Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
GESUCHT: Hilfe beim Logfile-Lesen

GESUCHT: Hilfe beim Logfile-Lesen


Log-Analyse und Auswertung: GESUCHT: Hilfe beim Logfile-Lesen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.07.2008, 15:32   #1
m1de
 
GESUCHT: Hilfe beim Logfile-Lesen - Beitrag

GESUCHT: Hilfe beim Logfile-Lesen


Hallo, ich habe bisher keine Probleme mit Viren etc gehabt. (Zumindest habe ich und mein Antivir nichts gemerkt ) Doch letzte Woche wurde ich Opfer meiner Unachsamkeit. Falsches Feld beim Virenscanner Antivir geklickt und schon wars um meinen PC geschehen.

System: Windows XP Media Center SP2
Virenscanner: Anivir

Der Antivir hatte auch super angeschlagen und mir einen Trojaner bescheinigt (Name ???). Nun versuchte ich selbst die Dateien zu finden und teilweise gelang mir das auch. Dann bin ich heute nochmal mit den Vorgehensweisen die hier immer beschrieben werden drüber gegangen. Ich habe das ungute Gefühl da ist noch viel über gblieben was auf meinem PC rumspukt.

Vorgehensweise
1. CCleaner
2. AVZ --> siehe Logfile
3. Hijack --> siehe Logfile

Frage: Ist da jetzt noch was auf dem PC oder bin ich clean

AVZ Log und AVZ CSV Log

siehe unter: h**p://m1de.champusspeicher.de/avz.html

Hijack Log

Code:
ATTFilter
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\21_03_02_Lokale_Access_Assistenten_Formular\Lokale_Access_Assistenten\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\24_03_Create_Database_Table_SQLServer\Create_Database_SQLServer_TSQL\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\25_03_01_GetSchemaTable_OleDb_SQLClient\GetSchemaTable_OleDb_SQLClient\obj\Debug\TempPE\My Project.Resources.Designer.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\obj\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_06_WebdienstClient_GlobalWeather\Webdienst_Client_GlobalWeather\obj\Debug\TempPE\My Project.Resources.Designer.vb.d;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Programme\MWAV\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\MWAV\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\Installer\495f38.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\4c256.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
C:\WINDOWS\Installer\de41c.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\f390e8.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\system32\chcp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcomp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcopy.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\edit.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\graftabl.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\mode.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\shdocvw.bak;3;PE file with non-standard extension(dangerousness level is 5%)
C:\WINDOWS\system32\T.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\TASKMGR.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\win.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\winspool.drv;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\RICHED32.DLL;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\ntshrui.dll;5;Suspicion for Keylogger or Trojan DLL
D:\autorun.inf;3; HSC: suspicion for  hidden autorun (high degree of probability)
D:\Autorun.exe;3; HSC: suspicion for  hidden autorun D:\autorun.inf [Autorun\Open]
Vielen Dank für eure Hilfe schon mal im voraus.

m1de

Alt 02.07.2008, 18:00   #2
-SilverDragon-
 
GESUCHT: Hilfe beim Logfile-Lesen - Standard

GESUCHT: Hilfe beim Logfile-Lesen


Zitat:
Zitat von m1de Beitrag anzeigen


Hijack Log

Code:
ATTFilter
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\21_03_02_Lokale_Access_Assistenten_Formular\Lokale_Access_Assistenten\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\24_03_Create_Database_Table_SQLServer\Create_Database_SQLServer_TSQL\obj\Debug\TempPE\My Project.Resources.Designer.vb;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\25_03_01_GetSchemaTable_OleDb_SQLClient\GetSchemaTable_OleDb_SQLClient\obj\Debug\TempPE\My Project.Resources.Designer.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\bin\Debug\Wedienst_Client_PasswortGenerator.v;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_03_WedienstClient_PasswortGenerator\Wedienst_Client_PasswortGenerator\obj\Debug\Wedienst_Client_PasswortGenerator.e;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Dokumente und Einstellungen\***\Eigene Dateien\Eigene eBooks\eBooks Programmieren\Visual Basic 2005 und NET\35_06_WebdienstClient_GlobalWeather\Webdienst_Client_GlobalWeather\obj\Debug\TempPE\My Project.Resources.Designer.vb.d;3;PE file with non-standard extension(dangerousness level is 5%)
C:\Programme\MWAV\mexe.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\Programme\MWAV\MWAVSCAN.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\Installer\495f38.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\4c256.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 0054695C 08CD5FC5 001E0EE1 001DE996 81920)
C:\WINDOWS\Installer\de41c.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\f390e8.msi;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeeDesktopShortcu_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ACDSeePMShortcut_F99F74B4972B4B06B8936B3B0DB0128B.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{4AAC95F4-A30E-4EE5-A086-6F79581D0D70}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 005349F0 08CD5FC5 001B81E5 0020910F 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeeDesktopShortcu_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ACDSeePMShortcut_AE80641A0C8D4670A518B4EC154B1027.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\Installer\{71E42058-1C26-4B3B-ACEE-9583AD5F20B8}\ARPPRODUCTICON.exe;2;Suspicion for AdvWare.Win32.Vapsup.bsz ( 00489F1A 08CD5FC5 001C13F0 001FD6D9 81920)
C:\WINDOWS\system32\chcp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcomp.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\diskcopy.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\edit.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\format.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\graftabl.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\mode.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\more.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\shdocvw.bak;3;PE file with non-standard extension(dangerousness level is 5%)
C:\WINDOWS\system32\T.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\TASKMGR.COM;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\tree.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\win.com;3;PE file with modified extension, allowing its launch (often typical for viruses)(dangerousness level is 35%)
C:\WINDOWS\system32\winspool.drv;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\RICHED32.DLL;5;Suspicion for Keylogger or Trojan DLL
C:\WINDOWS\system32\ntshrui.dll;5;Suspicion for Keylogger or Trojan DLL
D:\autorun.inf;3; HSC: suspicion for  hidden autorun (high degree of probability)
D:\Autorun.exe;3; HSC: suspicion for  hidden autorun D:\autorun.inf [Autorun\Open]
Das ist kein HijackThis Logfile. Poste bitte ein Log nach der Anleitung die hier verlinkt ist!

Desweiteren lasse Malwarebytes sowie SUPERAntiSpyware scannen. Reports danach posten.
__________________
Alt 03.07.2008, 01:19   #3
m1de
 
GESUCHT: Hilfe beim Logfile-Lesen - Standard

GESUCHT: Hilfe beim Logfile-Lesen


Sorry, dass ich mich da ein bischen in den Logfiles vertan habe. Ich denke, ich weiß nun, dass mein System definitiv noch verseucht ist. Kann man da trotzdem durch gezielte Maßnahmen noch was regeln?

zur Info, ich habe nochmal nu einen kompletten Durchlauf mehrerer Programme gestartet und erstmal keine Dateien löchen lassen, um nciht die Ergebnisse der nachfolgenden Programme zu verässern.

Die Logfiles habe ich wie gewohnt uf eine ebsite gestellt, da sie insgesamt für hier zu lang wären. Leider muss dort noch die Dateiendung geändert werden.

Link zu den Logfiles: h**p://m1de.champusspeicher.de/avz.html

den Hijackthisfile pote ich hier trotzdem nochmal:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:35:36, on 02.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\XPclean5\Regwarner.exe
C:\WINDOWS\system32\ctfmon.exe
c:\programme\a-squared free\a2service.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35218E2A-1C45-46FE-829B-8415790B0210} - C:\WINDOWS\system32\jkkKdeEv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {6FA2421A-54B1-4B69-A19E-5BC2FA9D096F} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\NaturallySpeaking9\Ereg\Ereg.exe" -r "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DisplayFusion] "C:\Dokumente und Einstellungen\***\Eigene Dateien\Meine Downloads\Dual Monitor\DisplayFusion.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: MultiMon Taskbar.lnk = C:\Programme\MMTaskbar\MultiMon.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.targa.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138717820890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144585369421
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: jkkKdeEv - C:\WINDOWS\SYSTEM32\jkkKdeEv.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)
O24 - Desktop Component 1: (no name) - (no file)
O24 - Desktop Component 2: (no name) - (no file)

--
End of file - 9072 bytes
So, ich hoffe ich habe diesmal genug Stoff zum Analyieren gegeben, und hofe auf euere Tipps. Wie gesagt, ich würde gerne ine Neuinstalation verhindern.

mfg, M1de
__________________
Alt 03.07.2008, 08:40   #4
undoreal
/// AVZ-Toolkit Guru
 
GESUCHT: Hilfe beim Logfile-Lesen - Standard

GESUCHT: Hilfe beim Logfile-Lesen


Hallöle.

Auf der Seite
Zitat:
h**p://m1de.champusspeicher.de/avz.html
finde ich das log nicht und ich habe auch keine Lust ewig danach zu suchen.
Lade die logs bitte bei rapidshare hoch und poste den direkt Link hier.

Fixe mit HJT bitte folgende Einträge:
Zitat:
C:\Programme\XPclean5\Regwarner.exe
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {35218E2A-1C45-46FE-829B-8415790B0210} - C:\WINDOWS\system32\jkkKdeEv.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {6FA2421A-54B1-4B69-A19E-5BC2FA9D096F} - (no file)
O20 - Winlogon Notify: jkkKdeEv - C:\WINDOWS\SYSTEM32\jkkKdeEv.dll
Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
Folders to delete:
C:\Programme\XPclean5
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 03.07.2008, 12:00   #5
m1de
 
GESUCHT: Hilfe beim Logfile-Lesen - Standard

GESUCHT: Hilfe beim Logfile-Lesen


Hallo und Danke für die ersten hilfe-Anätze. Du hattest recht, die Bereitstellung der Logfiles war zu umständlich. Sorry dafür. Ich habe aber mit Rapidhare nix am hut und habe mir deshalb erlaubt, die Logfiles als Plain-Text auf meine Seite ( h**p://m1de.champusspeicher.de/avz.html )zu schreiben. Dann kann man sie direkt lesen oder mit STRG+C rauskopieren.

Ich hoffe das ist auch akzeptabel, denn immerhin möchte ich ja von euch geholfen bekommen.

In der wischenzeit werde ich mal mit Hijack die angegebenen Stellen fixen.

Bis dann, m1de


Alt 03.07.2008, 13:07   #6
m1de
 
GESUCHT: Hilfe beim Logfile-Lesen - Standard

GESUCHT: Hilfe beim Logfile-Lesen


ZUSATZ:

Ich wollte eben mit dem Registry-Editor ein paar Einträge löschen, die mir ja angzeigt wurden. Doch der Regedit ließ sich nicht starten.
Ich habe dann mit Eingabeauforderung nach der Datei gesucht und festgestellt, dass diese und viele andere in C:\Windows und \System32 doppelt oder wie im Fall Regdi erstetzt sind. Die Doppelte oder Ersatzdatei hat dann noch zusätzlich die Endung ZOTTEL.

Beispiel: taskmgr.exe.zottel oder explorer.exe und explorer.exe.zottel in einem Verzeichnis.

Was kann das sein und wie mache ich es am Besten rückgängig?

In den ganzen Logiles wurde ja nicht einmal sowas angezeigt!?

Grüße, m1de

Antwort

Themen zu GESUCHT: Hilfe beim Logfile-Lesen
.dll, antivir, autorun.inf, b.exe, center, code, dateien, einstellungen, gesucht, hijack, keylogger, launch, media, media center, nichts, probleme, programme, scan, scanner, super, system32, trojaner, viren, virenscanner, windows, windows xp


« BAT/Fake.Privadanger | Kein offensichtliches Problem - Gegensheck Log - hat jemand Zeit? »


Ähnliche Themen: GESUCHT: Hilfe beim Logfile-Lesen


  1. Desktop friert ein beim Hochfahren - HiJackThis Logfile anbei - Rat gesucht
    Log-Analyse und Auswertung - 28.01.2010 (3)
  2. Hilfe beim Laptop,Logfile
    Mülltonne - 08.10.2008 (0)
  3. Hilfe beim Auswerten des HJT Logfile
    Log-Analyse und Auswertung - 10.09.2008 (2)
  4. Hilfe beim Logfile versenden
    Plagegeister aller Art und deren Bekämpfung - 09.09.2008 (1)
  5. Brauche Hilfe beim Logfile
    Log-Analyse und Auswertung - 07.09.2008 (7)
  6. Frau benötigt Hilfe beim Log-Lesen: PC stockt jede 2 Minuten für 30 Sekunden!
    Log-Analyse und Auswertung - 05.07.2008 (18)
  7. Hilfe beim Auswerten der Log-Datei gesucht
    Log-Analyse und Auswertung - 12.01.2008 (0)
  8. Hilfe beim Auswerten der Log-Datei gesucht
    Log-Analyse und Auswertung - 11.01.2008 (0)
  9. Trojaner TR/wimad.A.Gen Bitte Logfile lesen
    Log-Analyse und Auswertung - 07.10.2007 (2)
  10. Windows startet nicht. [Fehler beim lesen des Darenträgers]
    Alles rund um Windows - 17.01.2007 (7)
  11. Kann mir jemand beim Lesen des Logfiles helfen?
    Log-Analyse und Auswertung - 20.07.2006 (2)
  12. Bitte Lesen Logfile (swizzor)
    Log-Analyse und Auswertung - 18.04.2006 (8)
  13. Bitte meinen Logfile lesen
    Log-Analyse und Auswertung - 11.11.2005 (1)
  14. Hilfe beim HiJackThis Logfile auswerten!!
    Log-Analyse und Auswertung - 01.07.2005 (0)
  15. Hilfe beim HijackThis Logfile
    Log-Analyse und Auswertung - 31.03.2005 (9)
  16. bitte um HIlfe beim logfile
    Log-Analyse und Auswertung - 07.02.2005 (2)
  17. Brauche Hilfe beim Logfile
    Log-Analyse und Auswertung - 28.11.2004 (16)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema GESUCHT: Hilfe beim Logfile-Lesen - Hallo, ich habe bisher keine Probleme mit Viren etc gehabt. (Zumindest habe ich und mein Antivir nichts gemerkt ) Doch letzte Woche wurde ich Opfer meiner Unachsamkeit. Falsches Feld beim - GESUCHT: Hilfe beim Logfile-Lesen...
Archiv
Du betrachtest: GESUCHT: Hilfe beim Logfile-Lesen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130