| |
| |||||||
Log-Analyse und Auswertung: Was soll ich machenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
12.05.2008, 21:24
| #1 |
| |  Was soll ich machen Hey leute, habe das Problem, dass mein Pc einfach neu startet sobald ich bei Battlefield 2 ins Spiel gekommen bin, also erst wenn ich dann wirklich aufem Server im Spiel bin. Dauert dann ca 10 sec bis der Rechner neu startet. Habe mal nen Scan mit HIjack gemacht, und dabei kam mir die Datei C:\WINDOWS\system32\lsass.exe verdächtig vor.. habe das ganze dann bei virustotal.com scannen lassen und das kam dabei raus... AhnLab-V3 2008.5.10.0 2008.05.10 - AntiVir 7.8.0.17 2008.05.12 - Authentium 5.1.0.4 2008.05.11 - Avast 4.8.1169.0 2008.05.12 - AVG 7.5.0.516 2008.05.12 - BitDefender 7.2 2008.05.08 - CAT-QuickHeal 9.50 2008.05.12 - ClamAV 0.92.1 2008.05.12 - DrWeb 4.44.0.09170 2008.05.12 - eSafe 7.0.15.0 2008.05.12 - eTrust-Vet 31.4.5781 2008.05.12 - Ewido 4.0 2008.05.12 - F-Prot 4.4.2.54 2008.05.10 - F-Secure 6.70.13260.0 2008.05.12 - Fortinet 3.14.0.0 2008.05.12 - GData 2.0.7306.1023 2008.05.12 - Ikarus T3.1.1.26.0 2008.05.12 - Kaspersky 7.0.0.125 2008.05.12 - McAfee 5293 2008.05.12 - Microsoft 1.3408 2008.05.12 - NOD32v2 3094 2008.05.12 - Norman 5.80.02 2008.05.09 - Panda 9.0.0.4 2008.05.12 - Prevx1 V2 2008.05.12 - Rising 20.44.02.00 2008.05.12 - Sophos 4.29.0 2008.05.12 - Sunbelt 3.0.1114.0 2008.05.12 - Symantec 10 2008.05.12 - TheHacker 6.2.92.307 2008.05.12 - VBA32 3.12.6.5 2008.05.12 - VirusBuster 4.3.26:9 2008.05.12 - Webwasher-Gateway 6.6.2 2008.05.12 - weitere Informationen File size: 13312 bytes MD5...: 183805eb05bca5a1e4aaaed4d2be3690 SHA1..: ef46c0a76e8cc26889e81d216935e8f4a3abe24a SHA256: d1821d2f616f029c07d0727ff8eb0862374ee544f4a66567f0433e567af2b85a SHA512: 6bf6801ada81be34d93fef170bc888b0a9a0f379c9f6d2d33c272856cb913b83 7f059af53d5769f443989ea2e92b10110e9572adbe79a4da25b839494f97a0b5 PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x10014bd timedatestamp.....: 0x41107b4d (Wed Aug 04 05:59:41 2004) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x10d0 0x1200 6.02 c1808cedb7d227adece3732c3ada2787 .data 0x3000 0x6c 0x200 0.20 86a789a893c60d5e207d053188cdc250 .rsrc 0x4000 0x1b40 0x1c00 7.16 e4a0d77578ef1aa0158f6be8dfc6d37a ( 5 imports ) > ADVAPI32.dll: FreeSid, CheckTokenMembership, AllocateAndInitializeSid, OpenThreadToken, ImpersonateSelf, RevertToSelf > KERNEL32.dll: CloseHandle, GetCurrentThread, ExitThread, SetUnhandledExceptionFilter, SetErrorMode, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, RtlUnwind, InterlockedExchange, VirtualQuery > ntdll.dll: NtSetInformationProcess, RtlInitUnicodeString, NtCreateEvent, NtOpenEvent, NtSetEvent, NtClose, NtRaiseHardError, RtlAdjustPrivilege, NtShutdownSystem, RtlUnhandledExceptionFilter > LSASRV.dll: LsaISetupWasRun, LsapDsDebugInitialize, LsapAuOpenSam, LsapCheckBootMode, ServiceInit, LsapInitLsa, LsapDsInitializePromoteInterface, LsapDsInitializeDsStateInfo > SAMSRV.dll: SamIInitialize, SampUsingDsData das ist das Hijackergebnis. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:34:29, on 14.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steam\Steam.exe C:\Programme\ICQ6\ICQ.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\Programme\Free Download Manager\fdm.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Dokumente und Einstellungen\Chriz\Desktop\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /F "C:\WINDOWS\TEMP\E_SF2.tmp" /EF "HKLM" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU" O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F400248E-B9F7-4E41-9974-3EC227CF48E2}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6429 bytes was kann ich jetzt machen? |
|
12.05.2008, 22:09
| #2 |
 | Was soll ich machen Hey du viel kann ich dazu net sagen nur dass google über lsass.exe folgendes sagt:
__________________lsass / lsass.exe , der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem ) Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.(lsass.exe wird auch im taskmanager ausgeführt) allerdings darf man lsass.exe nicht mit isass.exe verwechseln (wenn man das "i" groß schreibt wird es zum "l" und damit zum verwechseln ähnlich....isass isn backdoor... also daran kanns meiner meinung nach net liegen...aber hab eh net so viel ahnung^^....kann mir nur vorstellen, dass es am server liegt weil hab eigtl. keinen verdächtigen eintrag gefunden...naja verlass dich lieber auf die meinung eines profis.... lsass.exe viel glück noch Geändert von Corni (12.05.2008 um 22:23 Uhr) |
|
13.05.2008, 17:25
| #3 |
| | Was soll ich machen Hey leute ich habe was neues rausgefunden,
__________________jetzt kommt immer nach dem Absturz nach dem Neustart ne meldung also die wo man nen Problembericht senden oder nicht senden anwählen kann, Windows muste beendet werden oder so steht dann da: ------------------------------------------ das ist was dann bei der Auswertung steht: Problem verursacht durch: Device Driver Diese Meldung wurde angezeigt, weil ein auf dem Computer installierter Gerätetreiber eine Störung des Windows-Betriebssystems verursacht hat. Dieser Fehlertyp wird als „STOP-Fehler“ bezeichnet. Beim Auftreten eines STOP-Fehlers ist ein Neustart des Computers erforderlich. Weitere Informationen Zusammenfassung des Problemberichts Problemart STOP-Fehler in Windows (eine Meldung mit Fehlercodeinformationen wird auf einem blauen Bildschirm angezeigt) Lösung verfügbar? Nein Was bedeutet dieses Problem? Bei Windows ist ein Problem aufgetreten, das nicht behoben werden kann. Ein Neustart ist erforderlich. Ursache Unbekannt Symptome des Computers Eine Meldung mit Fehlercodeinformationen wird auf einem blauen Bildschirm angezeigt (z. B.: 0x0000001E, KMODE_EXCEPTION_NOT_HANDLED) Zusätzlich erforderliche Schritte Bitte senden Sie weiterhin Problemberichte, damit den Technikern von Microsoft genügend Daten für eine möglichst schnelle Analyse und Problembehandlung zur Verfügung stehen. .................. tjaaa was nun? ich bin damit einwenig überfordert! |
|
15.05.2008, 15:22
| #4 |
| | Was soll ich machen Hey Chriz also Device Driver heißt ja sowas wie Laufwerkstreiber. d.h. für mich dass entweder etwas mit deiner Festplatte nicht stimmt oder anderen Laufwerken....hast du denn in letzter Zeit neue Treiber für deine Laufwerke runtergeladen oder neuinstalliert?wenn ja solltest du das noch einmal machen und zwar ohne fehler weil anscheinend ist da was schief gelaufen... falls du ein virtuelles Laufwerk eingerichtet hast lösche bzw. deaktiviere es! führe einfach mal bei allen usb-geräten die fehlerüberprüfung aus(auch bei Festplatten und Laufwerken) sonst kann ich dir nur empfehlen mit der windows-repair cd was zu machen aber des wolltest du ja denke ich mal vermeiden... viel glück corni |
|
| Themen zu Was soll ich machen |
| .dll, adobe, avira, bho, c:\windows\temp, desktop, download, drivers, dsl, einstellungen, explorer, free download, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, ntdll.dll, pdf, problem, programme, scan, server, software, system, temp, urlsearchhook, virus, virustotal.com, was soll ich machen, windows, windows xp, windows\temp |
Linear-Darstellung
