|
Log-Analyse und Auswertung: Bitte Experten um Log-File PrüfungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.11.2006, 20:52 | #1 |
| Bitte Experten um Log-File Prüfung An alle hilfsbereiten PC Experten in diesem Forum! Ich wäre sehr dankbar, wenn sich jemand folgend aufgeführten Scanbericht annehmen würde und mir verrät, was ich tun muss und ob ich das System neu aufzusetzen habe. Es besteht der Verdacht auf Viren, Trojaner, Spyware etc. Ein paar bösartige EXE Datein (winupdt. exe etc.) konnte ich löschen. Hilft mein Norton Internet Security 2007 überhaupt? Es zeigt immer einen grünen Haken und vielleicht ist es ja lahmgelegt ohne dass ich es merke. Ich bin gerade im Ausland (GB) und würde gerne wissen ob man einem PC Experten die Maschine einfach zur Reparatur überlassen kann. Vielen Dank für die Ünterstützung Gruß Viktor Logfile of HijackThis v1.99.1 Scan saved at 18:15:56, on 26.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Norton GoBack\GBPoll.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\Programme\sony\vaio update 2\VAIOUpdt.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Norton GoBack\GBTray.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Viktor\LOKALE~1\Temp\Rar$EX00.546\Hija ckThis.exe F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: (no name) - {4CF33F23-C069-2397-8002-625578A2283E} - (no file) O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SNM] C:\Programme\SpyNoMore\SNM.exe /startup O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Norton GoBack.lnk = C:\Programme\Norton GoBack\GBTray.exe O4 - Global Startup: phase6_17_erinnerung.lnk = C:\Programme\phase6\phase6_17\WinStart\WinStart.ex e O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.e xe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: GoBack Polling Service (GBPoll) - Symantec Corporation - C:\Programme\Norton GoBack\GBPoll.exe O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe |
27.11.2006, 21:35 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte Experten um Log-File Prüfung War die Datei winupdt.exe zufällig ein Rbot-Abkömmling? Wenn ja, solltest Du neu aufsetzen. Auch wenn nun nichts im Hijackthis-Logfile zu finden ist.
__________________
__________________ |
28.11.2006, 18:54 | #3 |
| Bitte Experten um Log-File Prüfung Tag Cosinus,
__________________danke für dein Feedback erstmal. Leider kann ich deine Frage nicht beantworten, das heißt, ich weiß nicht, woher winupdt stammt und ob es ein Rbot Abkömmling ist. Ich wäre dir dankbar für einen weiteren Rat. Ich bin reiner Anwender und habe hier auch keine Windows CD dabei in England. Würdest du den PC von einem Fachmann neu aufsetzen lassen. Kann ich alle Programme/Dateien problemlos auf meine portable Festplatte verschieben? Welches Risiko gehe ich ein, wenn ich nicht neu aufsetze? Ich weiß, das sind viele Fragen, aber vielleicht hast du den Nerv und die Zeit kurz darauf einzugehen. Vielen Dank ungeachtet des weiteren Verlaufs Viktor - oder Sinus. |
28.11.2006, 22:02 | #4 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte Experten um Log-File Prüfung Winupdt.exe ist mit ziemlicher Sicherheit ein RBOT-Abkömmling => winupdt - winupdt.exe - Process Information Zitat:
Zitat:
Zitat:
Oder auch einfach um illegales Material auf deiner Platte abzulagern, um dieses im Internet bereitzustellen. Jedenfalls wäre das möglich, wenn es sich wirklich um einen Rbot handelt. Evtl. lässt sich noch mehr sagen, wenn Du mal mit Blacklight und eScan (link siehe Signatur) das System scannst und die Logs davon postest. Die Option mit dem Fachmann vor Ort solltest Du mal in Erwägung ziehen. BTW: Für Notfälle wäre es am besten immer ein Backup dabei zu haben. Ein Systemimage kannst Du schnell mal wieder binnen Minuten einspielen. Ergänzend auch eine Knoppix-CD.
__________________ Logfiles bitte immer in CODE-Tags posten |
29.11.2006, 20:28 | #5 |
| Bitte Experten um Log-File Prüfung Hallo Sinus, erst einmal vielen Dank für deine ausführliche Antwort. Ich habe meinen Rechner mit dem Blacklight Programm abgescannt und es wurden keine versteckten Dateien etc. gefunden. Was du mit eScan (linke Signatur) gemeint hast wahr mir ehrlichergesagt nicht so klar. Da sich deine Schilderungen der Risiken nicht gut anhören, würde ich meinen PC gerne von einem Fachmann neu aufsetzen lassen. Kann ein solcher das ohne meine Windows CD und ist es möglich, alle Programm zu behalten? (Ich habe u.a. einen Brockhaus Multimedial, der für mich unverzichtbar ist). Was bringt eigentlich mein Norton Internet Security? Wäre super, wenn du mir nochmal Rat geben könntest Danke und Gruß Viktor |
30.11.2006, 23:37 | #6 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte Experten um Log-File PrüfungZitat:
Fraglich ob Dein System nun überhaupt neu aufgesetzt werden muss, aus der Ferne vermag ich das nicht wirklich beurteilen zu können, Blacklight findet ja nichts. Ich schätze der Fachmann vor Ort wird Dir da mehr sagen können Das Neuaufsetzen hilft Dir ja ohne dass Du das eine Programm nicht mehr benutzen kannst auch nicht weiter. Zitat:
Alle Security-Suites wiegen den User in eine Scheinsicherheit, er glaubt nun rundum geschützt zu sein, dabei ist das nicht der Fall. Maximal sind Virenscanner & PFW Ergänzung zum Sicherheitskonzept (z.B. vorsichtiger Umgang mit dem Medium Internet) aber auf keinen Fall wichtige Grundelemente. Sicherheit gibt es (leider) nicht in bunten Pappschachteln.
__________________ --> Bitte Experten um Log-File Prüfung |
Themen zu Bitte Experten um Log-File Prüfung |
adobe, bho, browser, drivers, excel, exe, exe datei, exe datein, explorer, firefox, helper, hijack, hijackthis, internet, internet explorer, internet security, log-file, m.exe, mozilla, mozilla firefox, rundll, security, settings manager, software, spyware, symantec, system, system neu, temp, trojaner, verdacht auf viren, viren, windows, windows xp, windows\system32\drivers, winupd |