Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.10.2007, 17:05   #1
daniel_626
 
Virus? - Standard

Virus?



Kann mir jemand sagen ob ich nen Virus hab?
Den Stinger hab ich drüberlaufen lassen, er hat zwar was gefunden und vermeintlich gelöscht. Aber da mir immer noch komische Symptome auffallen geh ich lieber auf Nummer sicher.



Hab ein HJT Log File gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:57, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OneStepSearch\onestep.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\OneStepSearch\onestep.exe
C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Telekom Austria
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: OneStep Search Service - OneStepSearch.net, Inc. - C:\Programme\OneStepSearch\onestep.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6530 bytes

Alt 09.10.2007, 17:16   #2
daniel_626
 
Virus? - Standard

Virus?



Halt die Fresse

Jetz hab ich grad bei Tune Up meine aktuell laufenden Programme anzeigen lassen. Was isn da los? (siehe Screenshot)
Miniaturansicht angehängter Grafiken
Virus?-unbenannt-1.jpg   Virus?-unbenannt-2.jpg  
__________________


Alt 10.10.2007, 16:37   #3
daniel_626
 
Virus? - Standard

Virus?



kann den keiner helfen?
Auch nicht ob das normal ist das soviele Hintergrundprogramme laufen?
__________________

Alt 10.10.2007, 16:49   #4
Cleriker
 
Virus? - Standard

Virus?



Hi und Herzlich Willkommen im Trojaner-Board

Zitat:
Halt die Fresse
lol...wenn du das sagst, postet natürlich keiner

1. Die Prozesse und dein Hijackthislog sind in Ordnung
2. Patche bitte Java und schiebe einen escan ein

* Java-Update

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

Alt 10.10.2007, 21:37   #5
daniel_626
 
Virus? - Standard

Virus?



das mit Halt die Fresse sollte ja keiner ernst nehmen

Aber danke das du mir geantwortet hast. Sobald ich Zeit habe werd ich das machen.........
Nur glaub ich jetzt schon das ich mit Java ein Problem haben werde.
Mit dem Dreck hats ja angefangen. Wollte mir ein aktuelles Update herunterladen, hat net funktioniert. Dann hab ich irgendwo gelesen das ich die Firewall ausmachen soll und dann nochmal versuchen soll. Und da hats irgendwas reingemurkst.

Aber mal sehen, vielleicht gehts ja doch

Danke nochmal


Alt 11.10.2007, 19:51   #6
daniel_626
 
Virus? - Standard

Virus?



Wie ich es mir gedacht habe........
Wollte Java updaten, dann kommt folgende Fehlermeldung:

Dieses Installationspaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Paket existiert und dass Sie darauf zugreifen können. Oder lassen Sie den Hersteller der Anwendung überprüfen, ob es sich um ein gültiges Windows Installer-Paket handelt.

Was soll ich da machen?

Alt 11.10.2007, 21:23   #7
Cleriker
 
Virus? - Standard

Virus?



dann mach erst mal nur den escan ohne java-Update

Alt 13.10.2007, 09:03   #8
daniel_626
 
Virus? - Standard

Virus?



So hab den Scan gemacht........

1. hat er mir während des Scannens eine Fehlermeldung gemacht:
Error entdeckt!!! Sie müßen die Vollversion haben um den Error zu entfernen. Klicken sie auf eScan erwerben, um zum Webshop zu gelangen........

2. Glaube ich nicht das er komplett fertiggescannt hat. Auf einmal war das Programm weg. Hab trotzdem die find.bat angeklickt und hat was gefunden:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.6
Sprache: German
C:\DOKUME~1\Daniel\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\hldrrr.exe infiziert von "Trojan-Downloader.Win32.Bagle.cq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\trusted.exe infiziert von "Trojan-Downloader.Win32.Bagle.cq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 9:56:51,89
Batchende: 9:56:55,04



Andere Frage: Brauch ich eigentlich Kaspersky Security UND Anti Virus? Oder kann ich eins von beiden nehmen?

Geändert von daniel_626 (13.10.2007 um 09:18 Uhr)

Alt 15.10.2007, 09:05   #9
Cleriker
 
Virus? - Standard

Virus?



Morgen,

Zitat:
hldrrr.exe
trusted.exe
Die beiden Dateien reichen schon: Du hast eine
Bagle-Variante sitzen -> Troj/BagleDL-CW

Somit kann eine komplette Bereinigung nicht gewährleistet werden.
Folge bitte dem Link:
* System neu aufsetzen mit anschließender Absicherung

Zitat:
Andere Frage: Brauch ich eigentlich Kaspersky Security UND Anti Virus? Oder kann ich eins von beiden nehmen?
Ein AV-Tool von beiden ist sogar effizienter als
beide zusammen, sie bremsen sich bloß gegensdeitig aus.

mfg Cleriker

Alt 15.10.2007, 19:23   #10
daniel_626
 
Virus? - Standard

Virus?



Oh nö, das wollte ich verhindern das ich neu aufsetzen muss..........
Aber wie stehts mit Datensicherung? Kann ich mir meine Videos vom Camcorder, MP3s, Fotos und gewisse Programmsetups absichern? Oder sind die auch alle verseucht?

Schöne Scheiße.........

Jetzt hab ich erst gelesen was das eigentlich ist.
Der kann meine Passwörter senden? Muss ich jetzt Angst haben? zwecks Homebanking und so?

Geändert von daniel_626 (15.10.2007 um 19:29 Uhr)

Alt 16.10.2007, 09:51   #11
Cleriker
 
Virus? - Standard

Virus?



Hi,

Du kannst alle nicht ausführbaren Dateien als
Datensicherung benutzen (keine .exe / .dll ...)

Hatte ich vergessen zu sagen, ändere anschließend
bitte deine Logindaten im Online-/Offlinebereich. Du
kannst deine Passwörter, die du seit dem letzten
NeuAufsetzen benutzt hast, als ausspioniert ansehen.

mfg Cleriker

Alt 16.10.2007, 10:16   #12
daniel_626
 
Virus? - Standard

Virus?



Also kann ich Videos, Fotos, MP3s sichern.....
aber keine Setup Dateien? Z.b. hab ich Service Pack 2 gespeichert.
Das könnte ich nachn aufsetzen gleich rauftun.

Hab auch ein wenig umhergefragt und ein paar meinten es könnte sein dass der Trojaner das neu aufsetzen überlebt. Stimmt das?

Alt 16.10.2007, 15:28   #13
Cleriker
 
Virus? - Standard

Virus?



nicht, wenn du es nach der Anleitung
hier im Forum durchführst.
Falls danach trotzdem wieder auftaucht,
ist er in einem deiner Softwarepacks dabei.
-> also das erste was geht AV-Tool und
alles scannen

mfg Cleriker

Alt 16.10.2007, 19:21   #14
daniel_626
 
Virus? - Standard

Virus?



Danke für die Antworten.

Wie siehts mit Programmdateien aus? Freehand usw. kann ich schon auf CD sichern oder?
Ich hab sowieso gelesen wenn ich auf eine CD sicher kann ich alles rauftun, weil die nicht kompromottiert werden kann. Ist da was dran?

Werde ihn wenn ich Zeit habe neu aufsetzen.
AV-Tool? Meinst das HijackThis und e-scan?

Werde ich dann sowieso machen und wieder hier reinposten.
Und bitte darum dass du dann wieder auswertest.

Sorry für die vielen Fragen aber ich bin eher ein Neuling in dem Gebiet und will auf Nummer sicher gehn

Alt 16.10.2007, 19:32   #15
-SkY-
Gast
 
Virus? - Standard

Virus?



Das beste ist du sicherst nur deine Videos, usw... aber keine ausführbaren Sachen!

Diese kannst du dir vielleicht bei Freunden oder Bekannten runterladen und brennen.

Geändert von -SkY- (16.10.2007 um 19:33 Uhr) Grund: rolololf

Antwort

Themen zu Virus?
0 bytes, adobe, bho, computer, dateien, desktop, explorer, file, firewall, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, launch, log, log file, microsoft, monitor, programme, s-1-5-18, software, system, thomson, trend micro, tuneup utilities, usb, virus, virus?, windows, windows xp





Zum Thema Virus? - Kann mir jemand sagen ob ich nen Virus hab? Den Stinger hab ich drüberlaufen lassen, er hat zwar was gefunden und vermeintlich gelöscht. Aber da mir immer noch komische Symptome - Virus?...
Archiv
Du betrachtest: Virus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.