Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um auswertung! (https://www.trojaner-board.de/11380-bitte-um-auswertung.html)

daniel1 29.12.2004 20:12
Bitte um auswertung!
 
Ich hab von einem netten user aus einem anderen board gesagt bekommen dasheir profis sitzen die wissen was das zu bedeuten hat!Ich hab keien ahnung und bitte um hilfe!!!!

Vielen dank schon im voraus!!!


Logfile of HijackThis v1.99.0
Scan saved at 20:10:33, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\flcss.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSfit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Reischl Mathias\Desktop\Daten von Mathias Reischl\Spiele von Mathias\HijackThis.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe
O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe

Haui45 29.12.2004 20:16
Bist du sicher, dass das das komplette Logfile ist? Wenn nicht, dann ergänze es bitte.
btw: Was ist dein Problem?

HerrKautz 29.12.2004 20:16
Hi,

was ist die Veranlassung von deinem Besuch!?

Lass bitte die beiden Dateien überprüfen

C:\WINDOWS\System32\flcss.exe

C:\WINDOWS\SYSfit.exe

und zwar hier: http://virusscan.jotti.org/de

Poste bitte das Ergebnis!

Gruss

daniel1 29.12.2004 20:28
also erstmal auch hallo!

der anlass meines besuches ist ein programm das immer wieder werbung in regelmäßigen abständen (so alle 30 minuten) öffnet (add shooter heisst es glaub ich)!es wird von spybot und ad-aware SE personal nicht ausfindig gemacht!

und hier das ergebnis des scanns von C:\WINDOWS\System32\flcss.exe:
File: flcss.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None

AntiVir No viruses found (0.16 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.34 seconds taken)
ClamAV No viruses found (0.36 seconds taken)
Dr.Web No viruses found (0.57 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus No viruses found (0.70 seconds taken)
mks_vir No viruses found (0.23 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken)
Norman Virus Control No viruses found (0.92 seconds taken)

und hier das ergebnis des scanns von SYSfit.exe:

File: SYSfit.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir No viruses found (0.15 seconds taken)
Avast No viruses found (1.54 seconds taken)
BitDefender No viruses found (0.60 seconds taken)
ClamAV No viruses found (0.41 seconds taken)
Dr.Web No viruses found (0.55 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus No viruses found (0.72 seconds taken)
mks_vir No viruses found (0.41 seconds taken)
NOD32 No viruses found (0.51 seconds taken)
Norman Virus Control No viruses found (0.85 seconds taken)


@ haui: sorry ich hab offensichtlich nicht alles kopiert danke!
Hier nochmal alles!!!sorry!!!!


Logfile of HijackThis v1.99.0
Scan saved at 20:30:29, on 29.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\dit.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\flcss.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\Anvshell.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSfit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [dit] dit.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-Secure Anti-FunLove] C:\WINDOWS\System32\flcss.exe
O4 - HKLM\..\Run: [Game Service] C:\PROGRA~1\ubi.com\Core\GS4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SYSfit] C:\WINDOWS\SYSfit.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {24D1BDCE-D835-11D6-BF84-0050047EA0E7} (BlueStream_Flash Class) - http://www.rovion.com/Controls/Rovio...affiliate=WBZT
O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} - http://de.easports.com/downloads/gam...y/iesnoopy.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CFE2BC7-69B5-4FA7-84A0-E1E349770322}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Ich hoffe ihr könnt mir helfen!



Zitat:
Zitat von HerrKautz
Hi,

was ist die Veranlassung von deinem Besuch!?

Lass bitte die beiden Dateien überprüfen

C:\WINDOWS\System32\flcss.exe

C:\WINDOWS\SYSfit.exe

und zwar hier: http://virusscan.jotti.org/de

Poste bitte das Ergebnis!

Gruss

cacatoa 29.12.2004 20:30
Einmisch:
C:\WINDOWS\System32\flcss.exe ist der da.
Aber ich flatter schon wieder weg.... :heilig:

daniel1 29.12.2004 20:35
Zitat:
Zitat von cacatoa
Einmisch:
C:\WINDOWS\System32\flcss.exe ist der da.
Aber ich flatter schon wieder weg.... :heilig:
also löschen???

cacatoa 29.12.2004 20:52
Wundert mich, daß Jotti den nicht gefunden hat. Weg damit.
Mach doch mal folgendes:
Erstelle einen Ordner C:\bases
Lade Dir eScan (mwav.exe) runter, entpacke die Datei in C:\bases, update (kavupd.exe) und lass das prog im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen (mwavscan.com)
Berichte dann, was eScan gefunden hat. (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen)
Der eScan kann schon mal ne Stunde dauern....
cacatoa

Haui45 29.12.2004 20:57
Wo wir schon dabei sind :D
SYSfit.exe dürft für die Werbung verantwortlich sein -> http://computercops.biz/startuplist-6557.html
Auf der von cacatoa verlinkten Seite findest du auch Hinweise zur Entfernung des W32/Flcss

daniel1 29.12.2004 21:00
Zitat:
Zitat von cacatoa
Wundert mich, daß Jotti den nicht gefunden hat. Weg damit.
Mach doch mal folgendes:
Erstelle einen Ordner C:\bases
Lade Dir eScan (mwav.exe) runter, entpacke die Datei in C:\bases, update (kavupd.exe) und lass das prog im abgesicherten Modus bei deaktivierter Systemwiederherstellung laufen (mwavscan.com)
Berichte dann, was eScan gefunden hat. (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen)
Der eScan kann schon mal ne Stunde dauern....
cacatoa
ok habs heruntergeladen und entpackt!scann kann ich erst morgen laufen lassen!!
aber was ist der abgesicherte modus?und wie kann man die Systemwiederherstellung deaktivieren und wie wiederherstellen??
sorry das sind sicher dumme fragen aber ich muss das wissen!!

Haui45 29.12.2004 21:02
abgesicherter Modus -> http://www.trojaner-board.de/63335-w...s-starten.html
Systemwiederherstellung deaktivieren -> http://service1.symantec.com/SUPPORT...30807105707924
Das nächste Mal bitte selbst aktiv werden (=>www.google.de)

daniel1 29.12.2004 21:03
Zitat:
Zitat von Haui45
Wo wir schon dabei sind :D
SYSfit.exe dürft für die Werbung verantwortlich sein -> http://computercops.biz/startuplist-6557.html
Auf der von cacatoa verlinkten Seite findest du auch Hinweise zur Entfernung des W32/Flcss
im explorer gibt es 3 von diesen SYSfit, SYSsfit und SYSsfitb.
alle löschen???

cacatoa 29.12.2004 21:05
Hier gehts zum abgesicherten Modus.
Systemwiederherstellung deaktivieren:
Arbeitsplatz rechte Maustaste, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren.
Nicht vergessen, nach dem scan neu normal booten und Systemwiederherstellung aktivieren.
cacatoa

daniel1 29.12.2004 21:06
Zitat:
Zitat von cacatoa
Hier gehts zum abgesicherten Modus.
Systemwiederherstellung deaktivieren:
Arbeitsplatz rechte Maustaste, Eigenschaften, Registerkarte Systemwiederherstellung, deaktivieren.
Nicht vergessen, nach dem scan neu normal booten und Systemwiederherstellung aktivieren.
cacatoa
vielen dank!!!!

Haui45 29.12.2004 21:08
Zitat:
im explorer gibt es 3 von diesen SYSfit, SYSsfit und SYSsfitb.
alle löschen???
Warte erstmal das Ergebnis von eScan ab, aber wahrscheinlich schon.
btw. wenn für den Virus (nicht die SYSfit.exe) schon extra ein Removal-Tool angeboten wird, würde ich dir dringend empfehlen diese auch zu verwenden und nichts von Hand zu löschen.

daniel1 29.12.2004 21:12
Zitat:
Zitat von Haui45
Warte erstmal das Ergebnis von eScan ab, aber wahrscheinlich schon.
btw. wenn für den Virus (nicht die SYSfit.exe) schon extra ein Removal-Tool angeboten wird, würde ich dir dringend empfehlen diese auch zu verwenden und nichts von Hand zu löschen.
ok danke!!!
ich lass den scan morgen laufen und melde mich dann wieder!!!!
vielen dank schonmal!!!!!
ihr habt echt was drauf!!!!:daumenhoc :daumenhoc

schöne Grüße aus dem verschneiten Tirol!!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131