|
Log-Analyse und Auswertung: Bitte um LogfileauswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
10.12.2007, 18:46 | #1 |
| Bitte um Logfileauswertung Erst mal ein freundliches Hallo an alle Profis hier, ihr leistet eine super Arbeit :aplaus: Nun mein Problem, ich habe gestern ein scan mit a-squared free durchgeführt und musste mit erschrecken feststellen, das ich den Backdoor.Ciadoor.13 im Ordner System Volume Information > restore .... hatte. Hab keine Ahnung wie das da hin gekommen ist. Meine Maßnahme war die deaktivierung der Systemwiederherstellung, womit der ganze Inhalt des Ordners gelöscht wurde. habe danach nochmal a-squared free und mein Antivir (Trend Micro) scannen lassen und die haben nichts gefunden. Jetzt bin ich aber ein wenig verunsichert, weil ich nichts gutes über diesen Backdoor gelesen habe. Mein BS ist Win XP Prof. Hier mein HiJackThisLog: Logfile of HijackThis v1.99.1 Scan saved at 18:09:39, on 10.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\a-squared Free\a2service.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe D:\HijackThis\HijackThis.exe C:\WINDOWS\system32\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 2007\pccguide.exe" O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\WINDOWS\system32\shdocvw.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe Vielen Dank schon mal im Voraus. Gruß Richie |
11.12.2007, 16:13 | #2 |
| Bitte um Logfileauswertung Hallo und Herzlich Willkommen im Trojaner-Board
__________________Ich kann zwar keine Entdeckung in deinem Hijackthislogfile machen, jedoch weißt du bestimmt selber, dass ein System nach einer Backdoorinfizierung nicht mehr vertrauenswürdig ist. (besonders in der Systemwiderherstellung) Wenn du die genaue Bezeichnung des Schädlings rausrücken kannst, können wir vielleicht fest stellen, ob es Sinn macht das Risiko einzugehen und nicht neu auf zu setzen, sprich weitere Analysen zu fahren. mfg Cleriker |
12.12.2007, 00:28 | #3 |
| Bitte um Logfileauswertung Hallo Cleriker,
__________________vielen Dank für die schnelle Antwort und die nette Begrüßung. Nun, a-squared free hatte mir leider nur angezeigt wie der Backdoor heißt und wo dieser sich befindet (restore mit Nummer dahinter). Dummerweise habe ich mir diese Nummer nicht aufgeschrieben. Hatte danach auch sofort die Internetverbindung gekappt, Systemwiederherstellung deaktiviert und im abgesicherten Modus nochmal die Scanner drüberlaufen lassen. Habe heute nur mal aus Neugier auch einen Rootkit-Killer (GMER 1.0) scannen lassen. Dieser hatte auch nichts gefunden. Aber ich hätte da noch ein Log von eSan, wenn das aufschlussreicher ist? Nur ist das ein ewig langer Text und ich weiß nicht so recht, wie ich den hier posten kann. Und was genau wird davon benötigt? Gruß Richie |
12.12.2007, 09:50 | #4 |
| Bitte um Logfileauswertung Ich entnehme deinen Aussagen, dass du nicht neu aufsetzen möchtest, sondern dein System vollständig bereinigen willst. Gewährleisten kann ich dir das aber nicht, da die Bezeichnung nicht bekannt ist. Mach folgendes: 1) Poste das Ergebnis des Escans mit Hilfe der find.bat. - rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop\find.bat) - führe die find.bat aus - das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag - Entferne bitte nicht selber von escan alarmierte Funde. -> Es sind erfahrungsgemäß viele Fehlalarme dabei 2) * Silentrunners Logfile 1. Lade dir das Tool -> Silentrunners 2. Entpacke das Script in einen Ordner deiner Wahl 3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen 4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) 5. Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (die Datei wird im selben Ordner wie das Tool gespeichert) Falls das Script eine Fehlermeldung ausgibt: - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat 3) * Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp mfg Cleriker |
12.12.2007, 19:27 | #5 |
| Bitte um Logfileauswertung Hallo Cleriker, vielen Dank für deine ausführliche Anleitung, aber ich werde das System neu aufsetzen! Hatte heute wieder Schadsoftware auf dem Rechner, habe jetzt die Nase voll. Nur hätte ich da noch eine Frage. Ich habe ein Backup meiner Einstellungen (Windows, Firefox) gemacht. Dateien und ein Teil der Programme sind auf einer anderen Festplatte, aber dort wurde nichts gefunden. Ist es Sinnvoll, oder sicher diese Einstellungen auf das "neue" BS wieder einzuspielen? Laut Virenscanner ist das Backup der Einstellungen sauber (was ja noch lange nichts heißt). Weiß vllt auch jemand, wie viel Platz Win XP Prof. SP2 inklusive aller Patches benötigt? Habe vor eine Partition zu erstellen wo nur das BS drauf ist. (Ja, ich weiß das der Zugriff auf die Programme dann länger dauert) Mfg Richie |
14.12.2007, 16:55 | #6 |
| Bitte um Logfileauswertung Hat sich erledigt, hab mein System neu aufgesetzt. Vielen Dank an Euch allen. Gruß Riche |
Themen zu Bitte um Logfileauswertung |
antivir, bho, central, dateien, dll, ellung, explorer, firewall, hijack, internet, internet explorer, internet security, keine ahnung, maßnahme, micro, microsoft, nvidia, ordner, problem, programme, rundll, scan, security, software, spyware, super, system, system volume information, systemwiederherstellung, trend micro, windows, windows xp |