|
Log-Analyse und Auswertung: Bitte um Auswertung meines Logfiles:)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.03.2007, 11:02 | #1 |
| Bitte um Auswertung meines Logfiles:) Hallo, habe heftige probleme mit meinem rechner: internet ist sehr langsam ( firefox und IE ), mit der zeit ist der bootvorgang langsamer, letztens hat sich die oberfläche des arbeitsplatzes von Detailansicht zu einer listenansicht gewechselt , reaktionszeit beim anklicken von programmen recht langsam.... also alles in einem: ich brauche viiiieeel geduld^^ meine Programme zur Prüfung des systems: sygate P firewall tune up utilities 2007 spybot adaware Komponenten: AMD Athlon XP 2000+ radeon 9800 pro 1 gb ram kingston asrock k7vt4a+ Mein Hijacktis logfile: Logfile of HijackThis v1.99.1 Scan saved at 10:40:27, on 08.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - d:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171274750937 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1171275443359 O17 - HKLM\System\CCS\Services\Tcpip\..\{ED1EB7F2-84FD-4D08-845B-7F5438F50C8F}: NameServer = 62.220.18.8 62.72.64.237 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe ich hoffe, dass das richtige logfile ist... bin leider sehr noobie in der sache... Für eine Antwort wäre ich sehr dankbar |
08.03.2007, 11:55 | #2 |
/// AVZ-Toolkit Guru | Bitte um Auswertung meines Logfiles:) Hm, dein log sieht sauber und aufgeräumt aus.
__________________Mache mal bitte einen eScan. Anleitung zu MWAVE findest du in meiner Signatur. Diese bitte akriebisch genau ab. Sonst ist der scan, der ewig dauert, umsonst gewesen! mfg Undoreal
__________________ |
08.03.2007, 15:33 | #3 |
| Bitte um Auswertung meines Logfiles:) Hallo,
__________________danke erstmal für die schnelle reaktion Hier ist das Logfile von escan: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Thu Mar 08 12:55:43 2007 => Version 9.1.7 (C:\DOKUME~1\ADMINI~1.***\LOKALE~1\Temp\mexe.com) Thu Mar 08 12:45:57 2007 => Virus Database Date: 3/7/2007 Thu Mar 08 12:55:24 2007 => Virus Database Date: 3/7/2007 Thu Mar 08 15:15:47 2007 => Virus Database Date: 3/7/2007 Thu Mar 08 15:17:36 2007 => Virus Database Date: 3/7/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 12:56:59 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: No Action Taken. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Thu Mar 08 12:56:59 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Thu Mar 08 13:00:14 2007 => Scanning Folder: C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene Bilder\Adobe\Gescannte Fotos\*.* Bin etwas irritiert über deine anleitung für escan. im abgesicherten modus updaten? habe das im normalen modus gemacht. hoffe, ich hab da nix falsch gemacht... |
08.03.2007, 15:46 | #4 | |
/// AVZ-Toolkit Guru | Bitte um Auswertung meines Logfiles:)Zitat:
Lasse diese Datei mal auf Virustotal auswerten und poste den Bericht mit allen Angaben. mfg Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
08.03.2007, 16:01 | #5 |
| Bitte um Auswertung meines Logfiles:) so, ich denke, dass die txt-datei gemeint war... der scan hat folgendes ergeben: Complete scanning result of "eScan_neu.txt", received in VirusTotal at 03.08.2007, 15:51:13 (CET). Antivirus Version Update Result AntiVir 7.3.1.41 03.08.2007 no virus found Authentium 4.93.8 03.07.2007 no virus found Avast 4.7.936.0 03.08.2007 no virus found AVG 7.5.0.447 03.08.2007 no virus found BitDefender 7.2 03.08.2007 no virus found CAT-QuickHeal 9.00 03.07.2007 no virus found ClamAV devel-20060426 03.08.2007 no virus found DrWeb 4.33 03.08.2007 no virus found eSafe 7.0.14.0 03.07.2007 no virus found eTrust-Vet 30.6.3464 03.08.2007 no virus found Ewido 4.0 03.07.2007 no virus found FileAdvisor 1 03.08.2007 no virus found Fortinet 2.85.0.0 03.08.2007 no virus found F-Prot 4.3.1.45 03.07.2007 no virus found F-Secure 6.70.13030.0 03.08.2007 no virus found Ikarus T3.1.1.3 03.08.2007 no virus found Kaspersky 4.0.2.24 03.08.2007 no virus found McAfee 4979 03.07.2007 no virus found Microsoft 1.2204 03.08.2007 no virus found NOD32v2 2102 03.08.2007 no virus found Norman 5.80.02 03.07.2007 no virus found Panda 9.0.0.4 03.08.2007 no virus found Prevx1 V2 03.08.2007 no virus found Sophos 4.15.0 03.07.2007 no virus found Sunbelt 2.2.907.0 03.07.2007 no virus found Symantec 10 03.08.2007 no virus found TheHacker 6.1.6.072 03.07.2007 no virus found UNA 1.83 03.07.2007 no virus found VBA32 3.11.2 03.07.2007 no virus found VirusBuster 4.3.19:9 03.07.2007 no virus found Aditional Information File size: 1432 bytes MD5: 55dc80645f36e5993c89e8d4b1ce0b0e SHA1: 3c49e88bfd3a31320c44d3e4de763455e437b4c9 sorry, ich weiss nicht genau, wie ich die seite hätte hier hinein posten sollen... |
08.03.2007, 16:04 | #6 |
/// AVZ-Toolkit Guru | Bitte um Auswertung meines Logfiles:) Och schei**e ich Vollidiot! Sorry. Diese Datei: " C:\WINDOWS\system32\unrar.dll " mfg Undoreal
__________________ --> Bitte um Auswertung meines Logfiles:) |
08.03.2007, 16:16 | #7 |
| Bitte um Auswertung meines Logfiles:) Hehe, kein Ding^^ So, das ist die Auswertung der datei: Complete scanning result of "unrar.dll", received in VirusTotal at 03.08.2007, 16:10:27 (CET). Antivirus Version Update Result AntiVir 7.3.1.41 03.08.2007 no virus found Authentium 4.93.8 03.07.2007 no virus found Avast 4.7.936.0 03.08.2007 no virus found AVG 7.5.0.447 03.08.2007 no virus found BitDefender 7.2 03.08.2007 no virus found CAT-QuickHeal 9.00 03.08.2007 no virus found ClamAV devel-20060426 03.08.2007 no virus found DrWeb 4.33 03.08.2007 no virus found eSafe 7.0.14.0 03.07.2007 no virus found eTrust-Vet 30.6.3464 03.08.2007 no virus found Ewido 4.0 03.07.2007 no virus found FileAdvisor 1 03.08.2007 No threat detected Fortinet 2.85.0.0 03.08.2007 no virus found F-Prot 4.3.1.45 03.07.2007 no virus found F-Secure 6.70.13030.0 03.08.2007 no virus found Ikarus T3.1.1.3 03.08.2007 no virus found Kaspersky 4.0.2.24 03.08.2007 no virus found McAfee 4979 03.07.2007 no virus found Microsoft 1.2204 03.08.2007 no virus found NOD32v2 2102 03.08.2007 no virus found Norman 5.80.02 03.07.2007 no virus found Panda 9.0.0.4 03.08.2007 no virus found Prevx1 V2 03.08.2007 no virus found Sophos 4.15.0 03.07.2007 no virus found Sunbelt 2.2.907.0 03.07.2007 no virus found Symantec 10 03.08.2007 no virus found TheHacker 6.1.6.072 03.07.2007 no virus found UNA 1.83 03.07.2007 no virus found VBA32 3.11.2 03.07.2007 no virus found VirusBuster 4.3.19:9 03.07.2007 no virus found Aditional Information File size: 53248 bytes MD5: 47c96ba029c071018c671bb134a44f49 SHA1: 167220183115cab99d23564f308d6e4e62bbce4b Bit9 info: h**p://fileadvisor.bit9.com/services/extinfo.aspx?md5=47c96ba029c071018c671bb134a44f49 |
08.03.2007, 16:22 | #8 |
/// AVZ-Toolkit Guru | Bitte um Auswertung meines Logfiles:) Hm, das ist allerdings etwas komisch. Nun gut verschiebe die gute " unrar.dll " doch mal in die Quarantäne von AntiVir und starte den Rechner neu. Dann probiere ob WinRar ordentlich läuft. Packe und Entpacke einfach mal was. Wenn alles geht dann lass die Datei erstmal da. Dann solltest du jetzt doch einen scan mit Blacklight machen da es hier nun langsam etwas spanisch wird. Gruss Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
08.03.2007, 16:45 | #9 |
| Bitte um Auswertung meines Logfiles:) Oh, Antivir hat mal das gefunden: In der Datei 'D:\System Volume Information\_restore{6FE9C581-5978-4F31-8881-9D426662E5E4}\RP135\A0051349.exe' wurde ein Virus oder unerwünschtes Programm 'W95/CIH (inactive)' [W95/CIH (inactive)] gefunden. Betrifft doch nur windows 95 und 98, oder? so, Blacklight ist auch durchgelaufen, hat aber nichts gefunden... Pc neu gestartet, winrar funktioniert auch noch normal, die datei ( unrar.dll ) ist noch in der quarantäne... Gruss matlock Geändert von matlock (08.03.2007 um 16:55 Uhr) |
08.03.2007, 17:01 | #10 |
| Bitte um Auswertung meines Logfiles:) Hallo, schalte deine Systemwiederherstellung ab. Boote neu und schalte sie wieder an,dann sollte diese Meldung weg sein.
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
08.03.2007, 17:25 | #11 |
| Bitte um Auswertung meines Logfiles:) hmm, hab ich nun gemacht... aber Antivir meldet sich immer noch, wenn ich die datei scanne, bzw schon, wenn ich den pfad ohne A0051349.exe oben eingebe |
08.03.2007, 17:27 | #12 |
| Bitte um Auswertung meines Logfiles:) Wie was gibst du denn wo ein? Sorry aber da kann ich nun nicht folgen?? Hast auch Systemweiderherstellung abgeschaltet,runter gefahren , wieder gestartet und Systemwiederherstellung angeschaltet?
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
08.03.2007, 17:37 | #13 |
| Bitte um Auswertung meines Logfiles:) Sorry für die schlechte beschreibung.... Hab nur den Pfad beim Arbeitsplatz in die Adressleiste eingegeben, ohne die Nummer ( A0051349.exe ) ...das meint ich mit oben=Adressleiste so, aber das ist eigentlich auch egal... Problem ist, dass Antivir sich immer noch meldet. Habe auch systemwiederherstellung ausgeschaltet, restart, und wieder angeschaltet... (hab ich das nicht unten schon erwähnt?) mfg matlock |
08.03.2007, 17:38 | #14 |
| Bitte um Auswertung meines Logfiles:) Sollte aber eigentlich weg sein. Lösche einmal dein Quarantäne Ordner von Antivir
__________________ Anleitung Neuaufsetzen des Systems Anleitung Hijackthis Virusscan Jotti Fehler sind Menschlich..... Das größte Problem eines Rechners sitzt meist 50 cm vorm Bildschirm.. |
08.03.2007, 17:53 | #15 |
| Bitte um Auswertung meines Logfiles:) hmm, einfach löschen ist gut... würd mich interessieren, was das genau für eine datei ist, und ob sie wirklich schädlich oder vielleicht doch wichtig fürs system ist. hab auf anderen seiten gelesen, dass Antivir sich wohl nur irrt. mehr habe ich nicht darüber gefunden... nun gut, aber den Quarantäneordner hab ich mal gelöscht, ausser die unrar.dll datei.( mit undoreal vorher durchgegangen und sollte noch bestehen bleiben ) |
Themen zu Bitte um Auswertung meines Logfiles:) |
antivir, auswertung, avg, avira, bho, bootvorgang, explorer, firefox, firewall, hijack, hijackthis, hotkey, internet, internet explorer, langsam, logfile, logfiles, messenger, microsoft, mozilla, mozilla firefox, programme, sehr langsam, software, system32, temp, urlsearchhook, windows, windows xp |