Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bitte mal drueber gucken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.11.2004, 02:48   #1
aveross
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



Hi, ich bin mir seid einiger Zeit unsicher ob ich mir was gefangen habe... daher haette ich gerne ein Kommentar zu diesem hjt log, Danke

Logfile of HijackThis v1.97.7
Scan saved at 02:31:42, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\acsd.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system32\mdmdll.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.469\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-us8l.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://courses3.webct.com/webct/public/home.pl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = h**p://us8l.hpwis.com/
F1 - win.ini: run=c:\windows\system32\mdmdll.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62AA3E5F-E839-3FC2-8757-605509F72963} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O9 - Extra button: WeatherBug (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://h**p://download.macromedia.co...sh/swflash.cab

^^ Was kann ich davon entfernen, was ist unbelastend?

PS: und wenn noch jemand eine moeglichkeit kennt den weatherbug loszuwerden wuerde mich das auch freuen...

Alt 18.11.2004, 02:56   #2
Lidius
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



Poste bitte ein log mit der aktuelen version 1.98.2 www.hijackthis.de (auf direktdownload klicken)

Und
Überprüfe folgende dateien:
c:\windows\system32\mdmdll.exe
c:\windows\system32\wuamgrd.exe

hier:
http://virusscan.jotti.org/de
und teile uns das ergebnis mit
__________________


Alt 18.11.2004, 03:04   #3
aveross
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



neues log:

Logfile of HijackThis v1.98.2
Scan saved at 03:03:46, on 18.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\COMMON~1\AOL\ACS\acsd.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system32\mdmdll.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\mIRC\mirc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.719\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://srch-us8l.hpwis.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://courses3.webct.com/webct/public/home.pl
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://us8l.hpwis.com/
F3 - REG:win.ini: run=c:\windows\system32\mdmdll.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {62AA3E5F-E839-3FC2-8757-605509F72963} - (no file)
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O4 - HKLM\..\RunServices: [Microsofts Updates] wuamgrd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mdmdll] c:\windows\system32\mdmdll.exe
O8 - Extra context menu item: &AIM Search - res://C:\Program Files\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\PROGRA~1\AWS\WEATHE~1\Weather.exe (HKCU)



Service load:
0% 100%
File: mdmdll.exe
Status:
INFECTED/MALWARE
Packers detected:
PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir
No viruses found (0.48 seconds taken)
Avast
Win32:Trojan-gen. {Other} (1.65 seconds taken)
BitDefender
No viruses found (1.20 seconds taken)
ClamAV
Trojan.Downloader.Small-163 (0.92 seconds taken)
Dr.Web
Trojan.DownLoader.19968 (1.34 seconds taken)
F-Prot Antivirus
W32/Sillydl.ML@dl (0.15 seconds taken)
Kaspersky Anti-Virus
TrojanDownloader.Win32.Small.uy (1.37 seconds taken)
mks_vir
Trojan.Trojandownloader.Small.Uy (0.39 seconds taken)
NOD32
Win32/TrojanDownloader.Small.UY (0.89 seconds taken)
Norman Virus Control
No viruses found (1.64 seconds taken)

c:\windows\system32\wuamgrd.exe wurde nicht gefunden von meinem system und konnte deshalb nicht hochgeladen werden
__________________

Alt 18.11.2004, 03:06   #4
Lidius
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

Dann dürfte du die datei finden können.

Alt 18.11.2004, 03:17   #5
aveross
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



Service load:
0% 100%
File: wuamgrd.exe-up.txt
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.47 seconds taken)
Avast
No viruses found (1.74 seconds taken)
BitDefender
No viruses found (0.93 seconds taken)
ClamAV
No viruses found (0.90 seconds taken)
Dr.Web
No viruses found (1.26 seconds taken)
F-Prot Antivirus
No viruses found (0.14 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.54 seconds taken)
mks_vir
No viruses found (0.49 seconds taken)
NOD32
No viruses found (0.90 seconds taken)
Norman Virus Control
No viruses found (0.31 seconds taken)

^^ habe das gefunden...

wie sieht meine weitere vorgehensweise demnach aus? mdmdll.exe loeschen?


Geändert von aveross (18.11.2004 um 03:38 Uhr)

Alt 18.11.2004, 15:29   #6
Shadowdance
 
bitte mal drueber gucken - Standard

bitte mal drueber gucken



@ aveross,

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

Antwort

Themen zu bitte mal drueber gucken
adobe, bho, danke, entfernen, excel, explorer, firewall, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, nvcpl.dll, object, opera, rundll, rundll32.exe, shockwave, software, sun java, system, system32, temp, updates, windows, windows messenger, windows xp




Ähnliche Themen: bitte mal drueber gucken


  1. Systemcheck - Bitte mal drueber schauen
    Log-Analyse und Auswertung - 19.03.2009 (1)
  2. Bitte nur mal kurz gucken ;-)
    Mülltonne - 27.01.2009 (0)
  3. bitte mal gucken
    Log-Analyse und Auswertung - 01.08.2007 (1)
  4. bitte mal gucken
    Log-Analyse und Auswertung - 31.07.2007 (4)
  5. Bitte ma gucken
    Log-Analyse und Auswertung - 01.07.2007 (3)
  6. Bitte mal gucken...
    Mülltonne - 03.04.2007 (0)
  7. bitte ma schnell drüber gucken
    Mülltonne - 27.05.2006 (2)
  8. einmal gucken bitte!
    Log-Analyse und Auswertung - 10.04.2006 (3)
  9. Bitte mal gucken...
    Log-Analyse und Auswertung - 07.02.2006 (1)
  10. Bitte mal drauf gucken
    Log-Analyse und Auswertung - 05.02.2006 (2)
  11. bitte mal gucken, was ich löschen muss
    Log-Analyse und Auswertung - 05.02.2006 (7)
  12. kann mal bitte jemand gucken???
    Log-Analyse und Auswertung - 26.09.2005 (1)
  13. Bitte mal durch gucken
    Log-Analyse und Auswertung - 24.06.2005 (0)
  14. Hijack This, bitte mal gucken.
    Log-Analyse und Auswertung - 13.03.2005 (5)
  15. Bitte mal gucken
    Log-Analyse und Auswertung - 20.02.2005 (10)
  16. Bitte mal drüber gucken!
    Log-Analyse und Auswertung - 20.11.2004 (3)
  17. Bitte noch mal gucken
    Log-Analyse und Auswertung - 05.09.2004 (1)

Zum Thema bitte mal drueber gucken - Hi, ich bin mir seid einiger Zeit unsicher ob ich mir was gefangen habe... daher haette ich gerne ein Kommentar zu diesem hjt log, Danke Logfile of HijackThis v1.97.7 Scan - bitte mal drueber gucken...
Archiv
Du betrachtest: bitte mal drueber gucken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.