Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bin ich wirklich "sauber"???

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 18.11.2004, 21:38   #1
HelpmeimtheDoG
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



Hi alle zusammen.
Ich hab immer das blöde Gefühl bei mir springt irgendwas auf dem PC rum, bin mir aber nicht ganz sicher.
Könnt Ihr mir die Log auslesen? Bin ich vollkommen clean?
Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, oder bezieht sich das nur auf das jeweilige system? (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, wo lernt man sowas?

Danke schon mal für Eure Hilfe


LOG:


Logfile of HijackThis v1.98.2
Scan saved at 21:36:22, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
E:\Programme\WinRAR\WinRAR.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Alt 18.11.2004, 21:44   #2
chaosman
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



@HelpmeimtheDoG

Könnt Ihr mir die Log auslesen? ja
Bin ich vollkommen clean? kann man nicht sagen, wir können lediglich etwas über das logfile sagen.

Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, ja
oder bezieht sich das nur auf das jeweilige system?
ja (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, übung übung übung

wo lernt man sowas? ???
Hilfe zur selbsthilfe
chaosman

__________________

__________________

Alt 18.11.2004, 21:46   #3
Haui45
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



Zitat:
wo lernt man sowas?
Das ist schonmal ein recht guter Einstieg.
__________________

Alt 18.11.2004, 21:52   #4
HelpmeimtheDoG
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



Hm, also müsste ich erst mal Q10 reparieren mit dem Winsock-Fix-tool, richtig?
Kann ich das im laufenden Betrieb machen oder muss ich dazu im abgesicherten Modus starten?

Alt 18.11.2004, 21:52   #5
chaosman
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



@HelpmeimtheDoG
wie kommst du ins Inet?
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
kuckst du hier
http://www.spywaredata.com/lsp.php?current_page=200

lade dir hier
LSP - fix
wechsle dann in den abgesicherten modus und fixe
R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

neu starten, wenndein Inet verbindung unterbrochen ist, dann mit LSP-Fix reparieren
chaosman

__________________
Bonus vir semper tiro

Alt 18.11.2004, 21:59   #6
HelpmeimtheDoG
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



naja, habs jetzt erst mal im laufenden betrieb gemacht, hoffe da ist nix falsch dran. (komm mit dsl (qsc) ins inet)
Ich mach es aber dann noch mal nach Deiner Anleitung, jedenfalls sieht das ganze jetzt so aus:

Logfile of HijackThis v1.98.2
Scan saved at 22:01:40, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Alt 18.11.2004, 22:08   #7
Shadowdance
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



@ HelpmeimtheDoG,

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) - update Deinen IE: www.windowsupdate.com

Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

boote in den normalen Modus.

SD

Alt 18.11.2004, 23:35   #8
HelpmeimtheDoG
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



Hm, also irgendwas stimmt net, hab es jetzt nach der Anleitung von Chaosman gemacht, aber die Q14 ist immer noch da, umd wenn ich mit LSPFix.exe irgendwas fixe, passiert auch nix (ehrlich gesagt weiss ich auch nicht was ich dort machen soll, ich habe die angeblich fehlende Datei mwtsp.dll in das Feld KEEP verschoben, aber beim nächsten Start zeigt mir Hijack immer noch an:
Q10: (...) mwtsp.dll is missing

-> auf die Seite von microsoft komm ich nicht mehr (wenn ich updaten will) und etwas in die Zwischenablage kopieren geht auch nicht mehr)

Was hab ich falsch gemacht?

Hier die Log:


Logfile of HijackThis v1.98.2
Scan saved at 23:38:39, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\lspfix\LSPFix.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Alt 19.11.2004, 01:41   #9
Shadowdance
 
Bin ich wirklich "sauber"??? - Standard

Bin ich wirklich "sauber"???



@ HelpmeimtheDoG

sodele, ich hab Dein Logfile gerade mal in deutsch ins Netz gehängt, schau mal hier nach: HJT-Logfile von HelpmeimtheDoG.

Dein IE ist antik. Du solltest ihn endlich updaten und dann auf einen sicheren Browser umsteigen, siehe Vorbeugende Maßnahmen bzw. IE sicher konfigurieren und Browser-Sicherheit.

Was das ist: E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe weiss ich nicht. Kannst es ja hier überprüfen: virusscan.jotti.dhs.org.

C:\Dokumente und Einstellungen\Administrator\Desktop\lspfix\LSPFix.exe und
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\Hij ackThis.exe - sind nicht die richtigen Ordner für die "LSPFix.exe" und die "Hij ackThis.exe" ... die hätten eigentlich in eigene Ordner unter C:\Program Files\
gesollt. Oder wohin auch immer, aber nicht dahin, wo sie bei Dir sind.
---> Tutorial zu Windows

und die "O14 - IERESET.INF: SEARCH_PAGE_URL=" Einträge werden wahrscheinlich verschwinden, wenn Du eine neue Startseite vergibst ... MountainKing hat dazu geschrieben ... schau mal in der Forums-Suche unter "O14 - IERESET.INF: SEARCH_PAGE_URL=" und MountainKing nach.

Wenn Du befürchtest Viren auf Deinem System zu haben, solltest Du den Scan durchführen ...

lade den eScan entsprechend der Anleitung hier runter, dafür einen neuen Ordner erstellen (=Verzeichnis) "c:\bases", update den eScan online und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

SD

Antwort

Themen zu Bin ich wirklich "sauber"???
.inf, administrator, bho, boot, box.exe, canon, clean, desktop, einstellungen, escan, explorer, hijack, hijackthis, internet, internet explorer, log, microsoft, monitor, outlook express, programme, software, spybot, start, system, system32, systeme, urlsearchhook, windows, winrar




Ähnliche Themen: Bin ich wirklich "sauber"???


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. Delta-Search wirklich einschließlich aller eventuellen "Nebenwirkungen" entfernt?
    Plagegeister aller Art und deren Bekämpfung - 30.05.2013 (10)
  4. Gerade GVU Trojaner mit Webcam "gehabt", ist es wirklich dank Malewarebytes weg? Wo ist die "Lücke"?
    Plagegeister aller Art und deren Bekämpfung - 10.08.2012 (23)
  5. "Polizei-Trojaner - österr. Variante" - Ist mein PC wieder "sauber"?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  6. Verschlüsselungs Trojaner "Trojan.Inject1.2545" Wirklich gelöscht?
    Log-Analyse und Auswertung - 04.05.2012 (5)
  7. Nicht sicher, ob PC nach "System Fix" Entfernung wieder "sauber"
    Log-Analyse und Auswertung - 07.01.2012 (18)
  8. Bundespolizei Trojaner mit option "früheren Zustand wiederherstellen" wirklich alles weg?
    Log-Analyse und Auswertung - 24.12.2011 (2)
  9. Trojaner "System Repair" in Windows Vista wirklich entfernt?
    Log-Analyse und Auswertung - 18.12.2011 (82)
  10. JAVA/Exdoer.CU.2 in Quarantäne. Ist mein Rechner wieder "sauber"?
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (19)
  11. "Wind.Sec.Alert." - wirklich schon weg ? (CCCleaner gelaufen + mit HijackLog)
    Plagegeister aller Art und deren Bekämpfung - 29.12.2010 (20)
  12. "Antivir Solution Pro" wirklich entfernt?
    Log-Analyse und Auswertung - 23.07.2010 (4)
  13. "Herr Dr. bin ich wirklich CLEAN ???"
    Plagegeister aller Art und deren Bekämpfung - 06.09.2009 (7)
  14. Wie stelle ich fest, ob der "Silentbanker G" wirklich entfernt ist?
    Plagegeister aller Art und deren Bekämpfung - 16.11.2008 (56)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. "TRCrypt/XPACK.Gen" von aviraantivir gelöscht, ist er auch wirklich weg?
    Log-Analyse und Auswertung - 03.05.2008 (11)
  17. Trojaner "TR/Dldr.Delf.edl" gefunden und entfernt - war's das wirklich?
    Log-Analyse und Auswertung - 25.03.2008 (6)

Zum Thema Bin ich wirklich "sauber"??? - Hi alle zusammen. Ich hab immer das blöde Gefühl bei mir springt irgendwas auf dem PC rum, bin mir aber nicht ganz sicher. Könnt Ihr mir die Log auslesen? Bin - Bin ich wirklich "sauber"???...
Archiv
Du betrachtest: Bin ich wirklich "sauber"??? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.