| |
| |||||||
Log-Analyse und Auswertung: Bitte Nachschauen^^Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
25.10.2006, 18:17
| #1 |
 |  Bitte Nachschauen^^ Guten Abend, ich habe mich mit einem Trojaner inviziert, irgendwas mit "Nuclear" hies dieser.. Virenscanner hab ich ausgeführt, Trojaner gefunden, beseitigt.. alles funzt eigentlich, aber ich weiß auch das ich mein System eventuell neu aufsetzten muss.. Bitte um Rat Danke Hier ein Logfile: Logfile of HijackThis v1.99.1 Scan saved at 19:16:04, on 25.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\T-DSL SpeedManager\TSMSvc.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\RK Launcher\RKLauncher.exe C:\PROGRA~1\MOZILL~2\FIREFOX.EXE C:\Dokumente und Einstellungen\Cruez\Desktop\Programme\HijackThis.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: RK Launcher.lnk = ? O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B8643C2B-9FB5-4BC7-9E61-A3FA06FDF124}: NameServer = 217.237.151.33 217.237.150.205 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe Hoffe nix bösartiges zu finden  |
|
25.10.2006, 21:49
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Bitte Nachschauen^^ Dein Hijackthis-Logfile ist übersichtlich und sauber. Wo wurde denn das Trojanische Pferd gefunden? Könntest Du mal den Inhalt der Virenscanner-Berichtsdatei posten?
__________________
__________________ |
|
26.10.2006, 22:59
| #3 |
| | Bitte Nachschauen^^ Abend,
__________________ich musste mein System neuaufsetzen, da es nach einem Neustart ne Fehlermeldung angezeigt hat, irgendeine .nfo Datei hat gefehlt oder sei beschädigt.. Was mir aber Sorgen macht ist "HKLM\System\CCS\Services\Tcpip\..\{B8643C2B-9FB5-4BC7-9E61-A3FA06FDF124}: NameServer = 217.237.151.33 217.237.150.205" Könnte es sein das da irgendeine IP mit mir verbunden ist, die ich nicht kenne? Weil ich hab zur Sicherheit wieder hjiackthis ausgeführt und die IP oder was auch immer steht da wieder, was eigentlich sonst nie der Fall ist  |
|
26.10.2006, 23:20
| #4 | |
| Moderator, a.D.   | Bitte Nachschauen^^Zitat:
 Wenn du in der Eingabeaufforderung mal "whois 217.237.151.33" eingibst und dann die IP immer noch nicht kennst, dann hast du ein Problem. Die angegebene IP-Adresse ist der "Auskunftsmann", der auf dieser Seite erwähnt wird. (Will dich nicht für dumm verkaufen, finde nur die Seite so schön, dass ich sie mal verlinken wollte.  )Gruß  Yopie |
|
27.10.2006, 01:12
| #5 |
| | Bitte Nachschauen^^ Das mit der Eingabeaufforderung klappt nicht, wenn ich "whois" mit der IP dannach eingebe, kommt das: C:\Dokumente und Einstellungen\Flooooooow>whois 217.237.151.33 Der Befehl "whois" ist entweder falsch geschrieben oder konnte nicht gefunden werden. Also der Auskunftsmann^^ Namens Provider ist also auf meinem System? Oder wie soll man des verstehn?? xD |
|
27.10.2006, 01:44
| #6 | |
| | Bitte Nachschauen^^Zitat:
@FlaOw! Die IP gehört zur Telekom. Hast du diese IP der Netzwerkkarte verpaßt, oder teilt die eine schräge Telekom-software zu? Sitzt du hinter einem Router? Gib mal in der Eingabeaufforderung "ipconfig/all>ipconfig.txt" ein und poste den Inhalt (Datei liegt unter C:\Dokumente und Einstellungen\Flooooooow). |
|
27.10.2006, 03:20
| #7 |
| | Bitte Nachschauen^^ Ich sitz hinter keinem Router, nur hinter einer Firewall.. Telekom Software installieren kann sein, ich hab mir T-DSL Speedmanager installiert.. Windows-IP-Konfiguration Hostname. . . . . . . . . . . . . : ichbinra-pd4hlv Primäres DNS-Suffix . . . . . . . : Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert. . . . . . . : Nein WINS-Proxy aktiviert. . . . . . . : Nein Ethernetadapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : ULi PCI Fast Ethernet Controller Physikalische Adresse . . . . . . : 00-13-8F-C5-29-A2 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja IP-Adresse (Autokonfig.). . . . . : 169.254.29.143 Subnetzmaske. . . . . . . . . . . : 255.255.0.0 Standardgateway . . . . . . . . . : PPP-Adapter DSL: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : WAN (PPP/SLIP) Interface Physikalische Adresse . . . . . . : 00-53-45-00-00-00 DHCP aktiviert. . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 84.133.***.** Subnetzmaske. . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 84.133.224.80 DNS-Server. . . . . . . . . . . . : 217.237.151.33 217.237.150.205 NetBIOS über TCP/IP . . . . . . . : Deaktiviert |
|
27.10.2006, 03:40
| #8 |
| | Bitte Nachschauen^^ Alles in Butter. Sorry für mein sinnfreies Posting, die geistige oder tatsächliche Umnachtung hat zugeschlagen, was auch immer...  .Die IP-Adressen gehören den DNS-Servern der Telekom und nicht zu deiner Netzwerkkarte! Also kein Problem. So, und nun kuck ich mir noch mal Yopies link an. Gute Nacht. Geändert von ordell1234 (28.06.2007 um 19:20 Uhr) |
|
27.10.2006, 13:54
| #9 |
| Moderator, a.D. | Bitte Nachschauen^^ QUOTE=FlaOw!]Das mit der Eingabeaufforderung klappt nicht, ...[/quote] Sorry, mea culpa, das geht wohl wirklich nicht so einfach bei Windows.  Gruß Yopie |
|
27.10.2006, 14:52
| #10 |
| | Bitte Nachschauen^^ Oki Doky ^^ Danke für Eure Hilfe^^ Jetzt bin ich Beruhigt  |
|
27.10.2006, 17:17
| #11 |
 | Bitte Nachschauen^^ Hallo, "Windowsjünger" nehmen dieses hier.... http://www.iks-jena.de/cgi-bin/whois und geben im Feld die IP bis zum Komma ein.......oder Koma ? Irrlicht |
|
| Themen zu Bitte Nachschauen^^ |
| antivir, avg, avira, desktop, dll, einstellungen, explorer, hijack, hijackthis, internet, internet explorer, logfile, neu, neu aufsetzten, nvidia, programme, rojaner gefunden, rundll, rundll32.exe, scan, software, system, system32, trojaner, trojaner gefunden, windows, windows xp |
Linear-Darstellung
