| |
| |||||||
Log-Analyse und Auswertung: VirusWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.05.2008, 15:08
| #1 |
| |  Virus Hallo , ich habe einige Probleme. Es fing damit an, das sich mein Xp nicht mehr starten lies. Es kam immer eine Fehlermeldung, das war es dann. Nun kam ich nicht mehr an meine Daten. Also kaufte ich mir eine zweite Festplatte, spielte Xp drauf und konnte nun auf die andere Festplatte zugreifen, Alles gut und schön. Die Festplatte war in 3 Partitionen aufgeteilt, auf 2 konnte ich zugreifen, nur nicht auf die, worauf es mir ankam. Es kam der "freundliche Hinweis: Auf L: kann nicht zugegriffen werden. Die Datenträgerstruktur ist beschädigt und nicht lesbar. Geht man auf Eigenschaften wird die Partition mit 0 Byte angezeigt. Nun durchsuchte ich L mit diversen Programmen, die gelöschte Dateien wiederherstellen, sie fanden nichts. Nur 2 zeigten sie mir an, sie waren noch vorhanden, obwohl L mit 0Byte angezeigt wird. Mit anderen Worten, es ist alles noch da und ich komme mit normalen Mitteln nicht dran. Inzwischen habe ich sie wieder. Gute Dienste leistete mir eine Notfall CD vom Computermagazin COM. Alles in Englisch und ich mußte etwas probieren, dann klappte es. Wie kommt es das die Partition mir mit 0Byte angezeigt wird, obwohl alles noch da ist. Das hier mußte ich abtippen, es lies sich nicht kopieren. Das ist die neue Festplatte, darauf habe ich keine Partitionen eingerichtet. Das fand ein Tool das Partitionen auf Festplatten anzeigt. WDC WD80088-00JHC0 (74,53GB) J  NTFS, 74,52GB, 1018-1FB4)Offset 481.357.312Bytes (FAT16, 10,12 MB, 0000-0000) Offset 481.357.824Bytes (FAT32, 1,00 GB, 0000-0000) Offset 481.359.360Bytes (FAT32, 109,22 MB, 1F0E-7C00) Offset 482.403.840Bytes (NTFS, 0 Bytes, 0000-0000) Offset 876.653.648Bytes (FAT16, 1,40 MB, 5025-0E47) Das ist die alte Festplatte, darauf waren 3 Partitionen eingerichtet. Jetzt heißen sie K:, M:, L: Auf K: liegt das Bootmenue, aber es bootet nicht mehr. L: ist plötzlich RAW, ist das soetwas wie FAT , oder NTFS? Maxtor 4D080H4 (76,33 GB) K: (FAT16, 7, 78 MB, C80E-DEB8) L RAW, 39,06GB, FFFF-FFFF)Offset 8.257.536.Bytes (NTFS, 39,06 GB, 1C0E-0987) Offset 489.582.592 Bytes (Fat16, 10,12 MB, 0000-0000) Offset 489.583.104 Bytes (Fat32, 1,00 GB, 0000-oooo) Offset 489.584.640 Bytes (Fat32, 109,22 MB, 1F0E-7C00) Offset 490.629.120 Bytes (NTFS, 0 Bytes, 0000-0000) Offset 2.945.265.664 Bytes (Fat16, 1,40MB, 12DD-1E62) M: (NTFS, 37,25 GB, 647D-86EC) Hier noch einige Meldungen: 07.05.2008 01:18:12 Der Versuch von Prozess mit PID 912 Zugriff auf den Prozess Kaspersky Personal Security Suite mit PID 1672 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf zurück, dass der Selbstschutzmechanismus ausgelöst wurde. er möchte audf IP 87.248.217.104:80 TCP zugreifen. 06.05.2008 22:05:49 Datei: J:\pagefile.sys nicht bearbeitet wird von anderer Anwendung benutzt gehört das zu Windows? bei einem Scan tauchte manchmal iSwift oder iChecker auf, gehört das zu Window? Was ist das? DNS: dethostbyname: 11001 hier ein Protokoll von Protect der Fritzbox: IndexTyp,Zeit,Bezeichnung,Details,Pfad, 0,Kommunikation abgelehnt,05.05.2008 20:28:54,smss.exe,'smss.exe' startet 'winlogon.exe', es wird versucht eine Internetverbindung herzustellen.,\SystemRoot\System32\smss.exe, 1,Kommunikation abgelehnt,05.05.2008 20:28:54,winlogon.exe,Ausgehende Verbindung Ziel-IP-Adresse 217.xxx.xx.xxx Port 80 mit Protokoll TCP.,\??\J:\WINDOWS\system32\winlogon.exe, 2,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE, 3,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE, 4,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32 Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe, 5,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32 Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe, 6,Kommunikation gestattet,05.05.2008 20:30:40,Internet Explorer,Namensauflösung für www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE, 7,Kommunikation gestattet,05.05.2008 20:32:03,Internet Explorer,Namensauflösung für www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE, 8,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für de.start2.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe, 9,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für de.fxfeeds.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe, 10,Kommunikation gestattet,05.05.2008 20:34:11,Internet Explorer,Namensauflösung für www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE, Kann da jemand drin sein? Ich hatte einige Male die Meldung , ich sollte die Fritzbox installieren mit Zugangsdaten und so, dabei ist das schon erledigt. eine seltsame Adresse! , die 2 Fragezeichen vorher: \??\J:\WINDOWS\system32\winlogon.exe, Hier noch ein Logfile mit HiJack: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 15:45:05, on 07.05.2008 Platform: Windows XP (WinNT 5.01.2600) Boot mode: Normal Running processes: J:\WINDOWS\System32\smss.exe J:\WINDOWS\system32\winlogon.exe J:\WINDOWS\system32\services.exe J:\WINDOWS\system32\lsass.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\System32\svchost.exe J:\WINDOWS\Explorer.EXE J:\WINDOWS\system32\spoolsv.exe J:\Programme\FRITZ!DSL\IGDCTRL.EXE J:\Programme\avmwlanstick\WlanNetService.exe J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe J:\Programme\avmwlanstick\wlangui.exe J:\WINDOWS\System32\igfxtray.exe J:\WINDOWS\System32\hkcmd.exe J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe J:\WINDOWS\System32\ctfmon.exe J:\Programme\Messenger\msmsgs.exe J:\Programme\FRITZ!DSL\FwebProt.exe J:\Programme\FRITZ!DSL\StCenter.EXE J:\WINDOWS\System32\wuauclt.exe J:\WINDOWS\system32\notepad.exe J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: swregver.exe O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855 258356 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - J:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - J:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe -- End of file - 3858 bytes das ist ohne Internet und nun noch eines mit Internet: Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 15:58:33, on 07.05.2008 Platform: Windows XP (WinNT 5.01.2600) Boot mode: Normal Running processes: J:\WINDOWS\System32\smss.exe J:\WINDOWS\system32\winlogon.exe J:\WINDOWS\system32\services.exe J:\WINDOWS\system32\lsass.exe J:\WINDOWS\system32\svchost.exe J:\WINDOWS\System32\svchost.exe J:\WINDOWS\system32\spoolsv.exe J:\WINDOWS\Explorer.EXE J:\Programme\avmwlanstick\wlangui.exe J:\WINDOWS\System32\igfxtray.exe J:\WINDOWS\System32\hkcmd.exe J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe J:\WINDOWS\System32\ctfmon.exe J:\Programme\Messenger\msmsgs.exe J:\Programme\FRITZ!DSL\FwebProt.exe J:\Programme\FRITZ!DSL\StCenter.EXE J:\Programme\FRITZ!DSL\IGDCTRL.EXE J:\Programme\avmwlanstick\WlanNetService.exe J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe J:\WINDOWS\system32\NOTEPAD.EXE J:\WINDOWS\System32\wuauclt.exe J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: swregver.exe O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855 258356 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - J:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM WLAN Connection Service - AVM Berlin - J:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame Dateien\AVM\de_serv.exe -- End of file - 3858 bytes Es wurden schon 3 Viren und einige Trojanische Pferde gefunden und ein Rootkit. mit Oneline Scan. Das dürften aber nicht alle sein. Ich denke mal mein Virenscanner wurde lahmgelegt, AntiVir. Nun hab ich Kasperty, kann sich da auch ein Virus einnisten? Ich bekomme die Meldung, er möchte sich mit dem Internet verbinden, lehne ich ab, komme ich nicht rein. Außerdem geht manchmal nichts mehr, da ist der IE lahmgelegt, nichts geht mehr. Da muß ich immer ein neues Fenster öffnen und das alte beenden. Manchmal sind bis zu 6 IE Prozesse im Task Manager, obwohl ich nur ein Fenster auf habe. Beende ich sie, sind sie gleich wieder da, meist mit über 20.100 k. die CPU ist oft bis 100% ausgelastet. manchmal geht meine Maus nicht mehr!!!!1 Ich bedanke mich schon mal im voraus für Eure Hilfe und eventuellen Ratschläge liebe Grüße Daggi |
Baum-Darstellung