Auswertung meines Logfil

blackaigel · 13.11.2009, 15:53

Hallo
ich habe grad meine Registry nach ungültigen Einträgen dursucht, da mein Pc die letzte zeit richtig lahm bis nicht mehr geworden ist, obwohl ich die folgende Progamme benutze:
- CleanUp! 4.0
-Registry Booster von Uniblue
aber das hat nichts erbracht.

Ich bitte um eine Auswertung meines Logfil:
*************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:38:57, on 13.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\spupdsvc.exe
C:\WINDOWS\ehome\medctrro.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download aller Links mit IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV Video Inhalt mit IDM - C:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://login.live.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1238406575635
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F63A0B4-605C-4D13-99B8-178FB4B2DC4A}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{7269274C-51E9-40CA-B826-E6F5C65183D8}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BF67C84-B323-4F56-AE87-566D8FE15D1E}: NameServer = 156.154.70.25,156.154.71.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6383 bytes

Vielen dank

cosinus · 13.11.2009, 20:55

Hallo und

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)

Wieso fehlt das SP3?

Zitat:

C:\Programme\COMODO\COMODO Internet Security\cfp.exe

Security Suites waren schon immer Systembremsen. Ich würde Dir allein deswegen davon abraten. Verwende einen für den reinen privatgebrauch kostenlosen Virenscanner (AntiVir PE, avast, AVG Free) und verwende die Windows-Firewall.

Weiterer Grund ist, dass Personal Firewalls sich in den TCP-IP-Stack von Windows einklinken und den netzwerkrelevanten Code erheblich vergrößern. Das erhöht die Komplexität und Angriffsfläche des Systems.
Bei der Windows-Firewall ist das anders; sie basiert auf IPSec, ist fest im TCP-IP-Stack von Windows drin, selbst wenn Du sie deaktivierst würde sich nur unwesentlich etwas ändern.

Wenn Comodo weg ist: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

blackaigel · 24.11.2009, 09:11

Hallo Cosinus,
ich musste mein Pc formatieren, da ständig dieser blaue Hintergrund kommt, ohne hoch zu fahren.
Ich habe den SP3 installiert, und ein freeware Antivirus, leider ist der pc wieder infiziert worden durch den wurm
win32/Tanatos.M

Auf diesen Link findest du den Logfile:
http://www.file-upload.net/download-2033026/Logfile.txt.html

vielen Dank

cosinus · 24.11.2009, 09:20

Zitat:

leider ist der pc wieder infiziert worden durch den wurm
win32/Tanatos.M

Poste bitte vollständige Pfade und Dateinamen zu den Funden!

blackaigel · 24.11.2009, 10:45

Hallo,

Win32/DH.CAFF820038";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005049.exe"
Win32/DH.CAFF820038";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005048.exe"
Win32/Tanatos.M";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005047.exe"
Win32/Tanatos.M";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005046.exe"
Win32/Tanatos.M";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005045.exe"
Win32/Tanatos.M";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005044.exe"
Win32/Tanatos.M";"C:\System Volume Information\_restore{189969C1-2C2A-43DB-89B5-CA29C09C0E57}\RP19\A0005043.exe"

cosinus · 24.11.2009, 10:48

Noch hab ich mir die Logs nicht angesehen, aber eine Frage:
Der Tanatos ist ein E-Mail-Wurm, hast Du nach dem Neuaufsetzen Mailverkehr gehabt und da irgendwelche dubiosen Anhänge geöffnet? Welches Mailprogramm verwendest Du?

blackaigel · 24.11.2009, 12:30

nein ich habe vorm aufsetzen, meine dateien kopiert, gescannt mit avg, da war keine infitzierte daten

cosinus · 24.11.2009, 12:34

Du hast nur das Hijackthis-Logfile verlinkt. Ich brauch alle Logfile, die von RSIT und auch von Malwarebytes, bitte nachreichen!

blackaigel · 24.11.2009, 13:56

der Malwarebytes deutet auf keine Infektion, aber AVG stellt ständig funde dar.
und hier ist der link
http://www.file-upload.net/download-2033486/Logfile.txt.html

vielen Dank

Gruß

cosinus · 24.11.2009, 14:20

Mach mit Malwarebytes mit aktuellen Signaturen bitte einen vollständigen Scan! Du hast nur den Quickscan gemacht!

blackaigel · 24.11.2009, 16:12

Hier bitte schön
http://www.file-upload.net/download-2033851/mbam-log-2009-11-24--16-05-31-.txt.html
der AVG meldet sich,wie es am ende des Logfiles steht

Gruß

cosinus · 24.11.2009, 16:52

Deaktiviere die Systemwiederherstellung (SWH), anscheinend sind alle AVG-Funde nur im Ordner für die SWH. Das löscht aber alle Punkte, dafür ist AVG dann still.

Nach der Deaktivierung die SWH bitte mal wieder anmachen und schaun, ob AVG auch dann Ruhe gibt.

24.11.2009, 10:48	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Auswertung meines Logfil Noch hab ich mir die Logs nicht angesehen, aber eine Frage: Der Tanatos ist ein E-Mail-Wurm, hast Du nach dem Neuaufsetzen Mailverkehr gehabt und da irgendwelche dubiosen Anhänge geöffnet? Welches Mailprogramm verwendest Du? __________________ --> Auswertung meines Logfil

24.11.2009, 12:34	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Auswertung meines Logfil Du hast nur das Hijackthis-Logfile verlinkt. Ich brauch alle Logfile, die von RSIT und auch von Malwarebytes, bitte nachreichen! __________________ Logfiles bitte immer in CODE-Tags posten

24.11.2009, 14:20	#10
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Auswertung meines Logfil Mach mit Malwarebytes mit aktuellen Signaturen bitte einen vollständigen Scan! Du hast nur den Quickscan gemacht! __________________ Logfiles bitte immer in CODE-Tags posten

24.11.2009, 16:52	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Auswertung meines Logfil Deaktiviere die Systemwiederherstellung (SWH), anscheinend sind alle AVG-Funde nur im Ordner für die SWH. Das löscht aber alle Punkte, dafür ist AVG dann still. Nach der Deaktivierung die SWH bitte mal wieder anmachen und schaun, ob AVG auch dann Ruhe gibt. __________________ Logfiles bitte immer in CODE-Tags posten

Auswertung meines Logfil

Log-Analyse und Auswertung: Auswertung meines Logfil