|
Log-Analyse und Auswertung: HILFE! Unbekannte zugriffeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2006, 18:58 | #1 |
| HILFE! Unbekannte zugriffe Hallo zusammen, seit ein paar Tagen sendet mein Rechner kontinuierlich größere Datenmengen - und ich weiß nicht wohin. ZoneAlarm, AntiVir und Spybot haben nichts gefunden, allerdings kann ich diese Programme seither auch nicht mehr updaten! Wer kann mir helfen? Hier mein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:36:16, on 07.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_01\bin\jusched.exe C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hijack this\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot (Antitrojaner)\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Vielen Dank! Daniel |
07.01.2006, 19:09 | #2 |
| HILFE! Unbekannte zugriffe Hallo bela_centauri,
__________________Kann in deinem Logfile nichts ungewöhnliches entdecken. Wenn wirklich jemand von deimen PC aus ohne dein Wissen was versendet, könnte sich die Anwendung jedoch mit einem Rootkit verstecken. Lade dir deshalb mal die Beta Version von F-Secure Blacklight auf http://www.f-secure.de/blacklight/ runter,führe die Suche nach Rootkits durch und poste das Ergebnis
__________________ |
08.01.2006, 13:26 | #3 |
| HILFE! Unbekannte zugriffe Hallo Exciter,
__________________vielen Dank für Deinen Tipp. Ich habe die Beta-Version von F-Secure Flashlight runtergeladen und ausgeführt: "no hidden items found". Die Ergebnisse lassen sich leider nicht posten. Das Programm hat 34 Prozesse gefunden, aber alle einer vertrauenswürdigen Quelle zuordnen können. Dabei sendet mein Rechner weiter fleißig Daten. Hochgerechnet ca. 60 MB pro Stunde! Ich weiß wirklich nicht, was ich dagegen tun kann. |
08.01.2006, 13:30 | #4 |
| HILFE! Unbekannte zugriffe hallo, arbeite mal bitte Dieses punkt für punkt ab. les es dir aber vorher bitte in ruhe durch. halte dich genau an die anleitung und teile zum schluss das ergebniss der find.bat hier mit.
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
08.01.2006, 19:52 | #6 |
| HILFE! Unbekannte zugriffe Hallo hoerni26, hallo Wildone, erstmal vielen Dank für Eure Tipps! Ich brauche wohl noch ein wenig Zeit, um das Ergebnis der find.bat-Datei zu posten, aber das Logfile von TCPView liegt schon vor (kann das denn aussagekräftig sein, wenn doch immer wieder Prozesse geöffnet und geschlossen werden?): AVGNT.EXE:1244 TCP Panzerfaust:1025 localhost:18350 ESTABLISHED AVGUARD.EXE:1640 TCP Panzerfaust:18350 localhost:1025 ESTABLISHED firefox.exe:3144 TCP Panzerfaust:1037 localhost:1043 ESTABLISHED firefox.exe:3144 TCP Panzerfaust:1043 localhost:1037 ESTABLISHED firefox.exe:3144 TCP panzerfaust:1259 80.239.144.15:http ESTABLISHED firefox.exe:3144 TCP panzerfaust:1468 a193-45-3-40.deploy.akamaitechnologies.com:http ESTABLISHED lsass.exe:804 UDP Panzerfaust:isakmp *:* lsass.exe:804 UDP Panzerfaust:4500 *:* svchost.exe:1160 UDP Panzerfaust:1293 *:* svchost.exe:1284 UDP Panzerfaust:1052 *:* svchost.exe:1284 UDP Panzerfaust:1036 *:* svchost.exe:1324 TCP Panzerfaust:2869 Panzerfaust:0 LISTENING svchost.exe:1324 TCP panzerfaust:2869 fritz.box:3172 ESTABLISHED svchost.exe:1324 UDP Panzerfaust:1900 *:* svchost.exe:1324 UDP panzerfaust:1900 *:* System:4 TCP Panzerfaust:microsoft-ds Panzerfaust:0 LISTENING System:4 TCP panzerfaust:netbios-ssn Panzerfaust:0 LISTENING System:4 UDP Panzerfaust:microsoft-ds *:* System:4 UDP panzerfaust:netbios-dgm *:* System:4 UDP panzerfaust:netbios-ns *:* Freue mich auf Feedback! Bestes Daniel P.S. Der Name "Panzerfaust" ist ein Überbleibsel gelegentlicher Netzwerk-Ballerei in der Verganenheit. |
10.01.2006, 21:07 | #7 |
| HILFE! Unbekannte zugriffe Hallo Hoerni, habe bei der Anleitung zwar gleich beim ersten Punkt etwas falsch gemacht, nämlich escan runtergeladen und nicht MWAV, aber das habe ich durchlaufen lassen. Da Logfile offenbarte dies: Tue Jan 10 20:57:15 2006 => Total Objects Scanned: 22062 Tue Jan 10 20:57:15 2006 => Total Virus(es) Found: 6 Tue Jan 10 20:57:15 2006 => Total Disinfected Files: 0 Tue Jan 10 20:57:15 2006 => Total Files Renamed: 0 Tue Jan 10 20:57:15 2006 => Total Deleted Objects: 0 Tue Jan 10 20:57:15 2006 => Total Errors: 541 Tue Jan 10 20:57:15 2006 => Time Elapsed: 00:00:53 Tue Jan 10 20:57:15 2006 => Virus Database Date: 2006/01/10 Tue Jan 10 20:57:15 2006 => Virus Database Count: 162227 Tue Jan 10 20:56:49 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Tue Jan 10 20:56:49 2006 => Loading Spyware Signatures from new External Database (Size: 146571). Tue Jan 10 20:56:49 2006 => Indexed Spyware Databases Successfully Created... Tue Jan 10 20:56:50 2006 => Offending Key found: HKCU\Software\gnu !!! Tue Jan 10 20:56:50 2006 => Object "bearshare Spyware/Adware" found in File System! Action Taken: No Action Taken. Tue Jan 10 20:56:51 2006 => Offending file found: C:\WINDOWS\toolbar.exe Tue Jan 10 20:56:51 2006 => System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: No Action Taken. Tue Jan 10 20:56:55 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\fifa 2005\user\config.dat Tue Jan 10 20:56:55 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. Tue Jan 10 20:56:56 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\sonstiges\fifa 2004\user\config.dat Tue Jan 10 20:56:56 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. Tue Jan 10 20:57:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\fifa 2005\user\config.dat Tue Jan 10 20:57:03 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. Tue Jan 10 20:57:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\sonstiges\fifa 2004\user\config.dat Tue Jan 10 20:57:03 2006 => System found infected with startsurfing Spyware/Adware (config.dat)! Action taken: No Action Taken. Das hört sich nicht gut an. Was soll ich am besten tun? Grüße bela centauri |
Themen zu HILFE! Unbekannte zugriffe |
acrobat, adobe, antivir, application, bho, explorer, firefox, helfen, hijack, hijack this, hijackthis, hilfe!, internet, internet explorer, launch, logfile, microsoft, monitor, mozilla, mozilla firefox, nvidia, programme, spybot, system, system32, update, windows, windows xp |