Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte Logfile untersuchen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 02.08.2009, 13:59   #1
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Hallo!
Ich habe neulich mehrere Programme installiert und deinstalliert.
Jetzt hab ich folgende Probleme seit Tagen:

- Manchmal spinnt meine Maus und ich kann nichts mehr anklicken bzw. markieren
-Bei jedem Windowsstart öffnet sich der Prozess firefox.exe zwei mal, obwohl firefox nicht geöffnet ist. Hab bei den Programmen nachgeschaut die beim Systemstart autom. starten, aber Firefox war da nicht dabei!
-Und das größte Problem ist, dass ich Windows nicht mehr herunterfahren kann. Es verschwindet die Windowsleiste und die Maus und dann passiert nix mehr!

Ich hoffe ihr könnt mir helfen!

/edit Laut hijackthis.de ist C:\WINDOWS\system32\server.exe schädlich (im Code fett markiert)

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:54:39, on 02.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SYSTEM32\astsrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\*****\Desktop\Daten & Programme\Programme\procexp\procexp.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=14302&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\system32\Winup.exe
O4 - HKLM\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Process Explorer.lnk = C:\Dokumente und Einstellungen\*****\Desktop\Daten & Programme\Programme\procexp\procexp.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238515468187
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AST Service (astcc) - Nalpeiron Ltd. - C:\WINDOWS\SYSTEM32\astsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9167 bytes
         

Geändert von ceykey (02.08.2009 um 14:03 Uhr) Grund: Ergänzung

Alt 02.08.2009, 17:20   #2
nochdigger
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Hallo und

Zitat:
Ich habe neulich mehrere Programme installiert und deinstalliert.
Warum nicht auch das Servicepack 3 und was waren das für Programme?
Programme mit denen man evtl. besser nicht rumspielt?
Was sagt dein Antivirenprogramm, wirft es Funde aus?

Lass diese Dateien

C:\WINDOWS\system32\Winup.exe
C:\WINDOWS\system32\server.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG
__________________

__________________

Alt 02.08.2009, 21:27   #3
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Zitat:
Zitat von nochdigger Beitrag anzeigen
Hallo und


Warum nicht auch das Servicepack 3 und was waren das für Programme?
Programme mit denen man evtl. besser nicht rumspielt?
Was sagt dein Antivirenprogramm, wirft es Funde aus?

Lass diese Dateien

C:\WINDOWS\system32\Winup.exe
C:\WINDOWS\system32\server.exe

hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG
Ich habe es nicht für nötig gehalten.
Das wohl "auffälligste" Programm könnte "AI RoboForm" von chip.de gewesen sein, was auch mit Firefox zutun hat.
Nein, auser den üblichen Cookies.

Virustotal:
-server.exe

-winup.exe: Bei Virustotal ist die Datei 0kb und bei virscan.org wurde die Datei nicht gefunden

Virscan:
-server.exe

Ich muss mein PC immer auf die Radikalkur ausschalten (Storm weg bzw. 5sec Powerknopf). Kann das Schäden auf der Festplatte verursachen?
__________________

Alt 02.08.2009, 21:48   #4
nochdigger
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Hallo

lade die Dateien wenn möglich bitte mal hier hoch
http://www.trojaner-board.de/54791-a...ner-board.html
es scheint sich um Bifrose zu handeln, welche aber sehr schlecht erkannt wird.

Ändere bitte von einem sauberen System aus alle deine Pass- und Kennwörter und im Augenblick bitte kein Onlinebanking oder der gleichen.
Es wird wohl auf eine Neuinstallation des Systems hinaus laufen, wenn sich der Verdacht bestätigt, dein System sollte dann als kompromittiert betrachtet werden.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 02.08.2009, 23:46   #5
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



hab ich gemacht


Alt 03.08.2009, 15:01   #6
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



so! ich bin jetzt in den abgesicherten modus!
hab firefox deinstalliert, winup.exe und server.exe gelöscht und auch aus dem startup entfernt! windows heruntergefahren!!! und neustart gemacht.
nochmal nachgeschaut im startup und ob die dateien in system32 ordner noch drin sind - sind nicht mehr da! der prozess von firefox startet auch nicht mehr nochmal mit! also er lässt sich wieder herunterfahren und alles ist wieder normal! ist es nur ein "schein" der extra so manipuliert wurde oder jetzt wirklich sauber? virenscanner sagt auch nix mehr! hier nochmal eine frische log
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:01:49, on 03.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SYSTEM32\astsrv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RK Launcher\RKLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\******\Desktop\Daten & Programme\Programme\procexp\procexp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=14302&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Process Explorer.lnk = C:\Dokumente und Einstellungen\******\Desktop\Daten & Programme\Programme\procexp\procexp.exe
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe (file missing)
O9 - Extra button: (no name) - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - (no file)
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.amaena.com
O15 - Trusted Zone: *.antimalwareguard.com
O15 - Trusted Zone: *.antispyexpert.com
O15 - Trusted Zone: *.avsystemcare.com
O15 - Trusted Zone: *.gomyhit.com
O15 - Trusted Zone: *.imageservr.com
O15 - Trusted Zone: *.imagesrvr.com
O15 - Trusted Zone: *.onerateld.com
O15 - Trusted Zone: *.safetydownload.com
O15 - Trusted Zone: *.spyguardpro.com
O15 - Trusted Zone: *.storageguardsoft.com
O15 - Trusted Zone: *.trustedantivirus.com
O15 - Trusted Zone: *.virusremover2008.com
O15 - Trusted Zone: *.virusschlacht.com
O15 - Trusted Zone: *.amaena.com (HKLM)
O15 - Trusted Zone: *.antimalwareguard.com (HKLM)
O15 - Trusted Zone: *.antispyexpert.com (HKLM)
O15 - Trusted Zone: *.avsystemcare.com (HKLM)
O15 - Trusted Zone: *.gomyhit.com (HKLM)
O15 - Trusted Zone: *.imageservr.com (HKLM)
O15 - Trusted Zone: *.imagesrvr.com (HKLM)
O15 - Trusted Zone: *.onerateld.com (HKLM)
O15 - Trusted Zone: *.safetydownload.com (HKLM)
O15 - Trusted Zone: *.spyguardpro.com (HKLM)
O15 - Trusted Zone: *.storageguardsoft.com (HKLM)
O15 - Trusted Zone: *.trustedantivirus.com (HKLM)
O15 - Trusted Zone: *.virusremover2008.com (HKLM)
O15 - Trusted Zone: *.virusschlacht.com (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.mail.live.com/mail/w1/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238515468187
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AST Service (astcc) - Nalpeiron Ltd. - C:\WINDOWS\SYSTEM32\astsrv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8821 bytes
         
ich installiere jetzt nochmal firefox neu und berichte dann wieder!

Alt 03.08.2009, 15:46   #7
nochdigger
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Hallo

ist es nur ein "schein" der extra so manipuliert wurde oder jetzt wirklich sauber?
ob alles sauber ist wäre sehr verwegen zu behaupten, es treten keine Auffälligkeiten auf würde ich sagen.

Zitat:
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Zitat:
Blacklight scannen lassen
  • Lade dir F-Secure Blacklight.
  • Starte fsbl.exe und schließe alle anderen Programme.
  • Klicke "I accept the agreement", "next", "Scan".
  • wenn der Scan zuende ist, wähle "Close".
  • Den Bericht fsbl-XXX.log findest du in dem Verzeichnis, in dem auch fsbl.exe gespeichert wurde.
    Anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten.
    Den Inhalt dieser Datei bitte posten.
Wenn du sicher gehen möchtest, setzt du das System neu auf, aber warten wir das Ergebnis der hochgeladenen Dateien ab.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 04.08.2009, 00:02   #8
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Code:
ATTFilter
----- Root ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\

03.08.2009  18:07     1.610.612.736 pagefile.sys
31.07.2009  23:37               106 start

----- System32 ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\WINDOWS\system32

03.08.2009  18:07         1.052.248 oodbs.lor
03.08.2009  03:25            51.733 plugin1.dat
03.08.2009  03:03         1.716.792 FNTCACHE.DAT
03.08.2009  02:44            42.481 SysPr.prx
01.08.2009  17:58            13.646 wpa.dbl
09.07.2009  02:04           219.648 uxtheme.dll
27.06.2009  14:15            11.952 avgrsstx.dl

----- Prefetch ------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\WINDOWS\Prefetch

04.08.2009  01:02            22.496 CMD.EXE-087B4001.pf
04.08.2009  00:59            16.654 NOTEPAD.EXE-336351A9.pf
04.08.2009  00:42            43.550 AVGCMGR.EXE-1683B2E1.pf
04.08.2009  00:07             7.992 JQSNOTIFY.EXE-1E60A522.pf
03.08.2009  22:17            27.902 WMIPRVSE.EXE-28F301A9.pf
03.08.2009  22:17            23.264 RPHELPERAPP.EXE-33CB172B.pf
03.08.2009  21:49           125.756 FIREFOX.EXE-1D57670A.pf
03.08.2009  21:10            15.042 REALONEMESSAGECENTER.EXE-0A4B9E3A.pf
03.08.2009  21:10            93.030 REALPLAY.EXE-1BF219BD.pf
03.08.2009  21:10            17.158 REALSCHED.EXE-0A2A7558.pf
03.08.2009  19:48            42.144 AVGSRMAX.EXE-2F474AD3.pf
03.08.2009  19:08            72.118 THUNDERBIRD.EXE-031A6371.pf
03.08.2009  18:35            64.226 WOW.EXE-1DC320E6.pf
03.08.2009  18:15            34.878 SVCHOST.EXE-3530F672.pf
03.08.2009  18:14            32.854 SNDVOL32.EXE-383480B7.pf
03.08.2009  18:14            64.558 TEAMSPEAK.EXE-1C1FA5B1.pf
03.08.2009  18:11           105.124 ICQ.EXE-15A4C655.pf
03.08.2009  18:10            68.346 STARTUPMANAGER.EXE-336AE2DE.pf
03.08.2009  18:10            73.460 INTEGRATOR.EXE-328E2F5A.pf
03.08.2009  18:09            14.920 ALG.EXE-0F138680.pf
03.08.2009  18:09            17.572 WMIAPSRV.EXE-1E2270A5.pf
03.08.2009  18:09            16.886 IMAPI.EXE-0BF740A4.pf
03.08.2009  18:09            46.586 RUNDLL32.EXE-1BC69D2D.pf
03.08.2009  18:09            20.516 WUAUCLT.EXE-399A8E72.pf
03.08.2009  18:09            58.182 PROCEXP.EXE-31B2A082.pf
03.08.2009  18:09            48.188 RKLAUNCHER.EXE-13B466D9.pf
03.08.2009  18:09             7.678 WFPDISABLE.EXE-1D9511BE.pf
03.08.2009  18:09            14.832 CTFMON.EXE-0E17969B.pf
03.08.2009  18:09            12.446 DUMPREP.EXE-1B46F901.pf
03.08.2009  18:09            13.198 SYSTEM FILES UPDATER.EXE-35545749.pf
03.08.2009  18:09         1.320.528 NTOSBOOT-B00DFAAD.pf
03.08.2009  16:55            36.400 LOGONUI.EXE-0AF22957.pf
03.08.2009  16:31            16.910 IPODSERVICE.EXE-233792DA.pf
03.08.2009  16:30            63.544 ITUNES.EXE-15E88941.pf
03.08.2009  16:02            85.940 IEXPLORE.EXE-2CA9778D.pf
03.08.2009  16:01            50.676 HIJACKTHIS.EXE-39024128.pf
03.08.2009  15:57            32.044 FIXCFG.EXE-14769470.pf
03.08.2009  15:57           118.376 EXPLORER.EXE-082F38A9.pf
03.08.2009  15:57            58.962 USERINIT.EXE-30B18140.pf
03.08.2009  15:56            11.280 WBLOAD.EXE-04F486FA.pf
03.08.2009  15:56            68.236 AVGUPD.EXE-3670E4F0.pf
03.08.2009  03:26            12.608 AVGEMC.EXE-008A9DEE.pf
03.08.2009  03:26            15.682 AVGCSRVX.EXE-06E50003.pf
03.08.2009  03:26            17.132 AVGNSX.EXE-3B2A5A79.pf
03.08.2009  03:26            11.146 SERVER.EXE-173A68EB.pf
03.08.2009  02:57            76.540 AVGUI.EXE-17FEF51D.pf
03.08.2009  02:57            26.294 AVGSCANX.EXE-1699F935.pf
03.08.2009  02:42            74.992 WMPLAYER.EXE-09969338.pf
03.08.2009  00:50            33.740 AVGTRAY.EXE-050F0B58.pf
02.08.2009  14:50            15.132 HJTINSTALL202.EXE-31219AF6.pf
02.08.2009  14:36            13.530 WINUP.EXE-076E4F49.pf
02.08.2009  14:25            58.092 RSTRUI.EXE-03C49A96.pf
02.08.2009  14:22            36.274 MMC.EXE-0EE26F0B.pf
02.08.2009  14:11            19.446 TASKMGR.EXE-20256C55.pf
02.08.2009  01:48            12.976 BLA.EXE-06EA102B.pf
02.08.2009  00:55            15.496 CRASHREPORTER.EXE-38DC7BD9.pf
02.08.2009  00:11            53.962 ADOBEUPDATER.EXE-370FC314.pf
02.08.2009  00:10            63.602 ACRORD32.EXE-153330F0.pf
01.08.2009  23:51            92.448 JAVA.EXE-2167859B.pf
01.08.2009  22:40           557.214 Layout.ini
01.08.2009  22:25            11.058 LOGON.SCR-151EFAEA.pf
01.08.2009  19:41            33.168 WAR3.EXE-3858031C.pf
01.08.2009  19:41            11.104 FROZEN THRONE.EXE-0ED0B3D3.pf
01.08.2009  18:16            17.876 RUNDLL32.EXE-12E27DD0.pf
01.08.2009  18:05            13.326 RFWIPEOUT.EXE-1DD567D5.pf
01.08.2009  18:05            21.184 RFWIPEOUT.EXE-2B9C448A.pf
01.08.2009  18:05            53.128 UPDATEWIZARD.EXE-1106B464.pf
31.07.2009  23:37            18.048 ENCODED.EXE-21BB76A2.pf
31.07.2009  23:37             9.994 TEMPHTTP.EXE-177A9A7F.pf
31.07.2009  23:37             9.670 TEMPPDK.EXE-07A5C6A9.pf
31.07.2009  23:37            11.138 TEMPMSG.EXE-325B71B0.pf
31.07.2009  23:37            16.790 TEMPINET.EXE-18BB82EA.pf
31.07.2009  23:37            29.988 TEMP1337STEAMLOGIN.EXE-0D426C57.pf
31.07.2009  23:37            17.982 STEAM.EXE-171C93E1.pf
31.07.2009  23:22            23.224 OUPDATE.EXE-23A04EDE.pf
31.07.2009  23:22            32.026 ROUTERCONTROL.EXE-2A802B3E.pf
31.07.2009  20:33            11.032 OUTSDADSADS.EXE-05F079DE.pf
31.07.2009  20:25            14.306 JAVATMP4408802451841367838.EX-133FE2E5.pf
31.07.2009  11:53            72.888 HELPSVC.EXE-2878DDA2.pf
31.07.2009  11:49            77.700 DFRGNTFS.EXE-269967DF.pf
31.07.2009  11:49            15.166 DEFRAG.EXE-273F131E.pf
30.07.2009  19:59            20.098 WISPTIS.EXE-0C21B942.pf
30.07.2009  18:31            44.158 LOG VIEWER.EXE-2431072B.pf
30.07.2009  17:59            58.384 MSTBCORECONTAINER.EXE-2807CB0A.pf
30.07.2009  17:58            25.232 WLCOMM.EXE-222494DB.pf
30.07.2009  17:56            10.658 QTTASK.EXE-2D7EEF34.pf
30.07.2009  17:56            78.722 MSNMSGR.EXE-3ACF7E89.pf
30.07.2009  02:21            71.860 VLC.EXE-29851A71.pf
29.07.2009  17:20            14.886 SETUP_WM.EXE-19AC5A9B.pf
29.07.2009  15:44            18.694 RUNDLL32.EXE-232C337F.pf
29.07.2009  13:40            88.026 VIRTUALDJ.EXE-02ED487B.pf
29.07.2009  01:59            29.646 PICKUP.LISTCHECKER.EXE-1FC9731A.pf
28.07.2009  23:37            26.308 DIVXSM.EXE-38342704.pf
28.07.2009  23:37            12.516 DIVXVERSIONCHECKER.EXE-109B55D3.pf
28.07.2009  23:36            63.472 WMPLAYER.EXE-0996933A.pf
28.07.2009  22:44           144.724 7ZG.EXE-189F3F41.pf
28.07.2009  16:07            65.090 WMPLAYER.EXE-09969332.pf
27.07.2009  23:33            28.228 RUNDLL32.EXE-22909787.pf
27.07.2009  22:11            28.710 FFMPEG.EXE-3B2A2F15.pf
27.07.2009  22:07            43.628 VDOWNLOADER.EXE-32CAD68C.pf
27.07.2009  20:37            24.844 LEECHER.EXE-12936694.pf
27.07.2009  17:40            22.200 ICQUPDATER.EXE-1565D6C9.pf
27.07.2009  14:14            22.850 ROBOTASKBARICON.EXE-016CDB2F.pf
26.07.2009  21:25            11.172 WOWERROR.EXE-39978649.pf
26.07.2009  21:16           136.240 WOWSTARTER.EXE-245C25D6.pf
25.07.2009  09:39            11.918 RUNDLL32.EXE-268BFF96.pf
24.07.2009  20:30            10.194 HPQUSGL.EXE-1D5E2061.pf
24.07.2009  20:17            69.704 WINWORD.EXE-3395695A.pf
24.07.2009  18:39            13.366 CALC.EXE-02CD573A.pf
24.07.2009  18:03            14.258 RUNDLL32.EXE-451FC2C0.pf
24.07.2009  17:14            16.578 FNPLICENSINGSERVICE.EXE-1A968544.pf
24.07.2009  17:14            61.472 PHOTOSHOP.EXE-15B6C74D.pf
24.07.2009  17:14            15.854 RUNDLL32.EXE-3C207778.pf
24.07.2009  15:08            13.952 HELPER.EXE-244ABC1F.pf
24.07.2009  15:08            58.894 UPDATER.EXE-0EAF87BC.pf
23.07.2009  00:20            35.202 SKYPEPM.EXE-03F1BFBD.pf
23.07.2009  00:19            61.158 SKYPE.EXE-21F19BC8.pf
22.07.2009  23:44            57.580 DEKARON.EXE-2C6DA698.pf
22.07.2009  23:44            62.796 LAUNCHER.EXE-3343AC10.pf
22.07.2009  22:48            59.168 MSIEXEC.EXE-2F8A8CAE.pf
22.07.2009  22:37            54.318 ETERNIA-DEKARON.EXE-1D621E9B.pf
22.07.2009  22:06            24.370 DRWTSN32.EXE-2B4B52AC.pf
22.07.2009  22:06            38.336 WORDPAD.EXE-1EFCC5C1.pf
22.07.2009  22:06            29.546 DWWIN.EXE-30875ADC.pf
22.07.2009  22:05            13.548 WPDSHEXTAUTOPLAY.EXE-17D83223.pf
22.07.2009  22:05            14.324 WUDFHOST.EXE-215E7549.pf
22.07.2009  22:05            12.300 RUNDLL32.EXE-19B3AED6.pf
22.07.2009  21:02            24.782 MIRC.EXE-2490861F.pf
22.07.2009  21:02            12.528 AGENTSVR.EXE-002E45AB.pf
21.07.2009  20:25            69.544 GARENA.EXE-1A7DE003.pf
             130 Datei(en)      6.757.590 Bytes
               0 Verzeichnis(se), 13.845.467.136 Bytes frei
 
----- Windows -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\WINDOWS

03.08.2009  18:09                 0 0.log
03.08.2009  18:08               159 wiadebug.log
03.08.2009  18:07                50 wiaservc.log
03.08.2009  18:07         1.890.102 WindowsUpdate.log
03.08.2009  18:07             2.048 bootstat.dat
03.08.2009  16:55            32.562 SchedLgU.Txt
03.08.2009  03:28               227 system.ini
03.08.2009  03:17           319.044 ntbtlog.txt
30.07.2009  02:20                69 NeroDigital.ini
29.07.2009  17:21            12.917 wmsetup.log
21.07.2009  20:14           560.357 setupapi.log
20.06.2009  18:21               330 ULEAD32.INI

----- Tasks ---------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\WINDOWS\tasks

03.08.2009  18:07                 6 SA.DAT
04.08.2004  14:00                65 desktop.ini
               2 Datei(en)             71 Bytes
               0 Verzeichnis(se), 13.845.463.040 Bytes frei

----- Wintemp -------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\WINDOWS\temp

03.08.2009  18:14             2.362 HPSLPS519.log
03.08.2009  18:09             1.428 HPSLPS518.log
03.08.2009  18:09         1.001.358 hpqddsvc.log
03.08.2009  18:09             1.428 HPSLPS517.log
03.08.2009  18:08            16.384 Perflib_Perfdata_45c.dat
03.08.2009  15:55             2.707 HPSLPS516.log
03.08.2009  15:55             1.427 HPSLPS515.log
03.08.2009  03:27             2.708 HPSLPS514.log
03.08.2009  03:27             1.428 HPSLPS513.log
02.08.2009  22:15             2.707 HPSLPS512.log
02.08.2009  22:15             1.428 HPSLPS511.log
02.08.2009  22:13            16.384 Perflib_Perfdata_348.dat
02.08.2009  14:43             2.707 HPSLPS510.log
02.08.2009  14:43             1.428 HPSLPS509.log
02.08.2009  14:40            16.384 Perflib_Perfdata_4f8.dat
02.08.2009  14:36             2.707 HPSLPS508.log
02.08.2009  14:36             1.428 HPSLPS507.log
02.08.2009  14:35            16.384 Perflib_Perfdata_5b4.dat
02.08.2009  14:15             2.707 HPSLPS506.log
02.08.2009  14:15             1.427 HPSLPS505.log
02.08.2009  14:13            16.384 Perflib_Perfdata_2b0.dat
02.08.2009  14:03             2.707 HPSLPS504.log
02.08.2009  14:03             1.427 HPSLPS503.log
02.08.2009  14:02            16.384 Perflib_Perfdata_4d8.dat
01.08.2009  19:15             2.707 HPSLPS502.log
01.08.2009  19:15             1.428 HPSLPS501.log
01.08.2009  19:13            16.384 Perflib_Perfdata_48c.dat
01.08.2009  18:05             2.707 HPSLPS500.log
01.08.2009  18:04             1.428 HPSLPS499.log
01.08.2009  18:03            16.384 Perflib_Perfdata_480.dat
01.08.2009  18:00             2.707 HPSLPS498.log
01.08.2009  18:00             1.428 HPSLPS497.log
01.08.2009  18:00                92 avg8info.id
01.08.2009  17:58            16.384 Perflib_Perfdata_594.dat
31.07.2009  10:58             5.577 HPSLPS496.log
31.07.2009  10:58             1.428 HPSLPS495.log
31.07.2009  10:56            16.384 Perflib_Perfdata_168.dat
30.07.2009  17:55             2.707 HPSLPS494.log
30.07.2009  17:55             1.427 HPSLPS493.log
30.07.2009  11:00             2.706 HPSLPS492.log
30.07.2009  11:00             1.428 HPSLPS491.log
29.07.2009  13:38             4.116 HPSLPS490.log
29.07.2009  13:38             1.427 HPSLPS489.log
29.07.2009  08:42             2.707 HPSLPS488.log
29.07.2009  08:42             1.428 HPSLPS487.log
28.07.2009  14:52             7.286 HPSLPS486.log
28.07.2009  14:51             1.428 HPSLPS485.log
27.07.2009  14:08             6.127 HPSLPS484.log
27.07.2009  14:08             1.427 HPSLPS483.log
26.07.2009  17:25             2.707 HPSLPS482.log
26.07.2009  17:25             1.427 HPSLPS481.log
25.07.2009  18:32             2.707 HPSLPS480.log
25.07.2009  18:32             1.427 HPSLPS479.log
25.07.2009  09:34             2.707 HPSLPS478.log
25.07.2009  09:34             1.428 HPSLPS477.log
24.07.2009  14:45             1.428 HPSLPS475.log
24.07.2009  14:45             3.807 HPSLPS476.log
23.07.2009  14:55             2.707 HPSLPS474.log
23.07.2009  14:55             1.427 HPSLPS473.log
22.07.2009  14:49             2.707 HPSLPS472.log
22.07.2009  14:49             1.427 HPSLPS471.log
21.07.2009  12:07             5.845 HPSLPS470.log
21.07.2009  12:07             1.428 HPSLPS469.log
20.07.2009  10:40             8.360 HPSLPS468.log
20.07.2009  10:39             1.428 HPSLPS467.log
19.07.2009  13:25             5.636 HPSLPS466.log
19.07.2009  13:25             1.428 HPSLPS465.log
18.07.2009  21:39             2.707 HPSLPS464.log
18.07.2009  21:36             1.499 HPSLPS463.log
18.07.2009  21:36             1.427 HPSLPS462.log
18.07.2009  13:04             4.024 HPSLPS461.log
18.07.2009  13:04             1.427 HPSLPS460.log
17.07.2009  13:23             7.907 HPSLPS459.log
17.07.2009  13:23             1.427 HPSLPS458.log
16.07.2009  23:10             2.707 HPSLPS457.log
16.07.2009  23:10             1.427 HPSLPS456.log
15.07.2009  10:59             2.708 HPSLPS455.log
15.07.2009  10:59             1.427 HPSLPS454.log
14.07.2009  13:41             2.708 HPSLPS453.log
14.07.2009  13:41             1.428 HPSLPS452.log
13.07.2009  12:34             3.794 HPSLPS451.log
13.07.2009  12:34             1.427 HPSLPS450.log
12.07.2009  15:43             3.728 HPSLPS449.log
12.07.2009  15:43             1.242 HPSLPS448.log
10.07.2009  11:24             3.226 HPSLPS447.log
10.07.2009  11:24             1.428 HPSLPS446.log
09.07.2009  21:16             2.708 HPSLPS445.log
09.07.2009  21:16             1.427 HPSLPS444.log
09.07.2009  18:27             2.708 HPSLPS443.log
09.07.2009  18:27             1.428 HPSLPS442.log
09.07.2009  18:25            16.384 Perflib_Perfdata_64c.dat
09.07.2009  17:25            16.384 Perflib_Perfdata_228.dat
09.07.2009  17:25             4.436 HPSLPS441.log
09.07.2009  12:45             2.707 HPSLPS440.log
09.07.2009  12:43             1.499 HPSLPS439.log
09.07.2009  12:43             1.427 HPSLPS438.log
08.07.2009  11:58             4.116 HPSLPS437.log
08.07.2009  11:58             1.427 HPSLPS436.log
07.07.2009  12:56             2.708 HPSLPS435.log
07.07.2009  12:55             1.427 HPSLPS434.log
06.07.2009  22:45             2.708 HPSLPS433.log
06.07.2009  22:45             1.427 HPSLPS432.log
06.07.2009  22:13             4.345 HPSLPS431.log
06.07.2009  22:12             1.428 HPSLPS430.log
06.07.2009  22:11            16.384 Perflib_Perfdata_6c0.dat
06.07.2009  12:18            10.374 HPSLPS429.log
06.07.2009  12:18             1.428 HPSLPS428.log
06.07.2009  12:16            16.384 Perflib_Perfdata_4f4.dat
05.07.2009  15:12             4.115 HPSLPS427.log
05.07.2009  15:12             1.428 HPSLPS426.log
04.07.2009  19:53             1.427 HPSLPS424.log
04.07.2009  19:53             2.708 HPSLPS425.log
04.07.2009  18:31             2.707 HPSLPS423.log
04.07.2009  18:31             1.428 HPSLPS422.log
04.07.2009  13:26             2.707 HPSLPS421.log
04.07.2009  13:26             1.427 HPSLPS420.log
03.07.2009  18:07             2.707 HPSLPS419.log
03.07.2009  18:07             1.427 HPSLPS418.log
03.07.2009  16:37             2.707 HPSLPS417.log
03.07.2009  16:34             1.428 HPSLPS416.log
03.07.2009  16:34             1.427 HPSLPS415.log
02.07.2009  13:50             5.432 HPSLPS414.log
02.07.2009  13:50             1.427 HPSLPS413.log
01.07.2009  15:24             2.707 HPSLPS412.log
01.07.2009  15:24             1.428 HPSLPS411.log
01.07.2009  11:31             2.708 HPSLPS410.log
01.07.2009  11:31             1.427 HPSLPS409.log

----- Temp ----------------------------- 
 Volume in Laufwerk C: hat keine Bezeichnung.
 Volumeseriennummer: D8E8-5748

 Verzeichnis von C:\DOKUME~1\XXXX\LOKALE~1\Temp

04.08.2009  01:02           156.011 filelist.txt
04.08.2009  00:35                 0 etilqs_fdxHPgH2EB5m7cb0vgVv
03.08.2009  22:37            32.768 ~DF72FF.tmp
03.08.2009  18:35            98.305 PNX1D.tmp
03.08.2009  18:11                 0 JET35A3.tmp
03.08.2009  18:08            16.384 Perflib_Perfdata_bbc.dat
02.08.2009  22:13            16.384 Perflib_Perfdata_80c.dat
02.08.2009  14:41            16.384 Perflib_Perfdata_98c.dat
02.08.2009  14:14            16.384 Perflib_Perfdata_a6c.dat
02.08.2009  14:02            16.384 Perflib_Perfdata_968.dat
01.08.2009  23:51            45.694 java_install_reg.log
01.08.2009  19:13            16.384 Perflib_Perfdata_910.dat
01.08.2009  18:44                 0 etilqs_UhZE6gLcJSvSq5RbPmfF
01.08.2009  18:11                 0 JETBCD5.tmp
01.08.2009  18:05            18.691 _rf.log
01.08.2009  18:03            16.384 Perflib_Perfdata_a3c.dat
01.08.2009  17:58            16.384 Perflib_Perfdata_96c.dat
31.07.2009  20:33                 0 Output.exe
31.07.2009  20:30           418.505 jar_cache6584355112686490694.tmp
31.07.2009  10:56            16.384 Perflib_Perfdata_934.dat
30.07.2009  14:42                42 listen-dsl.ram.ra
29.07.2009  13:59                 0 7pg16.tmp
28.07.2009  20:49             6.180 tmp_grafx.jpg
27.07.2009  02:36             3.127 msgpl_2580.tmp
24.07.2009  17:19           121.369 alm.log
24.07.2009  17:19            10.656 amt.log
24.07.2009  17:14               697 TWAIN.LOG
24.07.2009  17:14                 4 Twain001.Mtx
24.07.2009  17:14               156 Twunk001.MTX
22.07.2009  01:03               280 MSI31ffe.LOG
22.07.2009  00:06               280 MSIde662.LOG
21.07.2009  22:42             4.286 xprt4c1d.ico
21.07.2009  22:37             4.286 xprt30fa.ico
21.07.2009  22:35             4.286 xprt25d9.ico
17.07.2009  23:55            74.391 mod2F2.tmp
17.07.2009  23:55                34 mod2F0.tmp
17.07.2009  23:55               397 mod2F1.tmp
17.07.2009  23:52            81.920 ~DF689A.tmp
16.07.2009  23:46            18.704 FII4F.tmp
15.07.2009  16:42                 0 _rLVKr8S.htm.part
13.07.2009  17:31            81.920 ~DFFFEC.tmp
13.07.2009  17:00            81.920 ~DF9D9D.tmp
13.07.2009  17:00         2.577.349 SkinLauncher.mpq.f6a75f
13.07.2009  17:00            81.920 ~DFD887.tmp
13.07.2009  17:00         2.577.349 SkinLauncher.mpq.f62a7e
13.07.2009  16:15            32.768 ~DF6A9C.tmp
13.07.2009  16:15            81.920 ~DF3B31.tmp
13.07.2009  16:05            32.768 ~DFF924.tmp
13.07.2009  16:05            81.920 ~DFB15A.tmp
13.07.2009  12:59            18.704 HCO3B.tmp
09.07.2009  21:12               512 etilqs_rv8agZ5pH7NRPQd0zB3E-journal
09.07.2009  21:12                 0 etilqs_AGtYdyerOygiixoTLXwF
09.07.2009  21:12             4.096 etilqs_rv8agZ5pH7NRPQd0zB3E
09.07.2009  20:54                 0 etilqs_d4GDQVttdj7TyU5LB24a
09.07.2009  20:52            18.704 LUDD0.tmp
09.07.2009  20:46                 0 JETC417.tmp
09.07.2009  18:26            16.384 Perflib_Perfdata_b88.dat
09.07.2009  17:29             8.200 etilqs_z6HJwKCNmM5pY7BkzTL2
09.07.2009  17:26            16.384 Perflib_Perfdata_d48.dat
07.07.2009  18:17                43 mod157.tmp
07.07.2009  18:17            19.261 mod156.tmp
07.07.2009  18:17                34 mod151.tmp
07.07.2009  18:17               420 mod155.tmp
07.07.2009  18:16            32.768 ~DFE067.tmp
07.07.2009  16:53            16.384 ~DF6380.tmp
07.07.2009  16:41            18.704 GQR9A.tmp
07.07.2009  12:57            16.384 Perflib_Perfdata_6a0.dat
06.07.2009  22:11            16.384 Perflib_Perfdata_aa0.dat
06.07.2009  22:06                 0 JETDD8C.tmp
06.07.2009  22:05                 0 etilqs_IdvJfE7JEVrgR6O8bYu0
06.07.2009  12:17            16.384 Perflib_Perfdata_b9c.dat
06.07.2009  01:43           302.623 jar_cache5132072656538248585.tmp
05.07.2009  19:14            61.138 MSG176.tmp
05.07.2009  19:14               551 MSG17D.tmp
05.07.2009  19:14            23.378 MSG17C.tmp
05.07.2009  19:14            37.346 MSG175.tmp
05.07.2009  19:12            17.446 MSG16C.tmp
05.07.2009  19:12            17.446 MSG16A.tmp
05.07.2009  19:12            31.296 MSG142.tmp
05.07.2009  19:12            13.474 MSG148.tmp
05.07.2009  19:12               551 MSG149.tmp
05.07.2009  19:12            17.446 MSG141.tmp
05.07.2009  01:28            18.704 GMH1B9.tmp
02.07.2009  16:30           309.880 MSI45071.LOG
02.07.2009  16:30        15.097.124 SetupAdmin634.log
02.07.2009  16:29             8.679 QTInstallCode.log
02.07.2009  16:29             4.568 qtplugin.log
02.07.2009  16:24            38.974 MSIdeabf.LOG
30.06.2009  16:32                 0 JET18B0.tmp
         
Scan lass ich übernacht laufen

Geändert von ceykey (04.08.2009 um 00:30 Uhr)

Alt 04.08.2009, 05:20   #9
nochdigger
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



Hallo

lass bitte diese Dateien (müssen gesucht werden)

OUTSDADSADS.EXE
GARENA.EXE
ETERNIA-DEKARON.EXE
OUPDATE.EXE
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

MFG
__________________
Kein Support per PN - Bitte im Forum posten.

Alt 04.08.2009, 09:34   #10
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



die dateien sind alle im Windows/prefetch ordner

OUTSDADSADS.EXE
Garena.exe (das ist eine spieleplattform - die ist sicher)
Eternia-Dekaron.exe (das ist ein spiel)
Oupdate.exe

Ich weiss nicht ob der scan ganz fertig war, weil ich AVG nebenbei auch laufen gelassen hab und der nach scanende runtergefahren ist (avg hat nix gefunden)
Code:
ATTFilter
08/04/09 01:53:32 [Info]: BlackLight Engine 2.2.1092 initialized
08/04/09 01:53:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/04/09 01:53:32 [Note]: 7019 4
08/04/09 01:53:32 [Note]: 7005 0
08/04/09 01:53:36 [Note]: 7006 0
08/04/09 01:53:36 [Note]: 7011 2276
08/04/09 01:53:37 [Note]: 7035 0
08/04/09 01:53:37 [Note]: 7026 0
08/04/09 01:53:37 [Note]: 7026 0
08/04/09 01:53:42 [Note]: FSRAW library version 1.7.1024
08/04/09 02:17:59 [Note]: 2000 1012
08/04/09 06:36:01 [Note]: 7007 0
         

mfg

Alt 05.08.2009, 20:58   #11
ceykey
 
Bitte Logfile untersuchen! - Standard

Bitte Logfile untersuchen!



hm und jetzt???

Antwort

Themen zu Bitte Logfile untersuchen!
adobe, avg, bho, bonjour, desktop, e-mail, einstellungen, excel, explorer, firefox.exe, herunterfahren, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, maus, microsoft, mozilla, object, pdf, plug-in, programme, prozess, software, starten, tuneup.defrag, windows xp, öffnet




Ähnliche Themen: Bitte Logfile untersuchen!


  1. Grundsätzliches - Laufendes System untersuchen sinnvoll?
    Diskussionsforum - 30.03.2015 (59)
  2. computer auf bedrohungen untersuchen und beheben
    Log-Analyse und Auswertung - 22.10.2014 (3)
  3. Traffic und gesamten Computer auf ein Wort untersuchen?
    Diskussionsforum - 01.10.2014 (9)
  4. Nach Hack-Verdacht: jQuery-Entwickler untersuchen ihre Server
    Nachrichten - 24.09.2014 (0)
  5. mailanhang untersuchen lassen
    Diskussionsforum - 08.04.2014 (2)
  6. Dateien (keine Mails) auf Viren untersuchen und desinfizieren
    Plagegeister aller Art und deren Bekämpfung - 13.03.2010 (10)
  7. Trojaner einfangen, untersuchen und zerlegen
    Diskussionsforum - 21.05.2008 (1)
  8. Bitte einmal meine Log untersuchen ob alles in Ordnung ist.
    Log-Analyse und Auswertung - 30.04.2008 (11)
  9. Trojaner - Bitte bitte Logfile auswerten!
    Log-Analyse und Auswertung - 30.11.2007 (2)
  10. Hohe System-Auslastung! Bitte untersuchen!
    Log-Analyse und Auswertung - 01.07.2007 (2)
  11. Log untersuchen bitte
    Mülltonne - 06.12.2006 (1)
  12. Bitte bitte bitte kann mir jemand das HJThis-logfile übersetzen ?!
    Log-Analyse und Auswertung - 10.08.2006 (6)
  13. Logfile überprüfen bitte!!Weiß nicht weiter!!BITTE BITTE
    Log-Analyse und Auswertung - 18.03.2006 (10)
  14. Hijack Logfile bitte bitte prüfen
    Log-Analyse und Auswertung - 14.11.2005 (2)
  15. Wie kommen bloß die ganzen Trojaner auf meinem Rechner-Logfile bitte ,bitte anschauen
    Log-Analyse und Auswertung - 14.07.2005 (3)
  16. Kann mir jemand dieses Logfile untersuchen?
    Log-Analyse und Auswertung - 17.04.2005 (2)
  17. bitte,bitte einmal meine logfile prüfen
    Log-Analyse und Auswertung - 26.01.2005 (4)

Zum Thema Bitte Logfile untersuchen! - Hallo! Ich habe neulich mehrere Programme installiert und deinstalliert. Jetzt hab ich folgende Probleme seit Tagen: - Manchmal spinnt meine Maus und ich kann nichts mehr anklicken bzw. markieren -Bei - Bitte Logfile untersuchen!...
Archiv
Du betrachtest: Bitte Logfile untersuchen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.