|
Log-Analyse und Auswertung: Hilfe! Bitte mal die Log durchschauen :-(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
17.12.2007, 22:21 | #1 |
| Hilfe! Bitte mal die Log durchschauen :-( Hallo, irgendwie hab ich mir gestern einen Trojaner eingefangen, bei den Versuchen mein Sims-Spiel wieder zu reparieren, was leider auch unerfolgreich war. Jedenfalls habe ich heute eine Warnung bezüglich des "trojan.vundo" erhalten. Norten Internet Security sagt zwar, er blockiert ihn, doch anscheinend löscht er ihn nicht. Ich habe trotzdem einige Pop-Ups gehabt. Außerdem meckert mein PC die ganze Zeit bezüglich eines Abbildfehlers (oder so ähnlich) in der Datei ../system32/wowfx.dll. Ich hab die Datei schon einmal gelöscht und danach war es gut, aber sie war nach dem Neustart wieder da. Außerdem erscheint mr mein PC langsamer. Ich habe es auch schon mit VundoFix probiert, aber es hat nicht funktioniert. Ich hoffe ihr könnt mir helfen, aber ich muss euch warnen. Ich hab nicht soviel Ahnung von Computern, also erklärt mir bitte genau was ich machen muss um das Problem zu lösen. Vielen Dank. Edit: Es ist noch ein Symptom hinzu gekommen. Ich kann den TaskManager nicht mehr erreichen und außerdem wird beim Start immer gleich das Windows-Systemfenster .../cmd geöffnet. Logfile of HijackThis v1.99.1 Scan saved at 22:16:38, on 17.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\sm56hlpr.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Daemon Tools\daemon.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\shovth.exe C:\WINDOWS\system32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\ICQ6\ICQ.exe C:\PROGRA~1\NORTON~1\NORTON~1\navw32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Julia\Eigene Dateien\Install\hijackthis\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h***://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h***://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h***://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h***://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h***://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: (no name) - {3E0ECD29-5D32-4C7E-9CD2-066CA87D3A11} - C:\WINDOWS\system32\awvts.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: (no name) - {DB0B918E-A0A8-482B-8D75-A682816B0C7B} - C:\WINDOWS\system32\vturspp.dll O2 - BHO: AcroIEHelper - {F3CFA533-7680-4943-A863-B8216390E847} - C:\WINDOWS\system32\AcroIEHelper.dll (file missing) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Daemon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" O4 - HKLM\..\Run: [sis32] C:\WINDOWS\system32\winsos.exe O4 - HKLM\..\Run: [winroot] C:\WINDOWS\system32\winsn.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU\..\Run: [jdpoayea] C:\WINDOWS\rvjsrhcn.bat O4 - HKCU\..\Run: [inetsrv] C:\WINDOWS\inetsrv.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127742589000[/url] O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - h**p://www.adobe.com/products/acrobat/nos/gp.cab[/url] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url] O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) -h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab[/url] O20 - Winlogon Notify: botreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll O20 - Winlogon Notify: vturspp - C:\WINDOWS\SYSTEM32\vturspp.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing) O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\..\svchost.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe Geändert von MissLIberty (17.12.2007 um 22:46 Uhr) |
17.12.2007, 23:12 | #2 |
| Hilfe! Bitte mal die Log durchschauen :-( Hallo
__________________dein System scheint mir komplett verseucht zu sein mach aber zuerst mal alle versteckten Dateien und Ordner sichtbar und dann lass diese Dateien : C:\WINDOWS\system32\shovth.exe C:\WINDOWS\system32\winsos.exe C:\WINDOWS\system32\winsn.exe C:\WINDOWS\system32\kernelwind32.exe C:\Windows\xpupdate.exe C:\WINDOWS\rvjsrhcn.bat C:\WINDOWS\inetsrv.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll C:\WINDOWS\SYSTEM32\vturspp.dll c:\windows\system32\..\svchost.exe (beachte bitte die genaue schreibweise sowie die genauen Pfade) hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Mach aber schonmal mit dieser Anleitung vertraut du wirst sie sicherlich brauchen können, aber werte erstmal die Dateien aus. Neuaufsetzen des Systems und anschliessende Absicherung! MFG |
18.12.2007, 21:00 | #3 |
| Hilfe! Bitte mal die Log durchschauen :-( Hallo,
__________________vielen Dank für deine/eure Bemühungen. Das ist wirklich sehr nett. Ich habe jezt mal die angegebenen Scans durchgeführt. Das ging bei einigen Dateien einwandfrei, bei anderen ist es etwas schwieriger. Da wollen die Programme zum Tei nicht so wie ich will. Was bedeutet es, wenn es meine Datei nicht scannen möchte, sondern mir eine bereits "ge-uploadete" zur Verfügung stellt? Ist das egal woher die kommt? Hier erstmal die ersten einfach zu scannenen Dateien. Viel Spaß beim analysieren! Ihr habt meine vollste Bewunderung! Bitte beachtet, dass ich über den jeweiligen Einträgen öfters wichtige Kommtenare eingefügt habe, z.B. bezüglich Directory-Abweichungen. PHP-Code: |
18.12.2007, 21:52 | #4 |
| Hilfe! Bitte mal die Log durchschauen :-( So, hier der zweite Teil. Bitte wieder die Kommentare beachten! PHP-Code: C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\bot.dll Bei einer Suche wird diese Datei zwar als existent angezeigt, aber sie beinhaltet 0 Byte odder wird von den Virenscannern erst gar nicht erkannt. Im Übrigen wurde das Programm svchost.exe wurde auch noch unter C:\WINDOWS\svchost.exe gefunden. Jedoch tritt beim Upload bei VirScan ein Fehler auf. |
19.12.2007, 06:11 | #5 | |||
| Hilfe! Bitte mal die Log durchschauen :-( Hallo Zitat:
http://ftp2.percomp.de/query/show_entry.php?index=1612&jump=OnlineGames.TL Zitat:
Zitat:
Aufgrund der Backdooreigenschaften und das diese Schädlinge auch noch welche nachladen, möchte ich dir diese Anleitung ans Herz legen. Neuaufsetzen des Systems und anschliessende Absicherung! Ändere unbedingt alle deine Pass- und Kennwörter nach der Neuinstallation. Wenn du eine Sicherung deiner Daten durchführen möchtest/musst, sichere bitte nur Bilder, Videos, MP3 und Officedateien keinesfalls ausführbare (z.B. *.exe, *.bat, *.pif, *.scr usw.) diese könnten manipuliert sein. Sorry für die schlechte Nachricht, aber aufgrund der Eigenschaften und das einige Schädlinge zum teil völlig unbekannt sind, ist dies der einzig sichere Weg wieder an ein vertrauenswürdiges System zu kommen. Lies dich in der verlinkten Anleitung ein wenig ein du wirst dort wertvolle Tips mitnehmen können. MFG |
19.12.2007, 21:56 | #6 |
| Hilfe! Bitte mal die Log durchschauen :-( Oh das is ja doof. kann ich nicht die befallenen dateien einfach löschen? (vermutlich nicht, aber fragen kann man ja mal...) |
Themen zu Hilfe! Bitte mal die Log durchschauen :-( |
adobe, bho, blockiert, browser, computer, computern, downloader, einstellungen, excel, google, helfen, hijack, hijackthis, internet, internet explorer, internet security, microsoft security, monitor, object, photoshop, problem, security, security update, shockwave, software, symantec, taskmanager, trojaner, trojaner eingefangen, warnung, windows xp |