Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.05.2008, 15:27   #31
Nez_Perces
 
Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen - Standard

Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen



Ich habe nun mein System vollständig eingerichtet und poste mal mein aktuelles HijackThis-Log (erstellt noch vor der ersten Online-Verbindung):

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:16, on 28.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Sicherheit\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] d:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] d:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Sicherheit\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4919 bytes
         
Hier auch das RootkitRevealer-Logfile (ebenfalls noch vor der ersten Online-Verbindung erstellt):

Code:
ATTFilter
HKLM\SECURITY\Policy\Secrets\SAC*	26.05.2008 07:47	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	26.05.2008 07:47	0 bytes	Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	28.05.2008 11:33	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	28.05.2008 11:33	111.50 KB	Visible in Windows API, but not in MFT or directory index.
         
Malwarebytes Anti-Malware fand (ebenfalls noch vor der ersten Online-Verbindung) folgendes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.12
Database version: 722

Scan type: Full Scan (C:\|D:\|E:\|F:\|)
Objects scanned: 61073
Time elapsed: 6 minute(s), 0 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\Dokumente und Einstellungen\Internet\services.reg (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
         
(Danach wurde von diesem Programm nichts mehr gefunden)

Escan fand übrigends gleich zu Beginn des Prozesses der Neuaufsetzung "parasite Spyware/Adware" (15 Einträge) und "combo Spyware/Adware" (1 Eintrag).
Zu diesem Zeitpunkt hatte ich allerdings gerademal das Betriebssystem, das Motherboard und die Grafikkarte installiert (alles von Original-CDs).

Die find.bat zu diesen escan-Funden kann ich nicht posten, da die Datei irgendwie nicht funktionieren will.
Nach dem Doppelklick auf find.bat (auf dem Desktop) öffnet sich zwar kurz ein Fenster, aber das verschwindet sehr schnell und es wird keine Textdatei erstellt.

Hoffe, dass Ihr mir die obigen Logs interpretieren könnt und, dass ich diesmal alles richtig gemacht habe mit dem Neuaufsetzen.

Im Vorraus Dank und viele Grüße

Nez_Perces

Alt 28.05.2008, 16:27   #32
myrtille
/// TB-Ausbilder
 
Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen - Standard

Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen



Hi,
das Hijackthislog ist sauber.
Die gefundenen Registryschlüssel von Rootkitrevealer sind von Spysweeper. Die Dateien wohl von Microsoft.
Daher denk ich dass das auch sauber ist.

Die von Malwarebytes gefundene Datei dürfte auch saubergewesen sein.

Ich sehe keinen Anlass zur Sorge.

Wenn du mit eScanprobleme hast, bitte Bescheid sagen.

lg myrtille
__________________

__________________

Alt 28.05.2008, 17:04   #33
Nez_Perces
 
Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen - Standard

Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen



Vielen Dank myrtille für Deine Hilfe und nochmal vielen Dank auch an markusg für seine Mühe und Geduld mit mir.

Was "Spysweeper" betrifft: Ich hatte noch nie dieses Programm installiert. Wüsste also wirklich nicht, woher diese Registry-Schlüssel kommen sollten.

Danke vielmals für Eure Hilfe.

Mit Grüßen der Erleichterung

Nez_Perces
__________________

Antwort

Themen zu Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen
abgesicherten modus, antivir, auswerten, avg, bho, controlcenter, explorer, firefox, grafikkarte, gservice, helfen, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, jusched.exe, mozilla, mozilla firefox, netzwerk, nvidia, problem, prüfen, rundll, secrets, security, sicherheit, software, solution, taskleiste, taskmanager, windows, windows xp




Ähnliche Themen: Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen


  1. nach Bereinigung von Windows Recovery Virus bitte Logs prüfen
    Log-Analyse und Auswertung - 03.04.2011 (5)
  2. Probleme nach dem Hochfahren
    Plagegeister aller Art und deren Bekämpfung - 14.07.2010 (1)
  3. Bitte um Hilfe! Mein Rechner macht Probleme beim hochfahren
    Log-Analyse und Auswertung - 10.04.2010 (5)
  4. Bitte Log prüfen nach Meldung von Malware
    Log-Analyse und Auswertung - 20.08.2009 (2)
  5. Log-File bitte nach Trojaner & Co. Meldung prüfen
    Mülltonne - 12.01.2009 (8)
  6. Bitte Logfile prüfen....scan nach cleaning
    Log-Analyse und Auswertung - 19.02.2008 (8)
  7. Bitte prüfen nach Problem mit cmd.exe
    Log-Analyse und Auswertung - 17.02.2008 (14)
  8. bitte mal prüfen mein rechner wird nach ner stunde immer ganz langsam
    Log-Analyse und Auswertung - 12.02.2008 (0)
  9. Oft Probleme mit Trojaner / Bitte log prüfen
    Mülltonne - 26.01.2008 (0)
  10. Nach Fehlalarm: Bitte HJack-Log prüfen!
    Mülltonne - 29.09.2007 (0)
  11. Internet/LAN-Verbindung schmiert nach einiger Zeit ab!!! bitte log-File prüfen
    Log-Analyse und Auswertung - 05.01.2007 (3)
  12. probleme mit: win32.trojandownloader.zlob LOG-file bitte prüfen
    Log-Analyse und Auswertung - 10.10.2006 (10)
  13. Nach Trojanerbefall BITTE HjT-Logfile prüfen!
    Log-Analyse und Auswertung - 11.08.2006 (3)
  14. Probleme mit Trojaner - Bitte Prüfen
    Log-Analyse und Auswertung - 19.08.2005 (3)
  15. Kann ma bitte jemand prüfen, Prob nach Virenmeldung
    Log-Analyse und Auswertung - 15.07.2005 (4)
  16. Bitte Logfile nach eScan prüfen!
    Plagegeister aller Art und deren Bekämpfung - 21.06.2005 (4)
  17. Problem nach dem hochfahren! Bitte helfen
    Plagegeister aller Art und deren Bekämpfung - 03.04.2005 (8)

Zum Thema Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen - Ich habe nun mein System vollständig eingerichtet und poste mal mein aktuelles HijackThis-Log (erstellt noch vor der ersten Online-Verbindung): Code: Alles auswählen Aufklappen ATTFilter Logfile of Trend Micro HijackThis v2.0.2 - Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen...
Archiv
Du betrachtest: Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.