|
Log-Analyse und Auswertung: bitte um beurteilung dieses logsWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.12.2006, 20:03 | #1 |
| bitte um beurteilung dieses logs der pc gehört einer kollegin von mir, sie wurde von ihrem provider auf den trojaner aufmerksam gemacht. ihr sohn hat sich ihn per msn eingefangen. ich habe danach mit antivir versucht schlimmeres zu verhindern habe einige male gescannt und dann auch immer wieder gelöscht, wenn er etwas gefunden hat. aber zum ganz sicher gehen, dass nun nichts mehr auf dem pc rumschwirt, dass nicht soll habe ich noch ein log erstellt mit HJT. währe nett von euch, wenn sich das jemand mal anschauen könnte. danke. Logfile of HijackThis v1.99.1 Scan saved at 19:45:05, on 26.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wwSecure.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\SurfAccuracy\SAcc.exe C:\WINDOWS\twpdnn.exe C:\Programme\Webroot\Washer\wwDisp.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = i ha gminnt dä bruchemer itz nimme.... R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file) O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file) O4 - HKLM\..\Run: [HPpromo psc 2175] "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe" /N "psc 2175" -r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [Á³# L"h'þ9Óœð3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\nnafrqe.exe O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\twpdnn.exe O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: hpoddt01.exe.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe danke schonmal im voraus. |
26.12.2006, 20:22 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logs Sieht nicht gut aus. Neben einigen Spy- und Adwareeinträgen auch weitere Komponenten:
__________________C:\WINDOWS\twpdnn.exe C:\WINDOWS\nnafrqe.exe Werte diese Dateien mal bitte bei Virustotal aus und poste das Ergebnis inkl. Infos zu Dateigrößen, md5 und sha1.
__________________ |
26.12.2006, 20:44 | #3 |
| bitte um beurteilung dieses logs danke für die prompte antwort. da ich aber in dem buisness ein völliger
__________________anfänger bin, habe ich noch einige fragen: wie muss ich das bei virustotal genau anstellen? und muss ich dazu online sein? denn ich möchte die kiste eigentlich nicht an mein router hängen!!! oder muss ich da keine bedenken haben? was genau meinst du mit auswerten lassen der dateien? kann ich denen einfach das HJT log senden oder die dateien ??? entschuldige bitte die fragen hab schon ne kleine ahnung von pc's aber trojaner u.s.w. ist neuland... |
26.12.2006, 20:51 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logs Oje, dann wird eine Bereinigung nicht gerade einfach für dich sein. Ein Neuaufsetzen des Systems ist eh die sicherere Methode. Aber hier nochmal eine Beschreibung zum prinzipiellen Ablauf der Auswertung einer verdächtigen Datei: Du gehst auf Virustotal - nat. muss man dabei online sein - und klickst rechts oben auf Durchsuchen und wählst die zu scannende Datei aus. Alternativ kannst du auch die komplette Pfadangabe zur Datei mit STRG+C kopieren und in das Dateifeld von Virustotal mit STRG+V hineinkopieren. Jedenfalls klickst du danach auf SEND und wartest auf die Ergebnisse. Diese postest du hier. Das gleich Spiel wiederholst du mit der zweiten Datei.
__________________ Logfiles bitte immer in CODE-Tags posten |
27.12.2006, 10:25 | #5 |
| bitte um beurteilung dieses logs nun soweit sogut. habe den scan bei virustotal machen lassen: C:\WINDOWS\nnafrqe.exe: http://www.virustotal.com/vt/en/resultadof?c8e32adc7b1d11c3690686aa644f4aab überall kein virus gefunden: File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 C:\WINDOWS\twpdnn.exe: http://www.virustotal.com/vt/en/resultadof?e8810fc5cef86c1e1830c05ccb10ef6d ebenfalls überall kein virus gefunden File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 so und nun was soll ich als nächstes tun? achja die datei nnafrqe.exe hab ich nicht gefunden im windows ordner, da habe ich den pfad bei virustotal eingegben so wie er von dir angegben wurde. danke schonmal |
27.12.2006, 18:39 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logs Mach mal folgendes: Notfalls im abgesicherten Modus diese Ordner löschen: C:\Programme\MyWebSearch\ C:\Programme\SurfAccuracy\ C:\Programme\SideFind\ Du besorgst dir auch Killbox und löscht folgende Dateien: C:\WINDOWS\twpdnn.exe C:\WINDOWS\nnafrqe.exe Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden. Das gleich machst du dann mit der anderen Datei auch und startest dann das System neu. Schau mal dann in den neuen Ordner C:\!KILLBOX\ nach, ob sich dort die Dateien drin befinden, denn Killbox verschiebt die Dateien nur. Achte darauf, dass alle Dateien angezeigt werden. Dann sehen wir weiter.
__________________ --> bitte um beurteilung dieses logs |
30.12.2006, 10:06 | #7 |
| bitte um beurteilung dieses logs hy again, so hab das alles getan, was du gesagt hast und jetzt nochmals ein log mit HJT gemacht. Logfile of HijackThis v1.99.1 Scan saved at 10:03:02, on 30.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wwSecure.exe C:\Programme\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = i ha gminnt dä bruchemer itz nimme.... R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file) O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file) O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file) O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file) O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file) O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe thanks a lot |
30.12.2006, 17:17 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logs Sind die Dateien, die mit Killbox gelöscht wurden, jetzt auch im Ordner C:\!KILLBOX\ ? Wenn ja dann werte diese nacheinander bei Virustotal aus und poste sämtliche Ergebniss (auch Infos zu Dateigröße etc.). Bitte auch diese Datei auswerten lassen => C:\WINDOWS\system32\shdocvw.dll
__________________ Logfiles bitte immer in CODE-Tags posten |
31.12.2006, 12:07 | #9 |
| bitte um beurteilung dieses logs im ordner C:\!KILLBOX\ sind keine datein ausser folgendes log file: folgende meldung ist noch aufgetreten, als ich beim zweiten file dann auf neustart geklickt habe gemäss deiner anleitung: Pocket Killbox version 2.0.0.881 Running on Windows XP as user(Administrator) was started @ Samstag, Dezember 30, 2006, 9:43 AM # 1 [Delete on Reboot] Path = C:\WINDOWS\twpdnn.exe # 2 [Delete on Reboot] Path = C:\WINDOWS\nnafrqe.exe PendingFileRenameOperations Registry Data has been Removed by External Process! @ 9:44:56 AM # 3 [Delete on Reboot] Path = C:\WINDOWS\nnafrqe.exe PendingFileRenameOperations Registry Data has been Removed by External Process! @ 9:45:28 AM Killbox Closed(Exit) @ 9:45:30 AM __________________________________________________ Pocket Killbox version 2.0.0.881 Running on Windows XP as user(Administrator) was started @ Sonntag, Dezember 31, 2006, 11:35 AM die datei shdocvw.dll hab ich bei virustotal auswerten lassen: http://www.virustotal.com/vt/en/resultadof?4163bea19d195c78ec96732d5fd96459 |
31.12.2006, 13:17 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logs Lässt du auch die versteckten und geschützten Systemdateien anzeigen? Schädlingsdateien haben häufig diese Attribute, da Windows per default solche Dateien ausblendet.
__________________ Logfiles bitte immer in CODE-Tags posten |
02.01.2007, 11:05 | #11 |
| bitte um beurteilung dieses logs lasse alle dateien anzeigen. allerdings ist da nur xp home drauf aber das sollte ja keine unterschied machen. habe ihn heute ein wenig laufen lassen, dann hat avira folgende meldung gemacht: habe dann auf löschen und ok geklickt. auf den ordner (C:\System Volume Information....) wo sich angeblich das ding drinn befindet habe ich kein zugriff! ist ja normal oder? was grundlegendes: wenn ich das system neu afsetze hab ich dann ruhe oder kann es sein, dass ich dann immer noch was drauf habe? denn wenn ich mit einer Neuinstallation alles beheben kann, dann werd ich das tun. |
02.01.2007, 20:53 | #12 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | bitte um beurteilung dieses logsZitat:
Zitat:
Beachte, dass das System vor der ersten Internetverbindung abzusichern ist! Folge dem Link "neu aufsetzen" in meiner Signatur.
__________________ Logfiles bitte immer in CODE-Tags posten |
03.01.2007, 00:31 | #13 |
| bitte um beurteilung dieses logs ok werde dann eine Neuinstallation machen und die punkte die empfohlen werden speziell beachten. besten dank für deine hilfe. gruss tony |
Themen zu bitte um beurteilung dieses logs |
antivir, avira, bho, button, email, excel, explorer, gelöscht, hijack, hijackthis, immer wieder, internet, internet explorer, log, messenger, microsoft, msn, office, programme, rundll, rundll32, software, system, system32, tuneup utilities, urlsearchhook, webroot, windows, windows xp |