|
Log-Analyse und Auswertung: einige online-verbindungen spinnen; vor lahmte der ieWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.03.2009, 09:45 | #1 |
| einige online-verbindungen spinnen; vor lahmte der ie Seit einiger Zeit funktionieren einige Verbindungen nicht mehr richtig. Manchmal klappen Sendeaufträge (z.B. beim Online-Banking) nicht mehr, teilweise bleibt sogar die DFÜ-Verbindung hängen. Da vor ein zwei Wochen der Internet Explorer plötzlich langsamer wurde und Webseiten nicht mehr aufgebaut hat, habe ich CCleaner und Malewarebytes durchgeführt. Dabei wurde auch etwas gefunden, was ich entfernt habe, aber irgendwie bin ich mir nicht sicher, ob es weg ist. Habe eben beide Programme nochmals ausgeführt, sie finden nichts. Daher bitte ich euch doch mal über mein Hijack-Log zu gucken. Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:31:12, on 23.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\KFZR6\FordEtis\FordFSA.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\KFZR6\FordEtis\acugt.exe C:\Programme\FBA32\BHaupt32.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\FRITZ!\Frifax32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\TAYLOR\TPO\TPO.EXE C:\Programme\Malwarebytes' Anti-Malware\mbam.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [Launcher] C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Ford Bank Aktuell.lnk = C:\Programme\DDL\DDL.exe O4 - Global Startup: FordFSA.LNK = C:\KFZR6\FordEtis\FordFSA.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\ie_banner_deny.htm O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20 O17 - HKLM\System\CS1\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20 O17 - HKLM\System\CS2\Services\Tcpip\..\{5A8ECBB2-EC1C-4EEC-8920-2C34CF370213}: NameServer = 62.156.190.20 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 4954 bytes |
23.03.2009, 11:59 | #2 |
| einige online-verbindungen spinnen; vor lahmte der ie Hallo HerrZinfarkt und
__________________Um erstmal einen Überblick zu bekommen, lädst du bitte diese 3 Dateien bei Virustotal.com hoch und lässt sie analysieren. Auch wenn dort schon stehen sollte, dass diese files schon einmal überprüft wurden. Die Ergebnisse, einschließlich der Angaben zu MD 5 etc. Code:
ATTFilter C:\Programme\Kyocera\FS-720 Utilities\KMGLNC.exe C:\KFZR6\FordEtis\FordFSA.exe C:\KFZR6\FordEtis\acugt.exe C:\Programme\FBA32\BHaupt32.exe Code:
ATTFilter address: T-Systems Business Services GmbH address: Fasanenweg 15-17 address: D-70 771 Leinfelden-Echterdingen address: DeTeSystem GmbH NL Koeln address: Vor den Siebenburgen 2 address: D-50676 Koeln address: Germany Daher vorab der dringende Rat sprich mit der Bank darüber was genau passiert ist während der Transaktion, halte dein Konto im Auge. Eine Frage habe ich noch: Ist dies ein Geschäftsrechner oder Privat?
__________________ |
23.03.2009, 13:38 | #3 |
| einige online-verbindungen spinnen; vor lahmte der ie Hallo,
__________________es handelt sich um einen Geschäftsrechner. Ist das ein Problem? Bin gerade nicht an dem Rechner, aber die von dir genannten Dateien sind höchst wahrscheinlich alle sauber. Alles interne Software bzw. die KMGLNC.exe gehört zum Drucker. Aber ich werde die Datein trotzdem noch überprüfen lassen. Die Providerdaten muss ich auch prüfen. Woher hast du diese Daten überhaupt? Ansonsten jedenfalls schon mal vielen Dank! |
23.03.2009, 16:14 | #4 |
| einige online-verbindungen spinnen; vor lahmte der ie Ja, leider ist das ein Problem Bei Geschäftsrechner kann ich nicht weiterhelfen aus Gründen der Haftung.... Ich denke nicht, dass alle Dateien sauber sind. Irgendwo in deinem rechner steckt ein Problem. Lade mal die Daten hoch, dann wissen wir mehr... Dann kann ich dir einige Hinweise geben, worum es sich handelt. Kannst du dich daran erinnern, was bei der Überprüfung gefunden wurde? hast du zufällig noch den Dateipfad? Schau doch al in die Quarantäne von Malwarebytes....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
24.03.2009, 11:53 | #5 |
| einige online-verbindungen spinnen; vor lahmte der ie Habe alle Dateien hochgeladen und die Ergebnisse waren überall "-". Scheinen wohl sauber zu sein. Komischerweise tritt das Problem immer erst nach einiger Zeit aus. Soll heißen, am Anfang klappt alles normal und irgendwann gehen bestimmte Verbindungen nicht mehr. Vor allem baut der IE ab diesem Zeitpunkt die Seiten nur noch sehr sehr langsam bzw. an sich gar nicht mehr auf. Es dauert 3-4 Minuten... In der Quarantäne habe ich nichts mehr gefunden, aber ich konnte das Log-File noch auskramen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1824 Windows 5.1.2600 Service Pack 3 06.03.2009 10:52:32 mbam-log-2009-03-06 (10-52-32).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 56592 Laufzeit: 2 minute(s), 40 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 2 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\__c00F024.dat (Trojan.Agent) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f024 (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xujbpnvc.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\a00f1f0b1af.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: digeste.dll -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\xujbpnvc.exe (Trojan.FakeAlert.H) -> Delete on reboot. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\_A00F1F0B1AF.exe (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\wpv461235549659.cpx (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\digeste.dll (Trojan.Agent) -> Delete on reboot. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\bits.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ipdll.dll (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c00F024.dat (Trojan.Vundo) -> Delete on reboot. C:\WINDOWS\system32\__c0012D62.exe (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\__c001769.exe (Trojan.Vundo) -> Quarantined and deleted successfully. |
24.03.2009, 13:25 | #6 |
| einige online-verbindungen spinnen; vor lahmte der ie Okay, normalerweise sollten wir nochmal von Vorne anfangen. Ich denke, dass da jemand nach Hause telefonieren will und deshalb dein System runterbringt. Wie du sehen wirst ist das ein Standart Text, also bitte nicht dran stören, auch wenn du das eine oder andere Programm schon hast... Wir machen erst mal das: Code:
ATTFilter Download von CCleaner Anleitung: CCleaner <----dl Link in der Erklärung...LESEN!!! Download von Avenger Download von Malwarebytes Anleitung: Malwarebytes Anti-Malware <--- dl Linkin der Erklärung LESEN !!! Download von Gmer Download von MBR.exe Download von SDFix Lies dir die Anweisungen zu Malwarebytes und CCleaner aufmerksam durch und befolge die Schritte genau, ggf. drucke sie dir aus. Punkt 1. Bitte deaktiviere deine Systemwiederherstellung: Systemsteuerung/System/ Reiter Systemwiederherstellung. Nimm das Häkchen aus der Box. Beantworte die Frage mit Ja, somit werden alle deine Wiederherstellungspunkte auch gelöscht. Diese sind in deinem Fall sowieso unbrauchbar.. Für Vista Punkt 2. Mache alle Dateien deines System so sichtbar. ( Ordneroption - versteckte und Systemdateien anzeigen ) Für Vista User Punkt 3. Dann wirst du CCleaner aktivieren und wie beschrieben vorgehen und zwar so lange bis das keine Fehler mehr angezeigt werden. Punkt 4. Aktiviere MBR.exe Lass es laufen und poste das Logfile hier. Punkt 5. Hiernach einen Malwarebytes Scan ( Full Scan ) und das Logfile hier posten....( wenns nicht läuft benenne die MBAM.exe um in Hups.exe und versuchs dann. Einige Viren verhindern die Ausführung von AV Programmen. Lasse zum Abschluß alle Funde löschen Punkt 5. Hiernach öffnest du GMER und lässt bei diesem Programm ebenfalls einen Scan durchführen, poste das Logfile hier. Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten. Falls es nicht läuft: Auch hier verhindern einige Viren, dass GMER laufen kann. Benenne die exe dann einfach in Huppala.exe um Punkt 6. SDFix Download von SDFix Punkt 5. SDFix kommt zum Einsatz. Im Rahmen der Installation wurde das Programm im Standartpfad C:\SDFIX abgelegt. Ändere den Pfad bei der Installation nicht. Jetzt einen Reboot, drücke im Bootvorgang bereits die F8 Taste. Du gelangst zu einem Auswahlmenü. Wähle hier abgesicherter Modus. Suche nun den Ordner und öffne ihn. Suche nach RunThis.bat. Klick doppelt hier drauf. Bestätige den Reinigungsprozess mit Ja (Y).- Nach der Bereinigung wirst du aufgefordert, irgendeine Taste zum Reboot zu betätigen. Der PC wird dann wieder normal in Windows starten, jedoch setzt SDFix seine Arbeit erst mal fort. Bei erfolgter Desinfektion wirst du wieder aufgefordert eine Taste zu drücken um , wie gewohnt, auf deinen Desktop zu gelangen. Zeitgleich öffnet sich ein Report Textfile. Diesen postest du dann hier.... Weiteres kommt dann nach diesen Logfiles von mir.....
__________________ --> einige online-verbindungen spinnen; vor lahmte der ie |
26.03.2009, 10:44 | #7 |
| einige online-verbindungen spinnen; vor lahmte der ie Ich habe nicht mehr von dir gehört und gehe davon aus, dass du meine Hilfe nicht mehr brauchst. Falls doch, kurze PM an mich....
__________________ Quidquid agis prudenter agas et respice finem Was auch immer du tust, tu es klug und bedenke die Folgen --------------------------------------------------------------------------------- Wenn ich nach 24 Stunden nicht antworte, bitte kurze PM |
Themen zu einige online-verbindungen spinnen; vor lahmte der ie |
adobe, bho, dll, e-banking, explorer, firefox, fritz!, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, lahm, logfile, malwarebytes, malwarebytes' anti-malware, micro, microsoft, mozilla, nicht sicher, object, office, outlook express, plug-in, programme, rundll, software, sp3, system, system32, windows, windows xp |