| |
| |||||||
Log-Analyse und Auswertung: Ich glaub ich habn Prob <.<Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.11.2006, 13:11
| #1 |
| |  Ich glaub ich habn Prob <.< Hallo erstmal alle zusammen! Kürzlich war ich bei einer Freundin da sie diesen sober worm draufhatte, der sich aktivierte sobald man ins Internet geht und den PC dann runterfuhr. Als ich den beheben wollte (gab da mal son Patch) fiel mir auf, dass sie ziemlich viele Viren aufm PC hat -> also formatieren wir ihren. Vorher habe ich aber nen HijackThis Log erstellt und mir den an meine eMail geschickt. Jetzt läuft bei mir ein Task der vorher nie lief, "csrss.exe" und auch "smss.exe", diese liefen auch bei meiner Bekannten! Durch Google hab ich erfahren, dass es sich nicht um einen Virus o.ä. handelt, solang die Datei im system32 Ordner ist - ist sie bei mir. Nur vorher hatte ich die nie im Taskmanager? Naja hier mein HiJackThis - könnt ihr mir helfen? Logfile of HijackThis v1.99.1 Scan saved at 13:03:24, on 16.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Office keyboard utility\1.4\nhksrv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe C:\WINDOWS\system32\nvsvc32.exe C:\sfmgr\sfmgr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\Fraps\fraps.exe D:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\Download\Mozilla\mozilla\mozilla.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.531\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WBSrv - C:\Programme\Stardock\Object Desktop\Windowblinds\wbsrv.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: xptptt - xptptt.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Office keyboard utility\1.4\nhksrv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: CaReTaKeR-CT NetMgr 1.2.1 (sfmgr) - Unknown owner - C:\sfmgr\sfmgr.exe O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe |
|
17.11.2006, 09:13
| #2 |
 |  Ich glaub ich habn Prob <.< Die csrss / csrss.exe (Client Server Runtime Process) gehört zu Windows.
__________________Aber es gibt einen Virus namens W32.NIMDA.E@mm der sich als Varibale in die Datei reinkopiert. Hast du sie schonmal mit einen Virenscanner überprüfen lassen? smss.exe - Session Manager Subsystem und ist eine Systemdatei. Aber ansonsten müssten diese beiden Anwendungen komplett ungefährlich sein. Dein HijackThis Log habe ich jetzt nicht so genau durchgeschaut. Aber das was ich gesehen habe sah recht verdächtig aus. Wenn es niemand anders macht, schreibe ich heute Abend mal was mir aufgefallen ist  |
|
17.11.2006, 16:15
| #3 |
  | Ich glaub ich habn Prob <.< mOIn auch
__________________@Ápêx meinst du zufällig diesen Eintrag im Log O20 - Winlogon Notify: xptptt - xptptt.dll (file missing)? Dieser Eintrag stammt von einem Backdoortrojaner der in dem System aktiv war (Haxdoor), was für den TO bedeutet er sollte dieser Anleitung folgen. MFG |
|
17.11.2006, 16:41
| #4 |
| | Ich glaub ich habn Prob <.< Würde es nicht reichen die xptptt.dll einfach zu löschen? Edit: Ist eh nimmer da. Ist die Haxdoor denn noch aktiv bzw gefährlich? |
|
17.11.2006, 17:09
| #5 |
| | Ich glaub ich habn Prob <.< mOIn niemand wirklich niemand kann dir mit 100% Sicherheit sagen, ob nicht eine Backdoor eingerichtet und Daten auf deinem Rechner verändert wurden. Wenn du damit leben kannst, dass evtl. jemand auf deinem Rechner unterwegs war und was auch immer damit angestellt hat ist es OK, wie gesagt es ist deine Entscheidung. Meine Empfelung hast gelesen und heißt Neuinstallation  MFG |
|
17.11.2006, 18:09
| #6 |
| | Ich glaub ich habn Prob <.< lol ok danke ^^ |
|
| Themen zu Ich glaub ich habn Prob <.< |
| 1.exe, adobe, antivir, avira, bho, desktop, drivers, email, excel, explorer, google, handel, helfen, hijack, hijackthis, hijackthis log, internet, internet explorer, mozilla, nvidia, object, rundll, software, system, taskmanager, temp, viele viren, viren, virus, windows, windows xp |
Linear-Darstellung
