Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.02.2007, 01:18   #1
guenther0303
 
Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen? - Standard

Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?



Hallo Experten!

Auf meinem Laptop läuft ein Rootkit der Bagle-Variante: http://www.trojaner-board.de/36175-schlimmer-befund-antivirenprogramme-abgesicherter-modus-und-internet-tun-nicht-mehr.html
Das hat mich so schockiert, dass ich die Scans bei dem Laptop meiner Freundin auch durchgeführt habe. Wir sind oft im selben Netzwerk und haben munter Dateien und Programme hin und her geschoben. Da ich quasi "verantwortlich" für die Sicherheit von ihrem PC bin, möchte ich Euch bitten, kurz einen Blick über die Logs zu werfen, um mir (im besten Fall) bestätigen zu können, dass er nicht schlimm infiziert ist. Wenn doch: kann man ihn retten?

Vielen Dank für Eure Hilfe!
Schöne Grüße


eScan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sat Feb 10 00:43:21 2007 => Deleting Registry Key: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu
Sat Feb 10 00:50:32 2007 => Virus-Datenbank Datum: 2/10/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 10 00:43:26 2007 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Feb 10 00:43:26 2007 => Offending file found: C:\DOKUME~1\DANIEL~1\Recent\internet.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sat Feb 10 00:43:20 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Sat Feb 10 00:43:21 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Sat Feb 10 00:43:21 2007 => Offending Key found: HKCU\\wusn.1 !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Feb 10 00:50:32 2007 => Gefundene Viren: 4
Sat Feb 10 00:50:32 2007 => Anzahl Fehler: 95
Sat Feb 10 00:50:32 2007 => Dauer des Scans bisher: 00:11:15
Sat Feb 10 00:50:32 2007 => Gescannte Dateien: 25907
Sat Feb 10 00:39:15 2007 => Specherüberprüfung: Aktiviert
Sat Feb 10 00:39:15 2007 => Registry Überprüfung: Aktiviert
Sat Feb 10 00:39:15 2007 => System-Ordner Überprüfung: Aktiviert
Sat Feb 10 00:39:15 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Feb 10 00:39:15 2007 => Überprüfung der Dienste: Aktiviert
________________________________________
Blacklight:
02/10/07 00:34:22 [Info]: BlackLight Engine 1.0.55 initialized
02/10/07 00:34:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/10/07 00:34:23 [Note]: 7019 4
02/10/07 00:34:23 [Note]: 7005 0
02/10/07 00:34:27 [Note]: 7006 0
02/10/07 00:34:27 [Note]: 7011 1308
02/10/07 00:34:27 [Note]: 7026 0
02/10/07 00:34:28 [Note]: 7026 0
02/10/07 00:34:30 [Note]: FSRAW library version 1.7.1021
02/10/07 00:51:05 [Note]: 4020 11705 65536
02/10/07 00:51:05 [Note]: 4018 11705 65536
02/10/07 00:57:02 [Note]: 2000 1012
02/10/07 00:57:12 [Note]: 7007 0
____________________________________
Hijack:
Logfile of HijackThis v1.99.1
Scan saved at 00:31:45, on 10.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Alt 12.02.2007, 12:32   #2
Cleriker
 
Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen? - Standard

Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?



Hi,

Zitat:
Sat Feb 10 00:43:20 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\media-motor.net !!!
-> ist nur diese Adware

Zitat:
Sat Feb 10 00:43:21 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\exp lorer\menuorder\start menu2\programs\whenu !!!
-> auch nur diese Adware

Zitat:
Sat Feb 10 00:43:21 2007 => Offending Key found: HKCU\\wusn.1 !!!
->gehört zum zweiten dazu

Zitat:
Offending file found: C:\DOKUME~1\DANIEL~1\Recent\internet.lnk
Sieht aus, als hättest du eine abgewandelte Form
des Swizzors drauf. Dann schlage ich vor, du liest
dir die Anleitung zur Swizzor.A - Entfernung durch.
Ich sehe zwar im Moment keine Einträge, die
entsprechenden programme wirst du deinstallieren
müssen.

Zitat:
Sat Feb 10 00:50:32 2007 => Gefundene Viren: 4
Sat Feb 10 00:50:32 2007 => Anzahl Fehler: 95
Da jetzt einiges gefunden und einiges gelöscht wurde,
bin ich mir noch nicht sicher, ob es danach vorbei ist.

Empfehlung:
Arbeite die obig-verlinkte Anleitung ab und erstelle anschließend
ein neues LogFile und einen weiteren escan+Blacklightscan.

mfg Cleriker
__________________


Antwort

Themen zu Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?
adobe, antivirus, askbar, avast, avast!, bho, dll, drivers, excel, explorer, fehler, hijackthis, infected, infiziert, internet explorer, konvertieren, monitor, netzwerk, ordner, pdf, pdf-datei, registry, registry key, rootkit, rundll, sicherheit, software, start menu, system, träge, windows, windows xp




Ähnliche Themen: Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?


  1. Könnte jemand mal einen Blick darauf werfen?
    Log-Analyse und Auswertung - 11.11.2009 (1)
  2. Nur mal eben nen Blick drüber werfen
    Log-Analyse und Auswertung - 29.03.2009 (0)
  3. Bitte blick drüber werfen (files missing?)
    Log-Analyse und Auswertung - 29.10.2008 (3)
  4. scvhost.exe - bitte mal einen Blick auf die Log-File werfen..
    Plagegeister aller Art und deren Bekämpfung - 08.05.2007 (32)
  5. PC stürzt immer wieder ab... kann jemand bitte nen Blick auf mein Logfile werfen?
    Log-Analyse und Auswertung - 09.01.2007 (21)
  6. Mal bitte nen Blick drauf werfen
    Mülltonne - 27.10.2006 (2)
  7. Mal einen Blick rüber werfen
    Mülltonne - 01.07.2006 (2)
  8. Bitte ein Blick drauf werfen
    Log-Analyse und Auswertung - 16.02.2006 (3)
  9. Programme schalten von alleine ab - bitte mal einen Blick aufs Logfile werfen
    Log-Analyse und Auswertung - 31.01.2006 (1)
  10. wer kann mal eine Blick auf mein log werfen, bitte?!
    Log-Analyse und Auswertung - 04.01.2006 (2)
  11. Hi! Bitte mal einen Blick darauf werfen! (Anfänger)
    Log-Analyse und Auswertung - 29.12.2005 (1)
  12. Könnt ihr da mal n Blick drauf werfen?
    Log-Analyse und Auswertung - 13.03.2005 (2)
  13. Wäre toll, wenn jmd mal einen Blick werfen würde! :o)
    Log-Analyse und Auswertung - 22.02.2005 (1)
  14. kann ´mal bitte einer der Fachleute einen Blick auf das Log-file werfen?
    Log-Analyse und Auswertung - 25.01.2005 (4)
  15. Bitte mal einen Blick drauf werfen
    Log-Analyse und Auswertung - 31.12.2004 (3)
  16. Kann mal jemand einen Blick drauf werfen?
    Log-Analyse und Auswertung - 27.12.2004 (1)
  17. Hijackthis log, wer kann mal einen Blick drauf werden?
    Log-Analyse und Auswertung - 27.09.2004 (8)

Zum Thema Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen? - Hallo Experten! Auf meinem Laptop läuft ein Rootkit der Bagle-Variante: http://www.trojaner-board.de/36175-schlimmer-befund-antivirenprogramme-abgesicherter-modus-und-internet-tun-nicht-mehr.html Das hat mich so schockiert, dass ich die Scans bei dem Laptop meiner Freundin auch durchgeführt habe. Wir sind - Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen?...
Archiv
Du betrachtest: Rootkit-Gefahr? Wer kann einen Blick auf diese Logs werfen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.