Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 07.05.2008, 15:08   #1
Daggi
 
Virus - Standard

Virus



Hallo , ich habe einige Probleme.
Es fing damit an, das sich mein Xp nicht mehr starten lies. Es kam immer eine Fehlermeldung, das

war es dann. Nun kam ich nicht mehr an meine Daten.

Also kaufte ich mir eine zweite Festplatte, spielte Xp drauf und konnte nun auf die andere

Festplatte zugreifen, Alles gut und schön. Die Festplatte war in 3 Partitionen aufgeteilt, auf 2

konnte ich zugreifen, nur nicht auf die, worauf es mir ankam. Es kam der "freundliche Hinweis:

Auf L: kann nicht zugegriffen werden. Die Datenträgerstruktur ist beschädigt und nicht lesbar.

Geht man auf Eigenschaften wird die Partition mit 0 Byte angezeigt.

Nun durchsuchte ich L mit diversen Programmen, die gelöschte Dateien wiederherstellen, sie

fanden nichts. Nur 2 zeigten sie mir an, sie waren noch vorhanden, obwohl L mit 0Byte angezeigt

wird. Mit anderen Worten, es ist alles noch da und ich komme mit normalen Mitteln nicht dran.

Inzwischen habe ich sie wieder. Gute Dienste leistete mir eine Notfall CD vom Computermagazin

COM. Alles in Englisch und ich mußte etwas probieren, dann klappte es.

Wie kommt es das die Partition mir mit 0Byte angezeigt wird, obwohl alles noch da ist.

Das hier mußte ich abtippen, es lies sich nicht kopieren.


Das ist die neue Festplatte, darauf habe ich keine Partitionen eingerichtet. Das fand ein Tool

das Partitionen auf Festplatten anzeigt.

WDC WD80088-00JHC0 (74,53GB)

JNTFS, 74,52GB, 1018-1FB4)
Offset 481.357.312Bytes (FAT16, 10,12 MB, 0000-0000)
Offset 481.357.824Bytes (FAT32, 1,00 GB, 0000-0000)
Offset 481.359.360Bytes (FAT32, 109,22 MB, 1F0E-7C00)
Offset 482.403.840Bytes (NTFS, 0 Bytes, 0000-0000)
Offset 876.653.648Bytes (FAT16, 1,40 MB, 5025-0E47)



Das ist die alte Festplatte, darauf waren 3 Partitionen eingerichtet. Jetzt heißen sie K:, M:,

L:
Auf K: liegt das Bootmenue, aber es bootet nicht mehr.

L: ist plötzlich RAW, ist das soetwas wie FAT , oder NTFS?


Maxtor 4D080H4 (76,33 GB)

K: (FAT16, 7, 78 MB, C80E-DEB8)


LRAW, 39,06GB, FFFF-FFFF)
Offset 8.257.536.Bytes (NTFS, 39,06 GB, 1C0E-0987)
Offset 489.582.592 Bytes (Fat16, 10,12 MB, 0000-0000)
Offset 489.583.104 Bytes (Fat32, 1,00 GB, 0000-oooo)
Offset 489.584.640 Bytes (Fat32, 109,22 MB, 1F0E-7C00)
Offset 490.629.120 Bytes (NTFS, 0 Bytes, 0000-0000)
Offset 2.945.265.664 Bytes (Fat16, 1,40MB, 12DD-1E62)


M: (NTFS, 37,25 GB, 647D-86EC)



Hier noch einige Meldungen:

07.05.2008 01:18:12 Der Versuch von Prozess mit PID 912 Zugriff auf den Prozess Kaspersky

Personal Security Suite mit PID 1672 zu erhalten wurde blockiert. Dieses Ergebnis geht darauf

zurück, dass der Selbstschutzmechanismus ausgelöst wurde.
er möchte audf IP 87.248.217.104:80 TCP zugreifen.

06.05.2008 22:05:49 Datei: J:\pagefile.sys nicht bearbeitet wird von anderer

Anwendung benutzt gehört das zu Windows?


bei einem Scan tauchte manchmal iSwift oder iChecker auf, gehört das zu Window?


Was ist das? DNS: dethostbyname: 11001


hier ein Protokoll von Protect der Fritzbox:
IndexTyp,Zeit,Bezeichnung,Details,Pfad,
0,Kommunikation abgelehnt,05.05.2008 20:28:54,smss.exe,'smss.exe' startet 'winlogon.exe', es

wird versucht eine Internetverbindung herzustellen.,\SystemRoot\System32\smss.exe,
1,Kommunikation abgelehnt,05.05.2008 20:28:54,winlogon.exe,Ausgehende Verbindung Ziel-IP-Adresse

217.xxx.xx.xxx Port 80 mit Protokoll TCP.,\??\J:\WINDOWS\system32\winlogon.exe,
2,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
3,Kommunikation gestattet,05.05.2008 20:30:01,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
4,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32

Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe,
5,Kommunikation abgelehnt,05.05.2008 20:30:01,Generic Host Process for Win32

Services,Namensauflösung für www.google.de.,J:\WINDOWS\system32\svchost.exe,
6,Kommunikation gestattet,05.05.2008 20:30:40,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
7,Kommunikation gestattet,05.05.2008 20:32:03,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,
8,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für

de.start2.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe,
9,Kommunikation gestattet,05.05.2008 20:32:33,Firefox,Namensauflösung für

de.fxfeeds.mozilla.com.,J:\Programme\Mozilla Firefox\firefox.exe,
10,Kommunikation gestattet,05.05.2008 20:34:11,Internet Explorer,Namensauflösung für

www.google.de.,J:\Programme\Internet Explorer\IEXPLORE.EXE,

Kann da jemand drin sein? Ich hatte einige Male die Meldung , ich sollte die Fritzbox

installieren mit Zugangsdaten und so, dabei ist das schon erledigt.


eine seltsame Adresse! , die 2 Fragezeichen vorher:
\??\J:\WINDOWS\system32\winlogon.exe,

Hier noch ein Logfile mit HiJack:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:45:05, on 07.05.2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\avmwlanstick\WlanNetService.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\Programme\avmwlanstick\wlangui.exe
J:\WINDOWS\System32\igfxtray.exe
J:\WINDOWS\System32\hkcmd.exe
J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\System32\ctfmon.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\FRITZ!DSL\FwebProt.exe
J:\Programme\FRITZ!DSL\StCenter.EXE
J:\WINDOWS\System32\wuauclt.exe
J:\WINDOWS\system32\notepad.exe
J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead

Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: swregver.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

J:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855

258356
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) -

http://support.f-secure.com/ols/fscax.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

J:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin -

J:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe

--
End of file - 3858 bytes

das ist ohne Internet


und nun noch eines mit Internet:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:58:33, on 07.05.2008
Platform: Windows XP (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\avmwlanstick\wlangui.exe
J:\WINDOWS\System32\igfxtray.exe
J:\WINDOWS\System32\hkcmd.exe
J:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\System32\ctfmon.exe
J:\Programme\Messenger\msmsgs.exe
J:\Programme\FRITZ!DSL\FwebProt.exe
J:\Programme\FRITZ!DSL\StCenter.EXE
J:\Programme\FRITZ!DSL\IGDCTRL.EXE
J:\Programme\avmwlanstick\WlanNetService.exe
J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
J:\WINDOWS\system32\NOTEPAD.EXE
J:\WINDOWS\System32\wuauclt.exe
J:\Dokumente und Einstellungen\Daggi\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - J:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] J:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [IgfxTray] J:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] J:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] J:\Programme\Ulead Systems\Ulead

Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [AVP] "J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "J:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] J:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = J:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: swregver.exe
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - J:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

J:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209855

258356
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) -

http://support.f-secure.com/ols/fscax.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -

J:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon -

{8C7461EF-2B13-11d2-BE35-3078302C2030} - J:\WINDOWS\System32\browseui.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - J:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin -

J:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab -

J:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - J:\Programme\Gemeinsame

Dateien\AVM\de_serv.exe

--
End of file - 3858 bytes




Es wurden schon 3 Viren und einige Trojanische Pferde gefunden und ein Rootkit. mit Oneline

Scan. Das dürften aber nicht alle sein.
Ich denke mal mein Virenscanner wurde lahmgelegt, AntiVir.

Nun hab ich Kasperty, kann sich da auch ein Virus einnisten?
Ich bekomme die Meldung, er möchte sich mit dem Internet verbinden, lehne ich ab, komme ich

nicht rein.
Außerdem geht manchmal nichts mehr, da ist der IE lahmgelegt, nichts geht mehr. Da muß ich immer

ein neues Fenster öffnen und das alte beenden. Manchmal sind bis zu 6 IE Prozesse im Task

Manager, obwohl ich nur ein Fenster auf habe. Beende ich sie, sind sie gleich wieder da, meist mit über 20.100 k. die CPU ist oft bis 100% ausgelastet.

manchmal geht meine Maus nicht mehr!!!!1


Ich bedanke mich schon mal im voraus für Eure Hilfe und eventuellen Ratschläge

liebe Grüße Daggi

 

Themen zu Virus
0 bytes, browseui preloader, cpu, dateien wiederherstellen, desktop, dsl, f-secure, festplatte, firefox, firefox.exe, generic host, generic host process, hijack, hijackthis, hkus\s-1-5-18, iexplore.exe, internet explorer, kaspersky, logfile, logon.exe, maus, mozilla firefox, neue festplatte, neues fenster, port 80, prozess, prozesse, scan, security, security suite, software, starten, stick, svchost.exe, trojanische pferde, viren, virus, windows, windows xp





Zum Thema Virus - Hallo , ich habe einige Probleme. Es fing damit an, das sich mein Xp nicht mehr starten lies. Es kam immer eine Fehlermeldung, das war es dann. Nun kam ich - Virus...
Archiv
Du betrachtest: Virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.