Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Nach Spybot-Installation lahmes Inet

Nach Spybot-Installation lahmes Inet


Log-Analyse und Auswertung: Nach Spybot-Installation lahmes Inet

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 05.12.2008, 15:09   #1
cokeyyy:)
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Guden erstmal :>

Also, ich hab mir Spybot gezogen und installiert. Danach hab ich mein System gescannt und immunisiert. Hat auch alles soweit gut geklappt, nur brauchen Mozilla/IE/Opera jetzt ewig, um Seiten aufzubauen. Da ich dachte, es liegt an Spybot, hab ich es deinstalliert, doch das Problem besteht weiterhin. Hoffe, mir kann jemand helfen.

Hier mein hijacklog:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:08, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0DB39D51-4CDD-434C-822E-18E430C991AA} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: {d25d0192-2946-a1ab-5eb4-87b50d8b273f} - {f372b8d0-5b78-4be5-ba1a-64922910d52d} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {8DC086C2-5C5E-4B71-8413-18139AC3D9CF} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{18C45608-6F45-459C-ACDD-1F54B4285E68}: NameServer = 85.255.115.50,85.255.112.154
O17 - HKLM\System\CCS\Services\Tcpip\..\{50CF2106-70BD-40AE-8EFA-1A3D16F1E9FA}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DE143F4-3996-4E24-89E1-561D0DF45178}: NameServer = 85.255.115.50,85.255.112.154
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.154
O17 - HKLM\System\CS1\Services\Tcpip\..\{18C45608-6F45-459C-ACDD-1F54B4285E68}: NameServer = 85.255.115.50,85.255.112.154
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.154
O17 - HKLM\System\CS3\Services\Tcpip\..\{18C45608-6F45-459C-ACDD-1F54B4285E68}: NameServer = 85.255.115.50,85.255.112.154
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.50 85.255.112.154
O20 - AppInit_DLLs: xvktcjud.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 7266 bytes


Danke schonmal im Voraus

Alt 05.12.2008, 19:45   #2
john.doe
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Hallo und

Willkommen in der Ukraine, dort landen deine Internetanfragen. Spybot hat da ganz sicher nichts mit zu tun. Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\xvktcjud.dll
Sollte die Datei nicht in dem Ordner zu finden sein, benutze die Windowssuche, um die Datei xvktcjud.dll zu finden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas
__________________

Geändert von john.doe (05.12.2008 um 20:45 Uhr)

Alt 06.12.2008, 15:16   #3
cokeyyy:)
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Hey,

is ja en tolle Gedanke, dass meine Inetanfragenn inner Ukraine landen >.<

zu 1.) xvktcjud.dll die Datei ist weder in dem angegebenen Verzeichnis, noch wird sie von der Windowssuche gefunden. Ich habe die Schritte so ausgeführt, wie sie auf den screens dargestellt waren und du es mir gesagt hattest.

zu 3.) Ich habe die Datei ( 65,5 kb ) runtergeladen jedoch kommt beim ausführen nur für eine Zehntelsekunde ein schwarzes cmd Fenster, sodass ich nicht posten kann, was dort steht.

Die logs hab ich alle zusammen gezippt und HIER hochgeladen.

Danke für die Hilfe

cokeyyy
__________________
Alt 06.12.2008, 18:15   #4
john.doe
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Zitat:
Zitat von cokeyyy:) Beitrag anzeigen
zu 3.) Ich habe die Datei ( 65,5 kb ) runtergeladen jedoch kommt beim ausführen nur für eine Zehntelsekunde ein schwarzes cmd Fenster, sodass ich nicht posten kann, was dort steht.
Speicher die Datei auf dem Desktop. Nach Starten des Programmes findest du auf dem Desktop eine mbr.log. Die dann posten.

Welche Bearshare Version hast du dir installiert?

ciao, andreas

Alt 06.12.2008, 18:44   #5
cokeyyy:)
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


achso, okay hier die .log:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Bearshare is runter vom rechner...


Alt 06.12.2008, 18:59   #6
john.doe
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Zitat:
Bearshare is runter vom rechner...
Nicht wirklich:
Code:
ATTFilter
Verzeichnis von C:\Programme

06.12.2008  14:48    <DIR>          Mozilla Firefox
...
05.12.2008  11:07    <DIR>          BearShare
...
29.04.2008  12:47    <DIR>          BearShare Applications
Das Datum ist interessant. Seit wann hast du Probleme?

Du scheinst schonmal Malware gehabt zu haben. Hier sind noch Reste:
Code:
ATTFilter
Autostart via AUTORUN.INF on local fixed drives:
------------------------------------------------

D:\
<<!>> D:\AUTORUN.INF -> "shellexecute="resycled\boot.com d:"" [file not found]

E:\
<<!>> E:\AUTORUN.INF -> "shellexecute="resycled\boot.com e:"" [file not found]
ciao, andreas

Alt 06.12.2008, 19:07   #7
cokeyyy:)
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Okay, ich hatte Bearshare deinstalliert, aber es waren noch Dateien vorhanden, die hab ich nun auch runtergeworfen.

Die Malware reste hab ich nun auchgelöscht.

Das Problem mit dem langsamen Internet hat sich behoben =) Danke für die Hilfe!

Falls ich wieder Probleme hab, weiß ich, an welches Board ich mich richte :>

einen schönen Abend noch cokeyyy

Alt 06.12.2008, 19:25   #8
john.doe
 
Nach Spybot-Installation lahmes Inet - Standard

Nach Spybot-Installation lahmes Inet


Du denkst, dass der Rechner wieder sauber ist.
Sicher ist nur: http://www.trojaner-board.de/51262-a...sicherung.html

Falls du doch damit weiterarbeiten möchtest, dann solltest du folgendes mit HJT fixen:
Code:
ATTFilter
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {0DB39D51-4CDD-434C-822E-18E430C991AA} - C:\WINDOWS\system32\geBtRhgF.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: xvktcjud.dll
Schau auch mal hier vorbei: Scan Now - Online (OSI) - Vulnerability Scanning - Secunia.com

ciao, andreas

Antwort

Themen zu Nach Spybot-Installation lahmes Inet
adobe, antivir, antivirus, avg, avira, bho, computer, cs3, dll, explorer, firefox, google, hijackthis, hkus\s-1-5-18, internet, internet explorer, nvidia, object, pdf, plug-in, problem, rundll, seiten, software, system, windows, windows xp, windows xp sp3, xp sp3


« Virus Remover usw | Internet langsam, google falsche links »


Ähnliche Themen: Nach Spybot-Installation lahmes Inet


  1. win7 nach merkel virus neu gemacht - trotdem inet download sehr langsam
    Log-Analyse und Auswertung - 02.11.2014 (7)
  2. Programme Starten zeitlich verzöger, Probleme bei Installation von Spybot S&D
    Log-Analyse und Auswertung - 29.01.2014 (5)
  3. Probleme mit searchgol nach deltatoolbar nach installation von imgburn (Win8-x64-chrome)
    Log-Analyse und Auswertung - 31.10.2013 (29)
  4. Spybot S&D Log / Installation von Malwarebytes etc fehlgeschlageb bzw verhindert!
    Log-Analyse und Auswertung - 15.02.2013 (7)
  5. Redirecting zu ungewollten websites beim Surfen (Inet geht nicht mehr nach Defogger-scan)
    Log-Analyse und Auswertung - 31.07.2011 (16)
  6. Nach Malwarebytes Scan und Entfernung ->div. Programme können keine Inet Verbindung mehr herstellen
    Antiviren-, Firewall- und andere Schutzprogramme - 23.08.2010 (1)
  7. PC hängt sich nach längerer Inet Verbindung auf
    Log-Analyse und Auswertung - 16.11.2008 (4)
  8. falsche links-lahmes inet-hab logfiles! help
    Mülltonne - 17.09.2008 (0)
  9. Inet lahmt total, CPU auf 100%, Verbindung zum Inet ständig unterbrochen...
    Log-Analyse und Auswertung - 18.03.2008 (1)
  10. Spybot: Installation als Admin?
    Alles rund um Windows - 18.11.2007 (1)
  11. Ich fliege immer ausem inet ca nach 5 minuten,..
    Log-Analyse und Auswertung - 06.09.2007 (1)
  12. Inet, Arbeitsplatz, Programm installation nicht möglich
    Alles rund um Windows - 18.05.2007 (3)
  13. Prozess 'System' sorgt für dauerhafte CPU-Auslastung von 100% nach Einwahl ins Inet
    Plagegeister aller Art und deren Bekämpfung - 16.05.2007 (2)
  14. Nach eine Zeit im Internet fängt pc an zu ruckeln und Inet stürtzt ab
    Log-Analyse und Auswertung - 09.04.2007 (2)
  15. nach einer stunde inet - shutdoun für pc?
    Log-Analyse und Auswertung - 12.10.2006 (3)
  16. DEFAULT-ORDNER (nach SpyBot-Installation)
    Alles rund um Windows - 22.03.2005 (12)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Nach Spybot-Installation lahmes Inet - Guden erstmal :> Also, ich hab mir Spybot gezogen und installiert. Danach hab ich mein System gescannt und immunisiert. Hat auch alles soweit gut geklappt, nur brauchen Mozilla/IE/Opera jetzt ewig, - Nach Spybot-Installation lahmes Inet...
Archiv
Du betrachtest: Nach Spybot-Installation lahmes Inet auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19