| |
| |||||||
Log-Analyse und Auswertung: ungewohnt hohe Aktivität, für mich keine neuen Prozesse erkennbarWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
18.09.2008, 17:48
| #1 |
| |  ungewohnt hohe Aktivität, für mich keine neuen Prozesse erkennbar Hallo allerseits! Seit drei Tagen fällt mir auf, dass mein Rechner ab und zu (ich kann keinen Zusammenhang mit irgendetwas feststellen) wie wild anfängt zu rattern (so wie wenn er gerade hochfährt, ich denke, ich höre die Festplatte). Immer einmal wieder. Meine erste Assoziation war, dass ich den Indexdienst der Suchmaschine ausversehen aktiviert hätte, da dieser sich ja immer gerne in Ruhezeiten betätigt; dem ist aber nicht so. Für mich Laie habe ich im Taskmanager keine auffälligen Prozesse erkennen können und so wende ich mich an Euch, da ich mir Sorgen mache. Nur ein Prozess ist mir aufgefallen: internat.exe Ich schaue nun wirklich nicht täglich in den Taskmanager, aber ich bin mir sicher, dass er vor drei Monaten noch nicht lief. Der ProcessExplorer von Sysinternals zeigt an, er sei unter dem Pfad C:\WINNT\system32\internat.exe zu finden, das hat mich beruhigt, denn auf der Seite neuber.com wird die Pfadangabe bestätigt und im HJT-Log ist sie auch identisch (nicht, dass ich den HJT-Log verstehen würde  ).Da ich fast ausschließlich mit nicht administrativen Rechten an meinem Rechner arbeite, habe ich zwei Logfiles erstellt. Eines unter meinem Benutzerprofil, und eines als Admin angemeldet. Das Admin-Logfile ist länger, und so habe ich ein paar Zeilen, die im Adminlogfile nicht auftauchen, aus dem Benutzerprofil-Log in das gepostete AdminLogfile hineinkopiert und gekennzeichnet (**Nur im Userprofil**). Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 18:25:57, on 18.09.2008 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINNT\system32\internat.exe **Nur im Userprofil** C:\Programme\ScannerMama\HP Share-to-Web\hpgs2wnd.exe C:\Programme\ScannerMama\HP Share-to-Web\hpgs2wnf.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe C:\WINNT\SOUNDMAN.EXE C:\PROGRA~1\POPFile\popfileib.exe **Nur im Userprofil** C:\Programme\Vierensuche\HiJackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\ScannerMama\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU\..\Run: [internat.exe] internat.exe **Nur im Userprofil** O4 - Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe **Nur im Userprofil** O4 - Startup: Run POPFile.lnk = C:\Programme\POPFile\runpopfile.exe **Nur im Userprofil** O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201747139044 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1201748414398 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: APUpdService - cobra GmbH - C:\WINNT\system32\APUpdService.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe **Nur im Userprofil** => bedeutet: ich habe zwei Logfiles gemacht. Dieses hier ist mit admin-Rechten gemacht worden. Die Zeilen, die mit dem Zusatz **Nur im Userprofil** gekennzeichnet sind, stammen aus einem Scan meines Userprofils mit eingeschränkten Rechten. Das sind die einzigen Zeilen, die im admin-Scan nicht auftauchen. Ich bin Euch über eventuelle Stellungnahmen/Einschätzungen sehr dankbar, da ich nicht weiter weis. Grüße, Ulrich |
|
| Themen zu ungewohnt hohe Aktivität, für mich keine neuen Prozesse erkennbar |
| ad-aware, adobe, antivir, antivirus, avira, benutzerprofil, bho, ellung, excel, festplatte, hijack, hijackthis, internet, internet explorer, konvertieren, microsoft, monitor, nvidia, pdf, pdf-datei, programme, prozesse, rattern, rundll, software, suche, suchmaschine, system, taskmanager, windows |
Linear-Darstellung
