|
Log-Analyse und Auswertung: Bitte HJT überprüfen! Keine besonderen Vorfälle...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.05.2006, 23:10 | #1 |
/// TB-Ausbilder | Bitte HJT überprüfen! Keine besonderen Vorfälle... Hallo, bei mir häufen sich in letzter Zeit ein wenig eigenartige Vorfälle, die sich zwar alle einzeln erklären lassen mich aber insgesamt doch etwas unruhig schlafen lassen, da ich derzeit internetbanking benutze. Vorfall 1) Windows braucht bis zu 10 min um ausm Standby wieder hochzufahren, google sagt, dass das eine Microsoftmacke ist und man da bisher nichts gegen tun kann. Hochfahren tut er ganz normal. Vorfall 2) Letzten Montag und gestern entfleuchte meinem Rechner aufeinmal ein durchdringender Ton, der sich nur durch Neustarten abstellen lies. Hier würde ich eher auf nen kaputten Lautsprecher tippen, aber es sammelt sich eben an Vorfall 3) Firefox und Thunderbird hängen sich in letzter Zeit häufiger auf, insbesondere beim Thunderbird geschieht es mittlerweile etwa alle 5 Tage. Da Vorsicht die Mutter der Porzellankiste ist, dachte ich such mir bei euch ein wenig Rückenstärkung gegen mein unruhiges Gewissen. Ich benutze ein 3-jahre altes Acer travelmate 660. früherer Befall: Ich hatte mir im Dezember einen Trojaner eingefangen, den ich erst Anfang März mit einer Demoversion von Spysweeper (mE komplett) entfernt habe, da ich vorher kein Internet besass, (habe damals auch Anleitungen von ähnlichen Vorfällen hier nachgelesen) Namen habe ich leider vergessen (Er produzierte Pop-ups und wollte nach Hause telefonieren) Im April hat Symantec in meinen Temp-Dateien nochmal einen Trojan-Downloader gefunden, der aber durch meine (Zonealarm)Firewall geblockt worden war und somit keine Wirkung entfalten konnte. Das wars dann auch schon... Hier noch mein HJT: Logfile of HijackThis v1.99.1 Scan saved at 23:38:09, on 30.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\System32\PGPserv.exe C:\WINDOWS\srvany.exe C:\WINDOWS\PCard.exe C:\Programme\Dantz\Retrospect\retrorun.exe C:\WINDOWS\DisTM.exe C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\PGP Corporation\PGP for Windows XP\PGPtray.exe C:\Programme\Samurize\Client.exe C:\Programme\Trillian\trillian.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: samurize.lnk = C:\Programme\Samurize\Client.exe O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe O4 - Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe O4 - Global Startup: PGPtray.lnk = ? O4 - Global Startup: VPTray.lnk = C:\Programme\Symantec_Client_Security\Symantec AntiVirus\VPTray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe O23 - Service: PSecret - Unknown owner - C:\WINDOWS\srvany.exe O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programme\Dantz\Retrospect\retrorun.exe O23 - Service: Retrospect WD Service (RetroWDSvc) - Dantz Development Corporation - C:\PROGRA~1\Dantz\RETROS~1\wdsvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe (file missing) O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Was mich ausserdem beunruhigt, sind die Zahlen und buchstabenkürzel die hinter einigen Programmen aufgetaucht sind (zb bei Daemon tools), haben die etwas zu bedeuten? Und wie werd ich den 023-Sony eintrag los, oder kann man Sony gar nicht loswerden? BTW: Die Autoauswertung erkennt alle als gut... da hab ich mich bisher drauf verlassen... besitze auch noch einige ältere logs, wenn denn was gefunden werden sollte. Drückt mir die Daumen :s lg kathrin |
30.05.2006, 23:24 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte HJT überprüfen! Keine besonderen Vorfälle...Zitat:
Dein Logfile sieht soweit sauber aus. Die Zahl, die z.B. bei Daemontools auftaucht wird wohl nur ein Startparameter sein, nichts Beunruhigendes also. O23-Einträge (Dienste) lassen sich nicht einfach so fixen. Du musst schon das dazugehörige Programm deinstallieren oder in der Dienstekonfig. (services.msc) den jew. Dienst stoppen und ggf. den Starttyp ändern. Sind Thunderbird und Firefox aktuell? Auch die ggf. installierten Erweiterungen? Deinen Autostart könntest Du evtl. auch mal ausmisten...
__________________ |
30.05.2006, 23:40 | #3 | |||
/// TB-Ausbilder | Bitte HJT überprüfen! Keine besonderen Vorfälle...Zitat:
Zitat:
Thunderbird: Version 1.5.0.2 Extensions: MinimizeToTray Version0.0.1.2006022107 Update Notifier 0.1.2 Firefox: Version 1.5.0.3 Extensions: bin ich ehrlich gesagt zu faul alle abzutippen. Aber der Extensionmanager meint die wären alle up to date. Wenn ich annehmen kann, dass die Abstürze intern verursacht werden und nicht von externen Angriffen, kann ich da auch mit Leben Zitat:
Das die an meiner Firewall vorbeikönnen kann ich mir denken , aber ich hoffe einfach mal dass er das nicht getan hat. Zumal ich mir einbilde, dass er entweder von meiner Firewall geblockt wird oder an ihr vorbeikommt, aber nicht beides gleichzeitig tut. *hoff* |
30.05.2006, 23:59 | #4 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte HJT überprüfen! Keine besonderen Vorfälle...Zitat:
Zitat:
Zitat:
Achso, das mit dem Standby würde ich lassen. Lass den Rechner an und mach den Monitor aus oder fahr den Rechner runter, wenn der längere Zeit nicht benutzt wird.
__________________ Logfiles bitte immer in CODE-Tags posten |
31.05.2006, 01:14 | #5 | |
/// TB-Ausbilder | Bitte HJT überprüfen! Keine besonderen Vorfälle...Zitat:
Ich hab mal nachgesehen und der Ordner Sony Shared existiert nicht mehr, folglich dürfte doch auch die exe-Datei nicht existieren und kann schlecht ausgeführt werden? An die Deinstallation kann ich mich nicht mehr so recht erinnern, ich weiß nur noch, dass ich 1 Programm installiert hab aber etwa 5 wieder deinstallieren musste und am Schluss nach Holzhackerart vorgegangen bin... da wird dann wohl dieser Prozess noch am Leben gewesen sein. Soll man also davon ausgehen, dass das der arme Geist einer von mir schändlich gemeuchelten Datei ist, der nicht gehen kann, bevor dieses Unrecht nicht aufgedeckt wurde? Ich erinner mich auch nur noch dunkel daran, warum ich diese Datei unbedingt weghaben wollte, aber gabs es nicht mal nen Skandal um Sonysoftware die ihre Nutzer überwacht hat? Da ich also offensichtlich schon selber nicht mehr weiß warum ich sie überhaupt loswerden wollte und es auch schon wieder viel zu spät für mich ist, werde ich sie also weiterhin spuken lassen. Vielen Dank fürs überprüfen! |
31.05.2006, 16:38 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte HJT überprüfen! Keine besonderen Vorfälle... Schau mal in die Dienstekonfig: Start, Ausführen, services.msc eintippen und Enter/Return drücken. Such dort mal den Sony-Dienst und beende ihn falls er noch gestartet sein sollte. Wenn er dann beendet ist, sollte er sich killen lassen.
__________________ --> Bitte HJT überprüfen! Keine besonderen Vorfälle... |
31.05.2006, 20:09 | #7 | |
/// TB-Ausbilder | Bitte HJT überprüfen! Keine besonderen Vorfälle...Zitat:
Mfg Kathrin |
Themen zu Bitte HJT überprüfen! Keine besonderen Vorfälle... |
adobe, adobe reader, anfang, antivirus, explorer, firefox, firewall, google, hijack, hijackthis, hängen, internet explorer, kein internet, kis, launch, loswerden, monitor, mozilla, mozilla firefox, mozilla thunderbird, outlook express, photoshop, security, server, software, symantec, system, tippen, trojaner, trojaner eingefangen, webroot, windows, windows xp |