|
Log-Analyse und Auswertung: Benutzerkonten ProblemWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.07.2004, 07:36 | #1 |
| Benutzerkonten Problem Schönen Tag, hab seit neuestem das Problem, dass ich von meinen 5 Benutzerkonten nur noch immer eins öffnen kann. Melde ich mich bei einem Konto ab und klicke auf ein anderes, geht das nicht; ich muss dann immer nochmal neu booten, um in dieses Konto zu gelangen. Hab Antivir mit neuester Signatur im abgesicherten Modus mal drüber laufen lassen. Es wurden auch einige Viren oder Trojaner gefunden, die ich dann auch entfernt habe. Leider weiss ich die Dateinamen nicht mehr. Das Problem ist aber immer noch da. Als nächstes hab ich dann meine LogFile in die OnlineAuswertung gestellt. Dort wurde allerdings nur ein Eintrag als "Böse" gekennzeichnet und zwar dieser: "O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone " Den kann ich doch aber nicht löschen, der hat doch was mit meiner ZoneAlarm Firewall was zu tun – oder ???? Nun meine Bitte an Euch – könntet Ihr mal über meine LogFile drüberschauen, ob Ihr da was findet. Die Online Auswertung soll ja nicht so 100%ig zuverlässig sein. Gruss Barny ************************************************************************* Logfile of HijackThis v1.98.0 Scan saved at 18:42:03, on 15.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\CACHEM~1\CachemanXP.exe C:\Programme\Convar\TaskManager\ctm.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\a2\a2guard.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe |
16.07.2004, 13:33 | #2 |
| Benutzerkonten Problem O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone
__________________Labs\ZoneAlarm\zlclient.exe" Wurde als Böse gekennzeichnet, weil du hinter Zone einen Zeilenumbruch gemacht hast. Dadurch konnte das Script keine Datei in der Zeile finden und gibt es als Böse aus. |
17.07.2004, 16:02 | #3 |
| Benutzerkonten Problem Dank Na Mtze, dass sich wenigstens einer mal meldet.
__________________Ich nehm aslo mal an, dass ich den Eintrag nicht fixen muss. Zu meinem Problem nochmal, nachdem ich die Systemwiederherstellung bemüht habe, komme ich mittlerweile in alle Konten rein. Hab trozdem mal eScan laufen lassen (abgesicherter Modus). Das Programm startet bei jedem Konto automatisch und findet auch einen "Virus" - zumindest wird da so ein Virus Symbol angezeigt, statt des rotierenden Punktes im gelben Kreis. Wie gesagt, in jedem Konto startet eScan und meldet immer wieder die Datei "htpatch.exe tagged" ist die böse - muss ich die löschen ? Antivir hab ich auch wieder durchlaufen lassen, da wird allerdings nichts an Viren gefunden. Nochmal zu meiner LogFile - gibt´s da was schädliches. Vielleicht erbarmt sich ja mal jemand und schaut mal drauf. Barny |
17.07.2004, 16:23 | #4 |
/// Mr. Schatten | Benutzerkonten Problem irgendwie finde ich ein Log-File ohne Formatierung und Leerzeile dazwischen übersichtlicher. Wenn Du oben das Log nochmal unformatiert reinstellst (ersetzt), schau ich nach ob mir was auffällt. (Leute denen die formatierte zweizeilige Variante besser gefallen haben, haben ja jetzt einenTag Zeit gehabt. *bg*
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
18.07.2004, 15:57 | #5 |
| Benutzerkonten Problem Hier meine neueste LogFile: ***************************************************** Logfile of HijackThis v1.98.0 Scan saved at 16:49:56, on 18.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\CACHEM~1\CachemanXP.exe C:\Programme\Convar\TaskManager\ctm.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\a2\a2guard.exe C:\Programme\Steganos Internet Anonym Pro 6\sia.exe C:\Programme\Steganos Internet Anonym Pro 6\sseagent.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Medion\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\a2\a2guard.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /runonce O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O17 - HKLM\System\CS2\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 62.104.191.241 62.104.196.134 ******************************************************** Gruss und sonst , wenn kein Check. Barny |
18.07.2004, 16:15 | #6 |
/// Mr. Schatten | Benutzerkonten Problem Wenn Du über Freenet ins I-Net gehst ist die letzte Zeile O17 okay O9 "Medion" löschen da die Datei sowieso fehlt. Bei der Zeile weiß ich nicht so recht (bei mir würde sie fliegen) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf Es KÖNNTE sein dass ZoneAlarm einen lokalen Proxy schaltet, ich WEISS es aber nicht, da ich kein ZA einsetze, IIRC war es früher bei ZA aber nicht so! Kann aber auch von einer deiner weiteren "Sicherheitstools stammen oder eben böse sein. Ich kann im Moment damit nichts anfangen such mal nach 'proxyconf' auf Deiner HD und schau rein mit dem Editor, lesbaren Inhalt und Pfad hier u.U. posten. Wenn Du eine Freenet-Einwahlsoftware nutzt könnte es auch daher sein.
__________________ --> Benutzerkonten Problem Geändert von Shadow (18.07.2004 um 16:33 Uhr) |
19.07.2004, 16:19 | #7 |
| Benutzerkonten Problem Hallo und sorry, dass ich mich jetzt erst wieder melde. Also ich hab nach dieser "proxyconf" suchen lassen, aber ohne Erfolg. Es wird keine solche Datei gefunden. Und nun ????? Barny |
19.07.2004, 18:53 | #8 |
/// Mr. Schatten | Benutzerkonten Problem Um was gings nochmal? Die Benutzerkonten? Gibt es den Punkt "Abmelden" nicht? Oder was passiert wenn Du "Abmelden" anwählst?
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - Geändert von Shadow (19.07.2004 um 19:02 Uhr) |
20.07.2004, 06:40 | #9 |
| Benutzerkonten Problem Ja - um die Benutzerkonten ging´s. Und das funzt mittlerweile, wohl deshalb, weil ich den PC per Wiederhstellungspunkt zurückgesetzt habe. Was meine LogFile angeht kann ich also davon ausgehen, dass ich keine Trojaner oder sonst irgendeinen Dreck auf meinem PC habe ?!?!?!?! Gruss Barny |
Themen zu Benutzerkonten Problem |
abgesicherten modus, adobe, antivir, benutzerkonten, bho, booten, dateien, drivers, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, logfile, löschen, microsoft, problem, programme, rojaner gefunden, software, system, taskmanager, trojaner, trojaner gefunden, tuneup utilities, viren, windows, windows xp |