|
Log-Analyse und Auswertung: Bitte um rat...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
31.10.2007, 01:11 | #1 |
| Bitte um rat... Hallo ich bräuchte mal euren rat....irgendwas scheint mit meinem rechner nicht zu stimmen...ist auf einmal sehr langsam und ab und an spinnt die maus oder der media player spielt auf einmal keine musik mehr ,hört mitten im lies auf/schließt sich usw usw...Würde mich sehr freuen wenn jemand sich mal meinen log anschauen könnte... Liebe Grüße suni StartupList report, 31.10.2007, 01:09:09 StartupList version: 1.52.2 Started from : C:\Programme\Trend Micro\HijackThis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\CursorXP\CursorXP.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Sandboxie\SbieSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Sandboxie\Control.exe C:\Programme\No-IP\DUC20.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\notepad.exe C:\Programme\Mozilla Firefox\firefox.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run avgnt = "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min SmcService = C:\PROGRA~1\Sygate\SPF\smc.exe -startgui -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CursorXP = C:\Programme\CursorXP\CursorXP.exe SpybotSD TeaTimer = C:\Programme\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{306D6C21-C1B6-4629-986C-E59E1875B8AF}] StubPath = "C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] * StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install -------------------------------------------------- Enumerating ICQ Agent Autostart apps: HKCU\Software\Mirabilis\ICQ\Agent\Apps *Registry value not found*\*Registry value not found* -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry value not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\Flash9b.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating Windows NT/2000/XP services ACEDRV09: \??\C:\WINDOWS\System32\drivers\ACEDRV09.sys (autostart) Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart) AntiVir PersonalEdition Classic Planer: "C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe" (autostart) AntiVir PersonalEdition Classic Guard: "C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe" (autostart) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart) Fehlerberichterstattungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Nachrichtendienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll: System32\DRIVERS\nwlnkipx.sys (autostart) NWLink-NetBIOS: System32\DRIVERS\nwlnknb.sys (autostart) NWLink SPX/SPXII-Protokoll: System32\DRIVERS\nwlnkspx.sys (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Sandboxie Service: C:\Programme\Sandboxie\SbieSvc.exe (autostart) Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Secdrv: System32\DRIVERS\secdrv.sys (autostart) Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Sygate Personal Firewall: C:\Programme\Sygate\SPF\smc.exe (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Windows User Mode Driver Framework: C:\WINDOWS\System32\wdfmgr.exe (autostart) Upload-Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Windows-Zeitgeber: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) SyGate for NT, wg3n: \SystemRoot\SYSTEM32\Drivers\wg3n.sys (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Automatische Updates: %systemroot%\system32\svchost.exe -k netsvcs (autostart) Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 10.235 bytes Report generated in 1,593 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
31.10.2007, 20:38 | #2 |
| Bitte um rat... c:\windows\system32\shmgrate.exe
__________________is irgendwie verdächtig.... hab ein bisschen gegooglt... http://virusscan.jotti.org/de shmgrate.exe mal dort hoch und lass sie überprüfen! und poste mal den bericht von dem virusscan |
01.11.2007, 10:39 | #3 |
| Bitte um rat... Hallo,
__________________der genannte Prozess wird beim Googlen zwar als Sdchädling aufgezeichnet, ist aber so gut wie in jedem System dabei. Kannst ja trotzdem mal scannen. 1. Service Pack 2 updaten / installieren 2. XP-Updates updaten / installieren 3. Firewall von Windows XP SP2 aktivieren * HijackThis - Scan 1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final 2. Entpacke es in einen seperaten Ordner und benenne es um (z.b. C:\Programme\HijackThis\pruefung.com) 3. Führe die Datei aus und bestätige die Warnung mit "ok" 4. Wähle die Option "Do a System Scan and save a logfile" 5. poste den kompletten Inhalt des entstehenden LogFiles 6. Entferne persönliche Informationen sowie aktive Links * MWAV (eScan) - Free Antivirus 1. Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan 2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) mfg Cleriker |
Themen zu Bitte um rat... |
afd.sys, antivir, auf einmal, avira, browser, c:\windows\system32\rundll32.exe, explorer, firefox, firewall, helper, hijack, hijackthis, internet, internet explorer, langsam, maus, mozilla, mozilla firefox, musik, no-ip, outlook express, programme, registry, registry value, rundll, saver, screensaver, sehr langsam, shockwave, software, stimme, system, trend micro, updates, ups, userinit.exe, windows, windows xp, windows\system32\drivers |