AntiVir noch den Kaspersky drauf. Antivir ist deaktiviert. Ich habe das Gefühl das Kaspersky das System zusehens verlangsamt. Ist das Programm wirklich so gut, dass ich das in Kauf nehmen sollte? Wie immer bin ich für eure Meinung dankbar Thks Batto |
22.01.2006, 19:34 | #8 |
| Hier stimmt was nicht..... hallo, also wenn das hier dein logfile nach einem Neuaufsetzen ist dann kann ich nix mehr sagen.. hier laufen 2 virenprogramme gleichzeitig,die du vor allem ja installiert haben musst.. und vor allem fehlt hier das SP2 !! wo ist dieses?? im link steht alles beschrieben,bist du der beschreibung gefolgt??
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
Themen zu Hier stimmt was nicht..... |
adobe, antivir, bho, canon, excel, explorer, file, generic, hijack, hijackthis, ics, internet, internet explorer, logfile, microsoft, nvidia, realplayer, rundll, software, system, system32, updates, usb, windows, windows xp, öffnet |