| |
| |||||||
Log-Analyse und Auswertung: Bitte einmal überprüfen, ob nun alles okay istWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
29.01.2008, 01:02
| #1 |
| |  Bitte einmal überprüfen, ob nun alles okay ist Hallo, ich hatte in letzter Zeit ziemlich viele Probleme mit meinem Rechner und hab diverse Tipps aus eurem Forum befolgt. Jetzt läuft er problemlos, ich würde aber trotzdem gerne wissen, ob er auch laut Log-File sauber ist. Ich hatte da früher schon schlechte Erfahrungen gemacht. Logfile of HijackThis v1.99.1 Scan saved at 00:50:36, on 29.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\phonostar\ps_timer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Program Files\HiJackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O2 - BHO: SXG Advisor - {EF39E67B-8383-4A49-AAC6-29349FA7F623} - C:\WINDOWS\dntpkwodpx.dll (file missing) O3 - Toolbar: ekxdvft - {F25117E3-2A27-4A0C-88EE-D9307F678DD0} - C:\WINDOWS\ekxdvft.dll (file missing) O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Nicole\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: StudNET Login Client.lnk = C:\WINDOWS\system32\studnet\studnet.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137235829471 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6629F751-D188-4447-A09C-B83D28C74606}: NameServer = 139.18.25.3 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
|
29.01.2008, 07:49
| #2 | |||
  | Bitte einmal überprüfen, ob nun alles okay ist Hi,
__________________nein, ist es nicht! Du hast noch einen Wurm am Laufen: O4 - HKLM\..\RunServices: [Windows Update System Shell] svhostcs32.exe! -> Pfad nicht klar, wahrscheinlich im system32, sonst suchen und Pfad in den Scripts anpassen... -> W32/Rbot-AAZ - Spyware Worm - Sophos threat analysis Bitte folgende Files prüfen: Zitat:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen Poste die Logs mit Filename! Also: Avenger avenger.zip - The Avenger Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat:
Prevx CSI - FREE Malware Scanner chris Chris
__________________ |
|
29.01.2008, 12:38
| #3 |
| | Bitte einmal überprüfen, ob nun alles okay ist Okay, danke so weit.
__________________Studnet hab ich gleich einmal runtergeworfen. das war mein altes Programm um mich ins Netz einzuloggen. Ich hab nicht viel Ahnung von solchen Sachen und versuche nur, die Anweisungen so gut es geht umzusetzen. Verzeihung, wenn es mal nicht richtig ist. Also zu dem Virus Total Scan vom svhostcs32.exe: MD5: 65a819b121eb6fdab4400ea42bdffe64 Datum 2008.01.29 10:42:31 (CET) [<1D] Ergebnisse 0/32 Permalink: analisis/80d832574691b48202a5139004ffe4a9 Datei svchost.exe empfangen 2008.01.29 12:30:03 (CET) Ergebnis: 0/32 (0%) Datei existiert nicht oder dessen Lebensdauer wurde überschritten Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.29.11 2008.01.29 - AntiVir 7.6.0.57 2008.01.29 - Authentium 4.93.8 2008.01.29 - Avast 4.7.1098.0 2008.01.28 - AVG 7.5.0.516 2008.01.29 - BitDefender 7.2 2008.01.29 - CAT-QuickHeal 9.00 2008.01.28 - ClamAV 0.91.2 2008.01.29 - DrWeb 4.44.0.09170 2008.01.29 - eSafe 7.0.15.0 2008.01.28 - eTrust-Vet 31.3.5494 2008.01.29 - Ewido 4.0 2008.01.29 - FileAdvisor 1 2008.01.29 - Fortinet 3.14.0.0 2008.01.29 - F-Prot 4.4.2.54 2008.01.28 - F-Secure 6.70.13260.0 2008.01.29 - Ikarus T3.1.1.20 2008.01.29 - Kaspersky 7.0.0.125 2008.01.29 - McAfee 5217 2008.01.28 - Microsoft 1.3109 2008.01.28 - NOD32v2 2831 2008.01.29 - Norman 5.80.02 2008.01.29 - Panda 9.0.0.4 2008.01.28 - Prevx1 V2 2008.01.29 - Rising 20.29.12.00 2008.01.29 - Sophos 4.25.0 2008.01.29 - Sunbelt 2.2.907.0 2008.01.29 - Symantec 10 2008.01.29 - TheHacker 6.2.9.201 2008.01.28 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.28 - Webwasher-Gateway 6.6.2 2008.01.29 - weitere Informationen File size: 14336 bytes MD5: 65a819b121eb6fdab4400ea42bdffe64 SHA1: 0dfdee2871427e9c40ec82541156884ff9b4bfa3 PEiD: - |
|
29.01.2008, 12:49
| #4 |
| | Bitte einmal überprüfen, ob nun alles okay ist Der Avenger erbrachte folgendes: Error: selected file does not appear to be a valid script. Error code: 0 Und PrevXCSI fand folgendes: SWREG.EXE Malware.Gen Geändert von Floree (29.01.2008 um 13:16 Uhr) |
|
29.01.2008, 14:06
| #5 | |
| | Bitte einmal überprüfen, ob nun alles okay ist Hi, bitte nicht "Zitat" mit reinkopieren... Weiterhin noch folgendes File aufnehmen: C:\WINDOWS\system32\swreg.exe C:\WINDOWS\system32\swsc.exe Du hast die falsche Datei prüfen lassen die hier ist von Windows (daher hat kein Scanner angeschlagen):svchost.exe Und die hier ist der Trojaner:svhostcs32.exe (Schreibweise beachten!) Das Script müsste nun wie folgt aussehen: Also: Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
29.01.2008, 14:39
| #6 |
| | Bitte einmal überprüfen, ob nun alles okay ist Oh okay, mein fehler. Jetzt hat er neu gestartet. Und nun? |
|
29.01.2008, 15:12
| #7 |
| | Bitte einmal überprüfen, ob nun alles okay ist Hi, poste das Log von Avenger und ein neues HJ-Log.. chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
29.01.2008, 15:21
| #8 |
| | Bitte einmal überprüfen, ob nun alles okay ist das neue HJ Log: Logfile of HijackThis v1.99.1 Scan saved at 15:18:27, on 29.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\PrevxCSI\prevxcsi.exe C:\Programme\phonostar\ps_timer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\MySpace\IM\MySpaceIM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Program Files\HiJackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PrevxCSI] "C:\Programme\PrevxCSI\prevxcsi.exe" -boot O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Nicole\OctoshapeClient.exe" -inv:bootrun O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137235829471 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6629F751-D188-4447-A09C-B83D28C74606}: NameServer = 139.18.25.3 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Bei dem Avenger steht gar nichts drin. |
|
29.01.2008, 15:53
| #9 |
| | Bitte einmal überprüfen, ob nun alles okay ist Hi, das neue Log ist OK! chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
29.01.2008, 15:56
| #10 |
| | Bitte einmal überprüfen, ob nun alles okay ist Super. Danke danke danke! |
|
| Themen zu Bitte einmal überprüfen, ob nun alles okay ist |
| adobe, antivir, avira, bho, cs3, dateien, diverse, download, downloader, explorer, firefox, firewall, free download, helper, hijack, hijackthis, internet, internet explorer, log-file, mozilla, mozilla firefox, mozilla thunderbird, pdf, photoshop, programme, system, windows, windows xp |
Linear-Darstellung
