| |
| |||||||
Log-Analyse und Auswertung: diverse ProblemeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
04.11.2008, 22:04
| #1 |
| |  diverse Probleme Hallo! Ich hab mir mal wieder einiges eingefangen und werd es nun nicht mehr los. Vielleicht könnt Ihr mir dabei mal helfen. Symptom 1: Routine-scan mit Avira Antivir ergab 4 versteckte Objekte, die infiziert sind, die von AV nicht gelöscht werden können (wozu ist dann eigentlich dieser Virenscanner nutze?) Symptom2: Windows Defender (hat mir schon oft geholfen) bricht Suchlauf mit Fehlermeldung ab und beendet seinen eigenen Dienst) Symptom 3: Einige Internet-Adressen werden auf localhost umgeleitet. So z.B. die Herstellerseite des HiJackThis, AV, ... Die HOSTS-Datei ist okay. Nur ein Eintrag, der localhost auf 127.0.0.1 umleitet. Symptom 4: Meine WLAN-Verbindung ist extrem langsam, d.h. die WLAN-Verbindung ansich ist okay, nur die Browser (FF und IE6) sind im Laden der Seiten EXTREM langsam. Hat mich an 56k-Modem-Zeiten erinnert. Hier mal das HiJackThis-Log: -------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:47:30, on 04.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18241) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\imapi.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\svchost.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Huawei Modems\DataCardMonitor.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\DAEMON Tools Lite\daemon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\Programme\Windows Media Player\WMPNSCFG.exe C:\Programme\T-Mobile\web'n'walk Manager\AutoUpdateSrv.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\OnlineControl\ocontrol.exe C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE C:\WINDOWS\system32\CNAB4RPK.EXE C:\Programme\Windows Defender\MSASCui.exe C:\Programme\Windows Defender\MsMpEng.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [DataCardMonitor] C:\Programme\Huawei Modems\DataCardMonitor.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Aktualisierungsagent.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0 Professional\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O15 - Trusted Zone: http://download.windowsupdate.com O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206471733296 O17 - HKLM\System\CCS\Services\Tcpip\..\{E5FB11A8-D2C6-4867-8B00-B8F074124250}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F57BAB73-4B21-4D50-A2B8-518DFD1A7864}: NameServer = 192.168.2.1 O18 - Protocol: t-mobile - (no CLSID) - (no file) O20 - AppInit_DLLs: karna.dat O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe -- End of file - 8504 bytes -------------------------------------------------------------------------- Und hier noch der für Symptom 1 relevante Report-Auszug von Avira Antivir: -------------------------------------------------------------------------- Der Suchlauf nach versteckten Objekten wird begonnen. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081104-215118-5F5A3415\AVSCAN-0000000A.dll [0] Archivtyp: HIDDEN [INFO] Die Datei ist nicht sichtbar. --> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081104-215118-5F5A3415\AVSCAN-0000000A.dll [FUND] Ist das Trojanische Pferd TR/Agent.gbt.26624 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081104-215118-5F5A3415\AVSCAN-0000000D.sys [0] Archivtyp: HIDDEN [INFO] Die Datei ist nicht sichtbar. --> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081104-215118-5F5A3415\AVSCAN-0000000D.sys [FUND] Ist das Trojanische Pferd TR/Agent.BNS.50688 Die Reparatur von Rootkits ist nur im interaktiven Modus möglich! c:\windows\system32\c_980399.nls [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\c_980419.nls [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\c_980449.nls [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdssgmdu.log [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdsskfjw.dll [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdsskhoj.log [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdsskrat.dat [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdsskrij.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.adb [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\tdsskwke.dll [FUND] [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\tdssooch.dll [INFO] Die Datei ist nicht sichtbar. c:\windows\system32\tdsspdyh.dll [INFO] Die Datei ist nicht sichtbar. [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.acs [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! c:\windows\system32\drivers\tdssqavb.sys [FUND] [INFO] Es konnte kein SpecVir-Eintrag gefunden werden! HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\modules [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\start [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\type [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\imagepath [INFO] Der Registrierungseintrag ist nicht sichtbar. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\TDSSserv.sys\group [INFO] Der Registrierungseintrag ist nicht sichtbar. Es wurden '50764' Objekte überprüft, '17' versteckte Objekte wurden gefunden. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MsMpEng.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'MSASCui.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'CNAB4RPK.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HPQTOA~1.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ocontrol.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'BTTray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AutoUpdateSrv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'DataCardMonitor.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'HP Wireless Assistant.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'LSSrvc.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'imapi.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '42' Prozesse mit '42' Modulen durchsucht ------------------------------------------------------------------------- Vielleicht kann mir jemand helfen diese Dinger wieder los zu werden. Denn irgendetwas stimmt bei meinem System definitiv nicht! Vielleicht könnte mir auch jemand schreiben, wo ich bzgl. der Adressumleitung noch suchen könnte, mal abgesehen von der HOST-Datei. Vielen Dank im Voraus! 7 |
|
05.11.2008, 19:57
| #2 |
| | diverse Probleme Hat niemand einen Tip?
__________________ |
|
| Themen zu diverse Probleme |
| adobe, antivir, avira, avscan.exe, browser, defender, einstellungen, excel, explorer, extrem langsam, fehlermeldung, firefox, hijack, hijackthis, hkus\s-1-5-18, hosts-datei, infiziert, internet explorer, konvertieren, langsam, mozilla, pdf, pdf-datei, problem, prozesse, seiten, senden, software, suchlauf, system, t-mobile, temp, versteckte objekte, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
