Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Infiziert, bitte um Hilfe

Infiziert, bitte um Hilfe


Log-Analyse und Auswertung: Infiziert, bitte um Hilfe

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.04.2007, 23:14   #1
cron_ID
 
Infiziert, bitte um Hilfe - Icon21

Infiziert, bitte um Hilfe


Hallo, ich habe nun nach einer kommplett reinigung meines Systems noch ein paar Punkte die mich Stören, ich sie aber nicht entfernt bekomme:

evtl noch ne kleine Info vorneweg, ich benutzte FirefoxProtable als Browser (auch als Standart) und den InternetExplorer habe ich von meinem Pc vorrübergehen verbannt.
Nun öffnet sich aber ab und zu wenn ich mein Browser starte ein tab der zu einem unterordner dieser seite führt: h**p://www.systemdoctor.com

Hier meine Problemfälle aus dem Security Task Manager:
[Name ///// Dateiort ///// Typ ///// Titel-Beschreibung ]
jkklmkk.dll ///// D:\Windows\system32\jkklmkk.dll ///// Internet ///// Browser-Erweiterung
mljgd.dll ///// D:\Windows\system32\mljgd.dll ///// Internet ///// Browser-Erweiterung
icfqryuy.dll ///// D:\Windows\system32\icfqryuy.dll ///// Internet ///// Browser-Erweiterung
lwaurtwm.dll ///// D:\Windows\system32\icfqryuy.dll ///// Programm ///// Sond Service (Inaktiv)

Oder hier per Screenshot zu sehen:
Pic-Upload.de - Kostenlos Bilder hochladen

Und hier mein HijackThis log:
Logfile of HijackThis v1.99.1
Scan saved at 23:18:05, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\WINDOWS\System32\alg.exe
D:\Programme\Unlocker\UnlockerAssistant.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\explorer.exe
D:\Programme\Security Task Manager\TaskMan.exe
D:\Dokumente und Einstellungen\*****.********\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SoundService] rundll32.exe "D:\WINDOWS\system32\lwaurtwm.dll",setvm
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A802F0A-12F3-462E-B6EB-515CF08EED9E}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF8F1A0-CD9A-4A31-885F-9AB10F818E7B}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFE6652E-8D10-4C1D-8A7B-9F869A6CE0D9}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB3624B8-5B76-453F-B38A-FD06EEE5A796}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

Hoffe Ihr könnt mir da helfen, darüber im HijackThis log hab ich noch dinge Markiert die mir komisch vorkommen und nicht recht weis was die prozesse bezwecken, was meint ihr dazu?

Ach und noch eins, wenn ich die Prozesse/dll's löschen kommen sie entweder gleich oder nach einem Systemstart wieder. Helft mir bitte.

(Tools di ich vorher nutzte waren unter anderem Spybot (findet die obrigen Probleme nicht) XPLite(damit hab ich mein InternetExplorer entfernt, hat aber auch nichts gegen die obrigen Probleme gebracht.) und Security-Task-Manager um nen Überblick zu haben. Ansonsten Sysgate als Firewall und Avast als Permanenter Virenschutz.)

Alt 11.04.2007, 14:15   #2
cron_ID
 
Infiziert, bitte um Hilfe - Standard

Infiziert, bitte um Hilfe


kann mir da keiner weiterhelfen???
__________________
Alt 11.04.2007, 14:20   #3
Sunny
Administrator
> Competence Manager
 
Infiziert, bitte um Hilfe - Standard

Infiziert, bitte um Hilfe


Hallo.

DNS-Einträge entfernen:

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

Fixe nun mit HijackThis folgende Einträge im Logfile:

Zitat:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A802F0A-12F3-462E-B6EB-515CF08EED9E}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EF8F1A0-CD9A-4A31-885F-9AB10F818E7B}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFE6652E-8D10-4C1D-8A7B-9F869A6CE0D9}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB3624B8-5B76-453F-B38A-FD06EEE5A796}: NameServer = 85.255.113.110,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny
__________________
__________________
Alt 11.04.2007, 23:55   #4
cron_ID
 
Infiziert, bitte um Hilfe - Standard

Infiziert, bitte um Hilfe


Hier der Fixwareout bericht:

Fixwareout Last edited 4/5/2007
Post this report in the forums please
...
»»»»»Prerun check
HKLM\SOFTWARE\~\Winlogon\ "System"="kdioe.exe"

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "system"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other
D:\WINDOWS\Temp\kdioe.ren 63436 04.08.2004



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="D:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"SmcService"="D:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"SoundMan"="SOUNDMAN.EXE"
"UnlockerAssistant"="\"D:\\Programme\\Unlocker\\UnlockerAssistant.exe\""
"SoundService"="rundll32.exe \"D:\\WINDOWS\\system32\\lwaurtwm.dll\",setvm"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="C:\\Program Files\\ASUS\\SmartDoctor\\SmartDoctor.exe /start"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»

Und hier nun der neue HijackThis nachdem ich mit Fixwareout und HijackThis gefixed hatte

Logfile of HijackThis v1.99.1
Scan saved at 17:58:12, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Sygate\SPF\smc.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Unlocker\UnlockerAssistant.exe
C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\P_Firefox\firefox\firefox.exe
D:\Dokumente und Einstellungen\*****.*****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SoundService] rundll32.exe "D:\WINDOWS\system32\lwaurtwm.dll",setvm
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe

mir viel auf das sich das darüber grün markierte nicht löschen lies oder besser gesagt es immer wieder im bericht auftauchte.

Mit dem Security Task Manager bekommen ich immernoch dieselben fälle angezeit (gleicher screen wie in meinem 1. Post) Internet Funktioniert noch und sonst auch keine Probleme.

escan mach ich nun, poste dann später was danach raus kam.

Antwort

Themen zu Infiziert, bitte um Hilfe
antivirus, avast, avast!, bitte um hilfe, browser, computer, desktop, einstellungen, explorer, firewall, ftp, helfen, hijack, hijackthis, hijackthis log, infiziert, internet explorer, intranet, locker, log, löschen, programm, programme, prozesse, rundll, security, software, urlsearchhook, windows, windows xp, öffnet


« Bitte Prüfen | svchost.exe »


Ähnliche Themen: Infiziert, bitte um Hilfe


  1. Problem..Viren auf der festplatte, eventuell Bootblock infiziert bitte um Hilfe
    Log-Analyse und Auswertung - 02.05.2015 (4)
  2. Pc ist infiziert.. Tugspay... Läuft total langsam Bitte um Hilfe
    Log-Analyse und Auswertung - 21.07.2014 (11)
  3. Habe mich mit Maleware (Malware.Packer.as), die mein Internet verlangsamt, infiziert bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 15.06.2013 (19)
  4. OTL.txt ""sie haben sich mit einem windows-verschlüsselungs trojaner infiziert", ich bitte um hilfe.
    Log-Analyse und Auswertung - 10.06.2012 (3)
  5. RECYCLER Virus ! Computer & USB Sticks infiziert BITTE BITTE HELFT MIR!
    Log-Analyse und Auswertung - 20.11.2011 (1)
  6. Denke mein Laptop ist infiziert! Bitte um Hilfe
    Log-Analyse und Auswertung - 02.11.2009 (2)
  7. PC infiziert von "TR/Crypt.XPACK.Gen" Bitte um Hilfe
    Log-Analyse und Auswertung - 24.10.2009 (1)
  8. Infiziert ??? ... BItte um Hilfe/Rat
    Log-Analyse und Auswertung - 23.10.2009 (3)
  9. Bin ich infiziert? Hilfe bitte!
    Log-Analyse und Auswertung - 26.08.2009 (5)
  10. PC wahrscheinlich infiziert, bitte um Hilfe und Prüfung
    Log-Analyse und Auswertung - 12.07.2009 (59)
  11. PC sehr wahrscheinlich infiziert / Bitte um Hilfe
    Log-Analyse und Auswertung - 10.02.2009 (1)
  12. infiziert mit Trojaner/MalewareRootkits bitte hilfe bei entfernung
    Plagegeister aller Art und deren Bekämpfung - 20.10.2008 (12)
  13. Vundo-infiziert, bitte um Hilfe (HJT und Vundofix-Logs angefügt)
    Log-Analyse und Auswertung - 14.01.2008 (3)
  14. Bitte um Hilfe. PC ist wahrscheinlich infiziert
    Plagegeister aller Art und deren Bekämpfung - 21.12.2007 (11)
  15. Wurde von einem Trojaner infiziert. Bitte um Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.09.2007 (18)
  16. Infiziert mit TR/Agent.37320! Bitte um HIlfe, krieg das nicht gebacken.
    Mülltonne - 31.03.2007 (0)
  17. System noch infiziert? Bitte um Hilfe!
    Log-Analyse und Auswertung - 16.10.2005 (8)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Infiziert, bitte um Hilfe - Hallo, ich habe nun nach einer kommplett reinigung meines Systems noch ein paar Punkte die mich Stören, ich sie aber nicht entfernt bekomme: evtl noch ne kleine Info vorneweg, ich - Infiziert, bitte um Hilfe...
Archiv
Du betrachtest: Infiziert, bitte um Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131