Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bitte mal drüberschaun

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.03.2006, 12:41   #1
xenid
 
bitte mal drüberschaun - Frage

bitte mal drüberschaun



hallo

ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir anti-spyware-tools verkaufen wollen, ich denke ihr kennt dies problem.

mein hijackthis-log ist meiner meinung nach sauber. (außer dieses O2 ist mir neu.)
mein antivir hat zwar drei trojaner gefunden ("TR/FakeAlert.AA", "TR/Dldr.Zlob.go.2", "TR/Drop.Zlob.GW.1"), welche aber anscheinend auch problemlos gelöscht wurden.

naja... lange rede kurzer sinn, schaut sich jemand bitte mal mein log an, damit ich wenigstens das ausschließen kann. und vielleicht hat ja noch wer nen klasse einfall, was es sein kann und wie ich am besten vorgehe.

Danke! xenID

ps: vielleicht ein wichtiger hinweis.
es öffnen sich seit diesem problem auch immer ie-popup-fenster, obwohl ich den firefox nutze, der den popup-blocker als aktiv geschaltet hat.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:26:46, on 08.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
E:\programme\palm\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Media Player Classic\mplayerc.exe
E:\messengers\Trillian\trillian.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HijackThis startup scan] E:\programme\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: HotSync Manager.lnk = E:\programme\palm\HOTSYNC.EXE
O4 - Global Startup: 3D!Turbo 2000.lnk = C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F4715A2-843F-453B-AC55-48ABE02A5347}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

Alt 08.03.2006, 12:47   #2
hoerni26
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



hallo,

dein logfile ist deiner meinung nach sauber..
aber ich denke das es das nicht ist.
lasse bitte diesen eintrag:

C:\WINNT\system32\nvctrl.exe

online bei jotti prüfen und teile das ergebniss bitte hier mit..
__________________

__________________

Alt 08.03.2006, 13:11   #3
xenid
 
bitte mal drüberschaun - Pfeil

bitte mal drüberschaun



thx vorerst... mach mich dran.
__________________

Alt 08.03.2006, 13:17   #4
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
besorge dir noch folgendes Tool, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt.
Außerdem löschst du deine Temp-Dateien mit cleanup! und machst dann mal noch folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren.



Grüße Wildone

Alt 08.03.2006, 13:20   #5
xenid
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



wer ist jotti?

aber bei "virus-total" sagt mir das ergebnis:

Zitat:
AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.07.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.08.2006 Generic.Malware.Ssp.C7FED2B2
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.08.2006 no virus found
eTrust-InoculateIT 23.71.96 03.08.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.08.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.08.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.08.2006 no virus found
McAfee 4712 03.07.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 Suspicious file
Sophos 4.03.0 03.08.2006 no virus found
Symantec 8.0 03.08.2006 no virus found
TheHacker 5.9.5.108 03.07.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.08.2006 no virus found
was mach ich nun mit dem "Generic.Malware.Ssp.C7FED2B2" ... kann ich die datei einfach löschen?


Alt 08.03.2006, 13:24   #6
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
arbeite mal das ab was ich gepostet habe, sowohl die nvctrl.exe als auch die mssearchnet.exe sind Trojaner, werden aber normalerweise automatisch von dem oben genannten Tool gelöscht.

P.S. Schwarz ist mir als Farbe für Schrift am liebsten...


Grüße Wildone

Alt 08.03.2006, 13:25   #7
xenid
 
bitte mal drüberschaun - Standard

datbat-logs



die datbat-sache hab ich schon da...
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT\system32

08.03.2006 13:27 5.032 ncompat.tlb
08.03.2006 12:46 429 datFind.bat
08.03.2006 09:22 6.656 msvol.tlb
07.03.2006 18:46 16.408 nvctrl.exe
07.03.2006 18:46 4.286 ot.ico
07.03.2006 18:46 4.286 ts.ico
07.03.2006 18:46 9.864 mssearchnet.exe
07.03.2006 18:39 14.949 dfrgsrv.exe
27.02.2006 20:51 100.352 dfrg.msc
23.02.2006 13:06 192.184 FNTCACHE.DAT
27.01.2006 20:27 115 EPPICResdb
27.01.2006 20:27 4.543 EPPICResdb0000
18.01.2006 13:05 57.344 avsda.dll
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\DOKUME~1\xenid\LOKALE~1\Temp

08.03.2006 12:15 137 live.smil-1.smi
08.03.2006 01:47 21.176 deadidas.bmp
08.03.2006 01:47 8.118 peanuts.bmp
08.03.2006 01:47 8.118 doodle.bmp
07.03.2006 19:03 10.134 dat63.tmp
07.03.2006 13:28 174 WMF4.tmp
07.03.2006 13:20 25.063 Zeichng1_1_1_3891.bak
07.03.2006 12:24 2 Twain001.Mtx
07.03.2006 12:23 156 Twunk001.MTX
07.03.2006 12:23 0 Twunk002.MTX
07.03.2006 12:23 219 TWAIN.LOG
06.03.2006 21:30 0 lt1F.tmp
06.03.2006 15:25 1.015.809 PNX4.tmp
06.03.2006 09:25 137 live.smil.smi
02.03.2006 20:54 122 8A56EAB7.TMP
01.03.2006 15:26 137 live.smil-16.smi
12.10.2004 11:14 57.344 InstHelp.dll
17 Datei(en) 1.146.846 Bytes
0 Verzeichnis(se), 4.526.710.784 Bytes frei
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT

08.03.2006 13:29 1.628 wincmd.ini
08.03.2006 12:48 746.716 ShellIconCache
08.03.2006 11:22 155 winamp.ini
08.03.2006 03:35 32.632 SchedLgU.Txt
08.03.2006 01:38 778 wininit.ini
07.03.2006 19:32 71.268 ntbtlog.txt
06.03.2006 17:30 69 NeroDigital.ini
05.03.2006 19:56 1.771 cdplayer.ini
01.03.2006 08:53 645.220 setupapi.log
28.02.2006 21:40 12.862 EPISMG00.SWB
28.02.2006 19:37 1.664 ModemLog_TOSHIBA Software Modem AMR.txt
22.02.2006 21:06 3.312 tm.ini
22.02.2006 21:05 140 tdf.dii
22.02.2006 20:57 1.376 win.ini
07.02.2006 17:36 238 ODBC.INI
30.01.2006 20:45 1.364.022 ACD Wallpaper.cmp
17.01.2006 20:18 4.118 Active Setup Log.txt
Zitat:
Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\

08.03.2006 13:32 0 sys.txt
08.03.2006 13:31 8.891 system.txt
08.03.2006 13:31 1.133 systemtemp.txt
08.03.2006 13:29 103.735 system32.txt
08.03.2006 09:18 536.870.912 pagefile.sys
04.02.2006 10:40 4 timestmp.tmp
22.12.2005 00:32 13.030 PDOXUSRS.NET
27.08.2005 13:29 856 flashplayer.xpt
31.07.2004 21:36 216.096 ntldr
31.07.2004 21:36 34.724 NTDETECT.COM
22.07.2004 16:54 192 boot.ini
22.07.2004 16:05 0 IO.SYS
22.07.2004 16:05 0 CONFIG.SYS
22.07.2004 16:05 0 MSDOS.SYS
22.07.2004 16:05 0 AUTOEXEC.BAT
19.06.2003 11:05 163.840 arcsetup.exe
19.06.2003 11:05 150.528 arcldr.exe
17 Datei(en) 537.563.941 Bytes
0 Verzeichnis(se), 4.526.702.592 Bytes frei
so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch, aber ich vertrau mal drauf und mach was man mir hier rät.

soweit xenID

ps:farbe geändert

Alt 08.03.2006, 13:30   #8
Wildone
 
bitte mal drüberschaun - Standard

bitte mal drüberschaun



Hallo,
Zitat:
so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch,
Tja, du kannst das system auch neu aufsetzen, dann brauchst du keine Tools verwenden.
Es wäre übrigens besser gewesen du das ganze auch in der Reihenfolge abgearbeitet hättest wie ich es gepostet habe, habe mir dabei schon etwas gedacht.

P.S. Warum hast du die datfind.bat im System32 Ordner gespeichert, der ist normalerweise nur für Systemdateien und Viren reserviert.

Grüße Wildone

Antwort

Themen zu bitte mal drüberschaun
acrobat, adobe, adobe reader, aktiv, antivir, bho, confused, dateien, drivers, explorer, firefox, gelöscht, hijack, internet, internet explorer, logfile, mein log, microsoft, mozilla, mozilla firefox, programme, rojaner gefunden, seite, seiten, software, system32, trillian, trojaner, trojaner gefunden, update, usb, windows




Ähnliche Themen: bitte mal drüberschaun


  1. Keine Fehler, please trotzdem einmal drüberschaun
    Log-Analyse und Auswertung - 13.05.2012 (2)
  2. hijackthis.log bitte mal drüberschaun
    Mülltonne - 28.10.2007 (0)
  3. bitte über hijackthis.log drüberschaun
    Log-Analyse und Auswertung - 10.08.2007 (3)
  4. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  5. Ich bin verzweifelt bitte um Dringende Hilfe Bitte bitte
    Plagegeister aller Art und deren Bekämpfung - 08.01.2007 (11)
  6. Bitte dringen drüberschaun
    Log-Analyse und Auswertung - 29.11.2006 (4)
  7. Bitte bitte bitte kann mir jemand das HJThis-logfile übersetzen ?!
    Log-Analyse und Auswertung - 10.08.2006 (6)
  8. Logfile überprüfen bitte!!Weiß nicht weiter!!BITTE BITTE
    Log-Analyse und Auswertung - 18.03.2006 (10)
  9. Bitte BITTE bitte HILFE log-file
    Log-Analyse und Auswertung - 18.01.2006 (1)
  10. Bitte einmal Drüberschaun!
    Log-Analyse und Auswertung - 01.11.2005 (1)
  11. Schnauze voll von Aurora.brauche dringend hilfe bitte bitte
    Log-Analyse und Auswertung - 08.08.2005 (2)
  12. Bitte ma drüberschaun...
    Log-Analyse und Auswertung - 09.06.2005 (2)
  13. Hijack-This Logfile plz ma drüberschaun.
    Log-Analyse und Auswertung - 03.05.2005 (5)
  14. Kann ma wer kurz drüberschaun?
    Log-Analyse und Auswertung - 27.04.2005 (3)
  15. Könnte jemand mal drüberschaun?
    Log-Analyse und Auswertung - 16.02.2005 (2)
  16. Bitte Bitte Bitte Hilfe!!! Trojaner
    Log-Analyse und Auswertung - 10.11.2004 (1)
  17. Bitte mal drüberschaun - THX!
    Log-Analyse und Auswertung - 29.10.2004 (1)

Zum Thema bitte mal drüberschaun - hallo ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir - bitte mal drüberschaun...
Archiv
Du betrachtest: bitte mal drüberschaun auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.