| |
| |||||||
Log-Analyse und Auswertung: Logfile + cshelper.exeWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.02.2009, 14:23
| #1 |
 |  Logfile + cshelper.exe Hallo zusammen, hab heut etwas gefunden, dass mich stutzig machte - cshelper.exe. - Googeln hat mich nicht viel weitergebracht - könnte laut McAfee-Seite* evtl von einem Programm namens CopySafe PDF kommen, von dem ich noch nie was gehört hab und das auch nicht bei mir installiert ist. *(hxxp://www.siteadvisor.com/sites/artistscope.com/downloads/12982468/) - Laut Virustotal stuft sie nur Fortinet als 'suspicious' ein: File size: 266240 bytes MD5...: aefb8558199bd5212b268b09bfa1d71a SHA1..: 08dc117fe57fcba4c9078081300854b6a54a6c79 SHA256: 8623c845977ffceca6e90f8b148b05ae8e85cf7c517652be8ed44f597a749bee SHA512: cdd2435f6f2cb08cf032710794352a5f453aae3d042cf749d6b8eef599443a2f 0d3292ab4af36a5b02695613498f822738c966e886c8bcb8fb03903740a5afa2 ssdeep: 3072:wJjoZd9Lih2vNu8luiNX5gKBrWYGc+voYMcCoPwUGB7eZqmPx2n2l7YrACB sty:6jo/2muQui/gK9WYIoYMxw2noYrADty PEiD..: - TrID..: File type identification Win32 Executable MS Visual C++ (generic) (65.2%) Win32 Executable Generic (14.7%) Win32 Dynamic Link Library (generic) (13.1%) Generic Win/DOS Executable (3.4%) DOS Executable Generic (3.4%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x4e8f timedatestamp.....: 0x48f46f15 (Tue Oct 14 10:06:13 2008) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1aef4 0x1b000 6.65 eab07101d3812cf5211d2ceb6e3bc0d8 CODE 0x1c000 0x1bafc 0x1c000 6.48 508884a809f9365c1f39fa1aa4f46bfe .rdata 0x38000 0x4aa4 0x5000 5.23 25fe59cc0204aba1d958946441d7927e .data 0x3d000 0x1b50 0x1000 2.96 617df622cbcbc5dc816905b102fecef7 DATA 0x3f000 0xf80 0x1000 4.58 18c8970d32d7ab38a958fafab01a5ba6 BSS 0x40000 0x759 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x41000 0xb0 0x1000 3.06 63dd4599aa8fbdfca297181b242bedf2 ( 5 imports ) > CSInstru.dll: InitCSP, DoneCSP > KERNEL32.dll: TlsGetValue, TlsFree, TlsAlloc, lstrlenW, lstrlenA, lstrcpyW, lstrcmpiW, lstrcmpA, lstrcatW, WriteProcessMemory, WaitForMultipleObjects, VirtualQueryEx, VirtualQuery, VirtualProtectEx, VirtualProtect, UnmapViewOfFile, TerminateThread, TerminateProcess, SetThreadPriority, SetLastError, ResumeThread, ReleaseSemaphore, ReleaseMutex, ReadProcessMemory, ReadFile, OpenMutexW, OpenMutexA, OpenFileMappingW, OpenFileMappingA, OpenEventW, OpenEventA, MapViewOfFile, LoadLibraryExA, LoadLibraryW, LoadLibraryA, IsBadWritePtr, IsBadReadPtr, GetVersionExW, GetVersionExA, GetTickCount, GetThreadContext, TlsSetValue, GetSystemDirectoryA, GetProcAddress, GetModuleHandleW, GetModuleFileNameW, GetLastError, GetFileSize, GetFileAttributesW, GetFileAttributesA, GetExitCodeThread, GetCurrentThread, GetCurrentProcessId, GetCurrentProcess, GetCurrentDirectoryW, GetCurrentDirectoryA, InterlockedExchange, FormatMessageA, DuplicateHandle, DeleteFileW, CreateThread, CreateSemaphoreA, CreateProcessW, CreateProcessA, CreatePipe, CreateMutexW, CreateMutexA, CreateFileMappingW, CreateFileMappingA, CreateFileW, CreateFileA, CreateEventW, CreateEventA, CompareStringW, CompareStringA, GetTimeZoneInformation, GetLocaleInfoW, LCMapStringW, LCMapStringA, GetStringTypeW, MultiByteToWideChar, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, GetStdHandle, RaiseException, RtlUnwind, UnhandledExceptionFilter, WriteFile, ExitProcess, FreeLibrary, GetCommandLineA, GetLocaleInfoA, GetStartupInfoA, GetThreadLocale, WideCharToMultiByte, GetCurrentThreadId, GetVersion, VirtualAlloc, VirtualFree, InitializeCriticalSection, DeleteCriticalSection, OpenProcess, WaitForSingleObject, EnterCriticalSection, LeaveCriticalSection, GetModuleHandleA, GetModuleFileNameA, LocalAlloc, lstrcmpiA, LocalFree, Sleep, lstrcpyA, lstrcatA, SetEvent, CloseHandle, GetSystemDirectoryW, GetDateFormatA, GetTimeFormatA, SetConsoleCtrlHandler, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, HeapFree, HeapAlloc, GetProcessHeap, InterlockedIncrement, InterlockedDecrement, HeapSize, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, QueryPerformanceCounter, GetSystemTimeAsFileTime, FatalAppExitA, HeapReAlloc, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, SetEnvironmentVariableA > USER32.dll: CloseDesktop, DispatchMessageA, GetSystemMetrics, GetThreadDesktop, MsgWaitForMultipleObjects, OpenInputDesktop, PeekMessageA, TranslateMessage, MessageBoxA, GetKeyboardType, GetUserObjectInformationA > ADVAPI32.dll: CreateServiceA, StartServiceA, GetKernelObjectSecurity, AdjustTokenPrivileges, AllocateAndInitializeSid, EqualSid, FreeSid, GetLengthSid, GetTokenInformation, InitializeSecurityDescriptor, IsValidSid, LookupPrivilegeValueA, OpenProcessToken, RegCreateKeyExA, RegDeleteKeyA, RegEnumKeyA, RegSetValueExA, RegSetValueExW, SetSecurityDescriptorDacl, RegCloseKey, RegOpenKeyExA, RegQueryValueExA, StartServiceCtrlDispatcherA, RegisterServiceCtrlHandlerA, OpenSCManagerA, OpenServiceA, QueryServiceConfigA, ControlService, DeleteService, CloseServiceHandle, ChangeServiceConfigA, SetServiceStatus > OLEAUT32.dll: -, - Hier das hjt-log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:07:21, on 03.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\ALCWZRD.EXE C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\CSHelper.exe C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\McAfee\MPF\MPFSrv.exe C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\McAfee\Managed VirusScan\Agent\myAgttry.exe C:\Marion\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Programme\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe" O4 - HKLM\..\Run: [MVS Splash] "C:\Programme\McAfee\Managed VirusScan\Agent\Splash.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: hxxp://*.mcafee.com O16 - DPF: {40C83AF8-FEA7-4A6A-A470-431EE84A0886} (SecureObjectFactory Class) - hxxp://de.vs.mcafeeasap.com/VS2/bin/myCioAgt.cab O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - hxxp://www.parallelgraphics.com/l2/bin/cortvrml.cab O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - hxxps://media.pineconeresearch.com/ActiveX/downloadcontrol.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08CA36F1-337E-4D68-BB69-951169D346A1}: NameServer = 217.237.148.102 217.237.151.115 O23 - Service: CopySafe Helper Service (CSHelper) - Unknown owner - C:\WINDOWS\system32\CSHelper.exe O23 - Service: EngineServer - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\VScan\EngineServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe O23 - Service: McShield - McAfee, Inc. - C:\PROGRA~1\McAfee\MANAGE~1\VScan\McShield.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe O23 - Service: McAfee-Dienst zum Schutz vor Viren und Spyware (myAgtSvc) - McAfee, Inc. - C:\Programme\McAfee\Managed VirusScan\Agent\myAgtSvc.exe -- End of file - 6207 bytes Hab auch mal malwarebytes über den PC laufen lassen, der hat keine infizierten Objekte gefunden. Wie lautet die Diagnose? Vielen lieben Dank im voraus! Marion |
|
03.02.2009, 17:23
| #2 |
  | Logfile + cshelper.exe Hallo
__________________hast du die Datei C:\WINDOWS\system32\CSHelper.exe mal mit der rechten Maustaste angeklickt und dich durch die "Eigenschaften" geackert (Hersteller usw.)? Du kannst die Datei ja mal hier Send a Sample to the Security Labs oder hier Submit your sample hochladen und das Ergebnis hier posten. MFG
__________________ |
|
03.02.2009, 17:40
| #3 |
| | Logfile + cshelper.exe Hallo & danke für die Antwort!
__________________ Bei Rechtsklick/Eigenschaften steht leider gar nix zu Hersteller etc. - nur leere Felder, bzw. der header "Version" fehlt vollständig. Hab die Datei an F-Secure geschickt. Gibt es da Erfahrungswerte, wie lange es dauern kann? Sieht der Rest des logfiles für dich sauber aus? Fragen über Fragen ... Geändert von Malachyt (03.02.2009 um 18:10 Uhr) |
|
03.02.2009, 18:16
| #4 | ||
| | Logfile + cshelper.exe Hallo Zitat:
Zitat:
 Du kannst für die Dauer bis ein Ergebnis vorliegt versuchen, die Datei umzubenennen. Mit einem rechtsklick auf die Datei --> Umbenennen --> hängst du einfach ein .vir hinten dran. MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist   http://www.vivaconagua.org/ |
|
03.02.2009, 18:27
| #5 | ||
| | Logfile + cshelper.exeZitat:
Zitat:
 Okay, werd das ganze umbenennen. Hoffentlich ist es nix schlimmes.  Bis die Tage! |
|
04.02.2009, 08:57
| #6 |
| | Logfile + cshelper.exe So, F-Secure war aber schnell! Und hat auch noch das gewünsche Ergebnis geliefert: "The file you submitted is clean. It is not malicious." Werd das Ding jetzt wieder rück-umbenennen, und mit hjt fixen. Mal schaun, ob es sich nochmal meldet... Vielen lieben Dank für die Hilfe! Marion |
|
04.02.2009, 17:34
| #7 | ||
| | Logfile + cshelper.exe Hallo Zitat:
Zitat:
MFG
__________________ Kein Support per PN - Bitte im Forum posten. Wenn du das Forum unterstützen möchtest Genitiv ins Wasser, weil es dativ ist http://www.vivaconagua.org/ |
|
| Themen zu Logfile + cshelper.exe |
| adobe, bho, error, excel, explorer, firefox, firewall, generic, hijack, hijackthis, hkus\s-1-5-18, infizierte, internet, internet explorer, logfile, malwarebytes' anti-malware, mozilla, plug-in, programm, rundll, schutz, security, shortcut, software, spyware, viren, virus, windows, windows xp |
Linear-Darstellung
