Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ist aller so in ordnung?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.08.2008, 17:42   #1
Kami1989
 
ist aller so in ordnung? - Standard

ist aller so in ordnung?



ich war heute im www am rumsurfen, auch nur auf seinen, die ich kenne und denen ich vertraue.
dann kam eine virenmeldung, ich hab auf blockieren und löschen geklickt, schwupps kam eine zweite meldung, bei der ich das selbe gemacht habe.
naja soweit war dann nix mehr, als ich den browser dann minimiert habe, hab ich gesehen, dass mein desktophintergrund verändert wurd und sich nicht mehr ändern lässt.
auf dem desktop stand: "Warning! Spyware detected on your computer!"

ich hab das dann mal gegoogelt und bin auf diesen thread hier gestoßen, in dem scheinbar jemand das selbe problem hatte.

ich hab dann mal alle tipps befolgt, die in dem thread gepostet wurden, also SDFix im abgesicherten modus laufen lassen, blacklight und combofix.

alles auch scheinbar mit sehr viel erfolg, also es werden keine versteckten dateien mehr gefunden, konnte auch den desktophintergrund wieder ändern, nun wollt ich fragen, ob alles in ordnung is, hier mal die logfiles:

von SDFix:


SDFix: Version 1.217
Run by Kamran on 18.08.2008 at 15:50

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\sdfic\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper
Restoring Default ScreenSaver value

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\system32\lphcadvj0et2t.exe - Deleted
C:\WINDOWS\SYSTEM32\PHCADV~1.BMP - Deleted
C:\WINDOWS\system32\blphcadvj0et2t.scr - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt1.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt10.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt2.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt3.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt4.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt5.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt70.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt73.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt8.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.ttA.tmp - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt1.tmp.vbs - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt2.tmp.vbs - Deleted
C:\DOKUME~1\Kamran\LOKALE~1\Temp\.tt4.tmp.vbs - Deleted
C:\WINDOWS\system32\drivers\svchost.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 15:56:18
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\Miranda_ME_RC3\\Miranda ME RC3\\miranda32.exe"="F:\\Miranda_ME_RC3\\Miranda ME RC3\\miranda32.exe:*:Enabled:Miranda IM"
"F:\\FlashGet\\FlashGet.exe"="F:\\FlashGet\\FlashGet.exe:*:Enabled:Flashget"
"F:\\mIRC\\mirc.exe"="F:\\mIRC\\mirc.exe:*:Enabled:mIRC"
"H:\\Warcraft III\\Listchecker\\pickup.listchecker.exe"="H:\\Warcraft III\\Listchecker\\pickup.listchecker.exe:*:Enabledickup.listchecker"
"H:\\Warcraft III\\Frozen Throne.exe"="H:\\Warcraft III\\Frozen Throne.exe:*:Enabled:Warcraft III - The Frozen Throne"
"H:\\Warcraft III\\Warcraft III.exe"="H:\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"H:\\Listchecker\\pickup.listchecker.exe"="H:\\Listchecker\\pickup.listchecker.exe:*:Enabledickup.listchecker"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\WINDOWS\\system32\\drivers\\svchost.exe"="C:\\WINDOWS\\system32\\drivers\\svchost.exe:*isabled:svchost"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\sdfic\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 15 Jul 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 23 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b76443b8c3e363672b10791338cc85db\BIT4.tmp"
Tue 15 Jul 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eac129044bb68298c81589f4b51d4c64\BIT4.tmp"

Finished!

von HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:31, on 18.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
F:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
F:\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
F:\Miranda_ME_RC3\Miranda ME RC3\miranda32.exe
F:\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - F:\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - F:\FlashGet\getflash.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "F:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: pickup.listchecker.exe.lnk = H:\Warcraft III\Listchecker\pickup.listchecker.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 2918 bytes


combofix logfile hab ich jetzt net mehr zur hand, aber wenns erforderlich is, lass ichs nochmal durchlaufen.

also is alles wieder in ordnung oder sollte/muss ich da noch irgendwas machen, um ganz sicherzugehen, dass alles weg ist.

danke schonmal im vorraus

Ps: seit der ganzen sache funktioniert bei mir das minimieren aller programme nicht mehrl, also strg + m klappt nicht mehr, hab ich das vlt aus versehen um/ausgestellt oder woran könnte das liegen?

Alt 19.08.2008, 17:37   #2
Kami1989
 
ist aller so in ordnung? - Standard

ist aller so in ordnung?



kann mir keiner helfen oder is iwas falsch?
__________________


Antwort

Themen zu ist aller so in ordnung?
1.tmp, 8.tmp, abgesicherten modus, alles weg, antivir, antivirus, application, avira, bho, browser, computer, ctfmon.exe, drivers, einstellungen, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, mozilla, mozilla firefox, problem, registry, rundll, saver, scan, screensaver, security, spyware, svchost.exe, system, windows, windows live messenger, windows xp, windows\system32\drivers, ändern




Ähnliche Themen: ist aller so in ordnung?


  1. Viren aller Art!
    Plagegeister aller Art und deren Bekämpfung - 24.03.2015 (21)
  2. Suche Computerviren aller Art
    Mülltonne - 30.08.2014 (1)
  3. Windows 8: Werbung aller Art im Firefox
    Log-Analyse und Auswertung - 13.12.2013 (9)
  4. Skype und fehlermeldungen aller ar
    Plagegeister aller Art und deren Bekämpfung - 27.10.2013 (5)
  5. TR/... Aller Art ..
    Plagegeister aller Art und deren Bekämpfung - 17.02.2013 (18)
  6. Löschen aller meiner Datein
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (1)
  7. Schutz vor Viren aller Art
    Plagegeister aller Art und deren Bekämpfung - 17.02.2012 (13)
  8. Mozilla fordert Sicherheitsprüfung aller CAs
    Nachrichten - 09.09.2011 (0)
  9. Bluescreens aller art ...
    Alles rund um Windows - 02.07.2010 (4)
  10. blue screens aller art!
    Mülltonne - 25.06.2008 (0)
  11. meldungen aller art
    Mülltonne - 04.01.2008 (2)
  12. TR aller Art
    Plagegeister aller Art und deren Bekämpfung - 18.05.2005 (6)
  13. Der dümmste Webmaster aller Zeiten...
    Netzwerk und Hardware - 09.03.2003 (4)

Zum Thema ist aller so in ordnung? - ich war heute im www am rumsurfen, auch nur auf seinen, die ich kenne und denen ich vertraue. dann kam eine virenmeldung, ich hab auf blockieren und löschen geklickt, schwupps - ist aller so in ordnung?...
Archiv
Du betrachtest: ist aller so in ordnung? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.