Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Log-Auswertung....kundiger Blick gefragt ;)

Log-Auswertung....kundiger Blick gefragt ;)


Log-Analyse und Auswertung: Log-Auswertung....kundiger Blick gefragt ;)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 31.07.2004, 20:23   #1
oodag
 
Log-Auswertung....kundiger Blick gefragt ;) - Icon27

Log-Auswertung....kundiger Blick gefragt ;)


Hallo,

Ich hatte mir ein Image gebrannt, eingelegt (Autostart), dann wurden
Virenscanner und Firewall ausgeschaltet etc...

Ok, rechner runtergefahren und mit dos-scanner gecheckt:
Habe folgendes Programm ausgemacht: xpsp1mfh.exe -> umbenannt.

Nach Neustart wollte dann xpsp1mfh.exe ins Internet..

Naja ich hab mich dann informiert, neuen Virenscanner installiert,
beim Scan hatte er auch einen LoveBug.. und andere gefunden, hatte diese dann entfernt.

Anm.: Habe XP, alle Patches und aktuellen Virenscanner sowie ZApro... ?!

Hatte dann 1 Woche Ruhe, nun will immer eine meiner Anwendungen, z.B. Firefox ins Inet, obwohl ich grad am surfen bin, oder spoolsv.exe auch...

Inzwischen habe ich meinen Rechner mit 3 versch. Viren-SW gecheckt & nichts gefunden..., evtl kann ma einer das HijackThis-Log anschauen?

VORHER:
Logfile of HijackThis v1.98.0
Scan saved at 18:45:28, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Ontrack\Fix-It\mxtask.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\ClocX\ClocX.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\sol1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\Fix-It\MemCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunServices: [Media Player Update] xpsp1mfh.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

NACH MEINER PRÜFUNG:
Logfile of HijackThis v1.98.0
Scan saved at 21:08:21, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe
C:\Programme\ClocX\ClocX.exe
C:\Programme\D-Tools\daemon.exe
D:\PROGRA~1\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\sol1\Desktop\HijackThis.exe
C:\WINDOWS\System32\NOTEPAD.EXE

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{67349014-DA1D-422F-BB63-AE7AF2FD2E12}: NameServer = 217.237.151.97 194.25.2.129

Was gehört da nicht hin?

Gruss, "oodag"


Anm: Die automatische Auswertung & Free eScan Antivirus Toolkit Utility (nichts gefunden) hatte ich gemacht, die hatte aber z.B. Zonealarm als Zone Alarm Ex-Virus erkannt ?, deshalb frag ich lieber Leute die sich auskennen
Geändert von oodag (31.07.2004 um 20:28 Uhr)

Alt 31.07.2004, 20:35   #2
*Christian*
Gast
 
Log-Auswertung....kundiger Blick gefragt ;) - Standard

Log-Auswertung....kundiger Blick gefragt ;)


Das zweite Log schaut sauber aus .....

Das mit ZoneAlarm hab ich nun gemeldet, da dies schon seit längerer Zeit so ist.
__________________
Alt 31.07.2004, 20:38   #3
oodag
 
Log-Auswertung....kundiger Blick gefragt ;) - Standard

Log-Auswertung....kundiger Blick gefragt ;)


Hehe, das war ma ne schnelle Antwort thx..

Eine Frage hätte ich noch:

Wenn ich den Eintrag:
O17 - HKLM\System\CCS\Services\Tcpip\..\{67349014-DA1D-422F-BB63-AE7AF2FD2E12}: NameServer = 217.237.151.97 194.25.2.129 lösche, dann kann ich keine Seite mehr ansurfen.... ???

Muss dann erst die Inet Verbindung neum starten dann gehts wieder ...
..und dann steht der Eintrag (die selben IP´s!!?! - habe keine feste!!) wieder im Hijack-Log. (obwohl ich den rausgenommen hatte und NICHT neu gestartet habe).
Ist das normal?

Bei netstat sagt der auch 2 Verbindungen zu localhost (1413, 1412) ???

Ich weiss ich bin "nub" aber deshalb frag ich ja

Gruss,....
__________________
Geändert von oodag (31.07.2004 um 20:50 Uhr)

Antwort

Themen zu Log-Auswertung....kundiger Blick gefragt ;)
antivirus, antivirus scan, bho, desktop, dll, einstellungen, escan, explorer, firefox, firewall, firewall ausgeschaltet, fix-it, hijack, internet explorer, kaspersky, mozilla, mozilla firefox, neustart, nvcpl.dll, programm, programme, registry, rundll, scan, software, sun java, surfen, symantec, system, tcpip, userinit.exe, windows, windows xp, zone alarm


« Ist Registry First Aid Spyware? | HijackThis Log, Bitte euch alle um Hilfe »


Ähnliche Themen: Log-Auswertung....kundiger Blick gefragt ;)


  1. sicherlich tausendmal gefragt ... AVIRA, AVAST & Co
    Antiviren-, Firewall- und andere Schutzprogramme - 28.03.2014 (12)
  2. Malware-Nützliche INfos sind gefragt
    Plagegeister aller Art und deren Bekämpfung - 15.06.2012 (1)
  3. Geschäftsanwendungen für den neuen Personalausweis noch wenig gefragt
    Nachrichten - 15.09.2010 (0)
  4. Internetsperre / Orangewebbox umgehen --> IT Profis sind gefragt!
    Mülltonne - 21.11.2009 (3)
  5. Informationsfreiheit: Informationen von Behörden selten gefragt
    Nachrichten - 23.06.2009 (0)
  6. Kleines Problem. Profis gefragt
    Log-Analyse und Auswertung - 23.06.2009 (2)
  7. Experte gefragt!
    Log-Analyse und Auswertung - 08.09.2008 (2)
  8. Ordner/Dateien einfach nicht Löschbar!!! Helfer gefragt
    Diskussionsforum - 01.07.2008 (35)
  9. Expertenmeinung gefragt!
    Mülltonne - 11.09.2007 (2)
  10. Euer wissen ist gefragt !
    Mülltonne - 19.11.2006 (1)
  11. Profis gefragt! Bitte Log-File checken!
    Log-Analyse und Auswertung - 08.11.2005 (3)
  12. Experten-Rat gefragt
    Log-Analyse und Auswertung - 06.08.2005 (1)
  13. HILFE!!!Expertenmeinung gefragt...
    Log-Analyse und Auswertung - 08.06.2005 (1)
  14. mal ganz blöd gefragt...
    Alles rund um Windows - 30.11.2004 (3)
  15. PC laggt bei Online-Games! Experten sind gefragt!
    Plagegeister aller Art und deren Bekämpfung - 17.10.2004 (9)
  16. mal schnell gefragt
    Antiviren-, Firewall- und andere Schutzprogramme - 18.01.2003 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Log-Auswertung....kundiger Blick gefragt ;) - Hallo, Ich hatte mir ein Image gebrannt, eingelegt (Autostart), dann wurden Virenscanner und Firewall ausgeschaltet etc... Ok, rechner runtergefahren und mit dos-scanner gecheckt: Habe folgendes Programm ausgemacht: xpsp1mfh.exe -> umbenannt. - Log-Auswertung....kundiger Blick gefragt ;)...
Archiv
Du betrachtest: Log-Auswertung....kundiger Blick gefragt ;) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131