Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Was soll ich machen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.05.2008, 21:24   #1
Da Game
 
Was soll ich machen - Standard

Was soll ich machen



Hey leute,

habe das Problem, dass mein Pc einfach neu startet sobald ich bei Battlefield 2 ins Spiel gekommen bin, also erst wenn ich dann wirklich aufem Server im Spiel bin. Dauert dann ca 10 sec bis der Rechner neu startet. Habe mal nen Scan mit HIjack gemacht, und dabei kam mir die Datei C:\WINDOWS\system32\lsass.exe
verdächtig vor.. habe das ganze dann bei virustotal.com scannen lassen und das kam dabei raus...

AhnLab-V3 2008.5.10.0 2008.05.10 -
AntiVir 7.8.0.17 2008.05.12 -
Authentium 5.1.0.4 2008.05.11 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.12 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.12 -
DrWeb 4.44.0.09170 2008.05.12 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5781 2008.05.12 -
Ewido 4.0 2008.05.12 -
F-Prot 4.4.2.54 2008.05.10 -
F-Secure 6.70.13260.0 2008.05.12 -
Fortinet 3.14.0.0 2008.05.12 -
GData 2.0.7306.1023 2008.05.12 -
Ikarus T3.1.1.26.0 2008.05.12 -
Kaspersky 7.0.0.125 2008.05.12 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.12 -
NOD32v2 3094 2008.05.12 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.12 -
Rising 20.44.02.00 2008.05.12 -
Sophos 4.29.0 2008.05.12 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.12 -
TheHacker 6.2.92.307 2008.05.12 -
VBA32 3.12.6.5 2008.05.12 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.12 -
weitere Informationen
File size: 13312 bytes
MD5...: 183805eb05bca5a1e4aaaed4d2be3690
SHA1..: ef46c0a76e8cc26889e81d216935e8f4a3abe24a
SHA256: d1821d2f616f029c07d0727ff8eb0862374ee544f4a66567f0433e567af2b85a
SHA512: 6bf6801ada81be34d93fef170bc888b0a9a0f379c9f6d2d33c272856cb913b83
7f059af53d5769f443989ea2e92b10110e9572adbe79a4da25b839494f97a0b5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10014bd
timedatestamp.....: 0x41107b4d (Wed Aug 04 05:59:41 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10d0 0x1200 6.02 c1808cedb7d227adece3732c3ada2787
.data 0x3000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250
.rsrc 0x4000 0x1b40 0x1c00 7.16 e4a0d77578ef1aa0158f6be8dfc6d37a

( 5 imports )
> ADVAPI32.dll: FreeSid, CheckTokenMembership, AllocateAndInitializeSid, OpenThreadToken, ImpersonateSelf, RevertToSelf
> KERNEL32.dll: CloseHandle, GetCurrentThread, ExitThread, SetUnhandledExceptionFilter, SetErrorMode, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, RtlUnwind, InterlockedExchange, VirtualQuery
> ntdll.dll: NtSetInformationProcess, RtlInitUnicodeString, NtCreateEvent, NtOpenEvent, NtSetEvent, NtClose, NtRaiseHardError, RtlAdjustPrivilege, NtShutdownSystem, RtlUnhandledExceptionFilter
> LSASRV.dll: LsaISetupWasRun, LsapDsDebugInitialize, LsapAuOpenSam, LsapCheckBootMode, ServiceInit, LsapInitLsa, LsapDsInitializePromoteInterface, LsapDsInitializeDsStateInfo
> SAMSRV.dll: SamIInitialize, SampUsingDsData




das ist das Hijackergebnis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:34:29, on 14.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Free Download Manager\fdm.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Chriz\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "C:\WINDOWS\TEMP\E_SF2.tmp" /EF "HKLM"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F400248E-B9F7-4E41-9974-3EC227CF48E2}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6429 bytes

was kann ich jetzt machen?

Alt 12.05.2008, 22:09   #2
Corni
 
Was soll ich machen - Standard

Was soll ich machen



Hey du viel kann ich dazu net sagen nur dass google über lsass.exe folgendes sagt:

lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem )
Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.(lsass.exe wird auch im taskmanager ausgeführt)

allerdings darf man lsass.exe nicht mit isass.exe verwechseln (wenn man das "i" groß schreibt wird es zum "l" und damit zum verwechseln ähnlich....isass isn backdoor...

also daran kanns meiner meinung nach net liegen...aber hab eh net so viel ahnung^^....kann mir nur vorstellen, dass es am server liegt weil hab eigtl. keinen verdächtigen eintrag gefunden...naja verlass dich lieber auf die meinung eines profis....
lsass.exe

viel glück noch
__________________


Geändert von Corni (12.05.2008 um 22:23 Uhr)

Alt 13.05.2008, 17:25   #3
Da Game
 
Was soll ich machen - Standard

Was soll ich machen



Hey leute ich habe was neues rausgefunden,

jetzt kommt immer nach dem Absturz nach dem Neustart ne meldung



also die wo man nen Problembericht senden oder nicht senden anwählen kann,
Windows muste beendet werden oder so steht dann da:

------------------------------------------
das ist was dann bei der Auswertung steht:

Problem verursacht durch: Device Driver

Diese Meldung wurde angezeigt, weil ein auf dem Computer installierter Gerätetreiber eine Störung des Windows-Betriebssystems verursacht hat. Dieser Fehlertyp wird als „STOP-Fehler“ bezeichnet. Beim Auftreten eines STOP-Fehlers ist ein Neustart des Computers erforderlich.

Weitere Informationen

Zusammenfassung des Problemberichts

Problemart


STOP-Fehler in Windows (eine Meldung mit Fehlercodeinformationen wird auf einem blauen Bildschirm angezeigt)

Lösung verfügbar?


Nein

Was bedeutet dieses Problem?


Bei Windows ist ein Problem aufgetreten, das nicht behoben werden kann. Ein Neustart ist erforderlich.

Ursache


Unbekannt

Symptome des Computers


Eine Meldung mit Fehlercodeinformationen wird auf einem blauen Bildschirm angezeigt (z. B.: 0x0000001E, KMODE_EXCEPTION_NOT_HANDLED)

Zusätzlich erforderliche Schritte


Bitte senden Sie weiterhin Problemberichte, damit den Technikern von Microsoft genügend Daten für eine möglichst schnelle Analyse und Problembehandlung zur Verfügung stehen.



..................

tjaaa was nun? ich bin damit einwenig überfordert!
__________________

Alt 15.05.2008, 15:22   #4
Corni
 
Was soll ich machen - Standard

Was soll ich machen



Hey Chriz
also Device Driver heißt ja sowas wie Laufwerkstreiber.
d.h. für mich dass entweder etwas mit deiner Festplatte nicht stimmt oder anderen Laufwerken....hast du denn in letzter Zeit neue Treiber für deine Laufwerke runtergeladen oder neuinstalliert?wenn ja solltest du das noch einmal machen und zwar ohne fehler weil anscheinend ist da was schief gelaufen...
falls du ein virtuelles Laufwerk eingerichtet hast lösche bzw. deaktiviere es!
führe einfach mal bei allen usb-geräten die fehlerüberprüfung aus(auch bei Festplatten und Laufwerken)
sonst kann ich dir nur empfehlen mit der windows-repair cd was zu machen aber des wolltest du ja denke ich mal vermeiden...
viel glück
corni

Antwort

Themen zu Was soll ich machen
.dll, adobe, avira, bho, c:\windows\temp, desktop, download, drivers, dsl, einstellungen, explorer, free download, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, ntdll.dll, pdf, problem, programme, scan, server, software, system, temp, urlsearchhook, virus, virustotal.com, was soll ich machen, windows, windows xp, windows\temp




Ähnliche Themen: Was soll ich machen


  1. Eset zeigt bedrohungen an, was soll ich machen?
    Log-Analyse und Auswertung - 12.07.2013 (10)
  2. Windowssystem blockiert... -.- Was soll ich machen?
    Plagegeister aller Art und deren Bekämpfung - 18.12.2011 (7)
  3. Rechtsklick problem auf desktop was soll ich machen
    Plagegeister aller Art und deren Bekämpfung - 27.04.2011 (1)
  4. Diverse Viren - Wie soll ich weiter machen?
    Plagegeister aller Art und deren Bekämpfung - 28.11.2009 (1)
  5. MSN Virus was soll ich machen?
    Log-Analyse und Auswertung - 21.03.2009 (15)
  6. TR/Silentbanker.E was soll ich machen?
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (1)
  7. Angriffe Aus Dem Internet; Was Soll Ich Machen!!!!!
    Plagegeister aller Art und deren Bekämpfung - 09.06.2007 (1)
  8. EXP/Ani.Gen - Was soll ich machen?
    Plagegeister aller Art und deren Bekämpfung - 07.06.2007 (1)
  9. was ist isass.exe Statuscode 128???und was soll ich dagegen machen?
    Log-Analyse und Auswertung - 23.04.2006 (1)
  10. Soll ich es machen??
    Alles rund um Windows - 13.04.2006 (9)
  11. TR/Rootkit.L was soll ich nur machen???
    Plagegeister aller Art und deren Bekämpfung - 25.02.2006 (2)
  12. PC ultra verseucht... was soll ich machen
    Log-Analyse und Auswertung - 15.01.2006 (1)
  13. Was soll ich mit diesen beiden Programmen machen
    Log-Analyse und Auswertung - 09.12.2005 (1)
  14. Keine ahnung was ich noch machen soll
    Plagegeister aller Art und deren Bekämpfung - 06.08.2005 (5)
  15. Was soll ich machen ???
    Log-Analyse und Auswertung - 08.07.2005 (1)
  16. Hilfe - ABOUT BLANK - Was soll ich machen?
    Log-Analyse und Auswertung - 13.02.2005 (1)
  17. Ich hab nen TR!Was soll ich machen?
    Plagegeister aller Art und deren Bekämpfung - 11.01.2005 (3)

Zum Thema Was soll ich machen - Hey leute, habe das Problem, dass mein Pc einfach neu startet sobald ich bei Battlefield 2 ins Spiel gekommen bin, also erst wenn ich dann wirklich aufem Server im Spiel - Was soll ich machen...
Archiv
Du betrachtest: Was soll ich machen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.