|
Log-Analyse und Auswertung: Eigenartige Stocker des RechnersWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.11.2009, 13:52 | #1 |
| Eigenartige Stocker des Rechners Hi, ich muss Euch mal mit einem Hilfeersuchen belästigen. Nach dem ich, wie ich schon in einem anderen Post geschrieben habe, mein System neu aufgesetzt habe und auch einige Bösewichte entfernt habe, habe ich nun ein neues Problem. Ich hatte ein Sauberes System. Zumindest kann ich davon ausgehen da ich alle Daten, die wieder auf den Rechner sollten, mit Snapsot gesichert habe und diese Platten-Images auf mehreren Rechnern mit verschiedenen AV Programmen gescannt habe. Nun habe ich gestern eine Datei aus nur eingeschränkt vertrauenswürdiger Quelle geöffnet. Kaspersky und Malwarebytes haben die Datei für sauber gehalten. Trotzdem habe ich die Datei in der gesicherten Umgebung von Kaspersky geöffnet. Erst als ich die Datei später via Mail verschickt habe, hat mir GMX meine Datei mit dem Kommentar „Verseucht“ zurückgeschickt. Mein Rechner macht auch seit gestern einige kleine Probleme. Er stoppt manchmal ohne Vorwarnung um dann aber normal weiterzuarbeiten. Auch Booten stoppt er für ca. 10s kurz vor der Passworteingabe. Ein kompletter Virenscan hat nichts gebracht und darum bitte ich nun Euch um Hilfe. Ich fange mal mit dem HijackThis log an. Danke Speaker Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:51:45, on 12.11.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Babylon\Babylon-Pro\Babylon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Windows Desktop Search\WindowsSearch.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Naturalsoft IE Bar V9 - {ae07101b-46d4-4a98-af68-0333ea26e113} - mscoree.dll (file missing) O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart O4 - HKLM\..\Run: [mp3infp] "C:\Programme\mp3infp\mp3infp_regist.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Programme\Mobipocket.com\Mobipocket Reader\readernotify.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1257674592000 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1257674587390 O17 - HKLM\System\CCS\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200 O17 - HKLM\System\CS1\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200 O17 - HKLM\System\CS2\Services\Tcpip\..\{42652E9A-B0DF-4F89-94CB-EB959D95C584}: NameServer = 192.168.0.200 O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\IAANTMon.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 9326 bytes |
13.11.2009, 22:22 | #2 |
| Eigenartige Stocker des Rechners Hallo, ich wollte nur mal fragen, ob ich hier jemandem was getan habe? Oder warum reagiert keiner auf mein Posting? Habe ich jemanden unbewusst beleidigt?
__________________ |
13.11.2009, 23:00 | #3 | |
| Eigenartige Stocker des RechnersZitat:
Adobe Photoshop CS4 nutzt Du auch? auch was aus eingeschränkt vertrauenswürdiger Quelle? Wer mit dem Teufel spielt, kann sich eben auch mal verbrennen, so einfach ist das. Formatiere, und bleibe zukünftig von "eingeschränkt vertrauenswürdigen Quellen" fern, dann ist die Gefahr von Infizierungen, bei aktuellem System, fast nicht gegeben.
__________________ |
14.11.2009, 10:33 | #4 |
| Eigenartige Stocker des Rechners Also da muss ich mich mal verteidigen. Ein Crack war es nicht und Photoshop stammt auch nicht aus dubiosen Quellen. Wäre das so, würde ich mich gar nicht trauen, hier ein Log öffentlich zu posten. Mein Programm war eine einfache Animation in einer EXE, die ich zum Testen bekommen habe. Da diese allerdings von jemandem Stammt, der von Zeit zu Zeit mal ein Virus hat und somit für mich nicht 100% vertrauenswürdig ist, habe ich das Programm ja auch im geschützten Modus von Kaspersky ausgeführt. Als dann aber mein Rechner begonnen hat, kleinere Zicken zu machen und auch noch der Virenscanner von GMX angeschlagen hat, kam mir wieder der Gedanke, inwieweit ich dem geschützten Modus von Kaspersky trauen kann. Mitlerweile habe ich die Datei auch bei Virustotal scannen lassen und 2 Meldungen erhalten, das die Datei auffällig ist aber ein konkreter Virus wurde nicht gefunden. Daher gehe ich mal davon aus, dass ich einfach überreagiert habe. Es sei denn, in meinem Logfile war was echt auffälliges? |
14.11.2009, 19:57 | #5 |
| Eigenartige Stocker des Rechners ich denke Dein Log sieht soweit sauber aus. Kannst Du mal das Log von Virustotal posten? macht Dein PC noch "Zicken"? eine Mitteilung von GMX würde ich persönlich nicht weiter beachten. ich habe eine mail-adresse bei GMail, da wird das Versenden von *.exe total geblockt, mag sich geändert haben, ich nutze jetzt andere Wege.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
14.11.2009, 21:29 | #6 |
| Eigenartige Stocker des Rechners Ich danke Dir für die Antwort. Das Log von Virustotal habe ich nicht abgespeichert, aber ich kann mal sehen, dass ich die Datei nochmal bekomme. Dann kann ich sie nochmal bei Virustotal scannen lassen. Die Stocker hat der PC noch immer, nur die Pause beim Booten ist weg. Ich habe mein C Laufwerk mit Snapshot gesichert und an diversen Rechnern mit unterschiedlichen Virenscannern gemountet und gescannt. Kaspersky, ESET, Norton, McAffee und Sofos finden nichts auf der Platte. Also denke ich mal, dass die Aussetzer eine andere Ursache haben. |
14.11.2009, 22:07 | #7 |
| Eigenartige Stocker des Rechners installiere Dir mal wireshark, beende alle Programme die ins Internet gehen, und checke das Log. Überprüfe Deinen Autostart, nimm AutoRuns Laß Dich nicht verrückt machen, manche Dinge die Probs machen, haben mit Infizierungen nichts zu tun.
__________________ Es ist besser für das, was man ist, gehasst, als für das, was man nicht ist, geliebt zu werden. (Kettcar) |
Themen zu Eigenartige Stocker des Rechners |
192.168.0.2, adobe, ausgehen, babylon, bho, booten, desktop, dll, explorer, hijack, hijackthis, hijackthis log, hkus\s-1-5-18, hängen, internet, internet explorer, internet security, internet security 2010, konvertieren, log, microsoft, monitor, neu, neu aufgesetzt, pdf, pdf-datei, programme, rundll, security, software, system, system neu, tastatur, virtuelle tastatur, windows, windows xp |