Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kann mir jemand bei der LogFile Auswertung helfen? (https://www.trojaner-board.de/16071-mir-jemand-logfile-auswertung-helfen.html)

Nolly 30.03.2005 22:22
Kann mir jemand bei der LogFile Auswertung helfen?
 
Hallo zusammen,

kenne mich leider mit HijackThis nicht aus, deswegen meine Frage ob von euch jemand mir bei der Auswertung helfen kann.
Mein Rechner läuft seit ein paar Tagen ultra langsam. :mad:

Es handelt sich um einen Atholon 2400, 512 MB RAM, 9600 Radeon.

Log File:

Logfile of HijackThis v1.98.2
Scan saved at 23:14:13, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Anwendungen\Virenscanner\Norman\NPFSVICE.EXE
F:\Anwendungen\Virenscanner\Norman\Bin\Zanda.exe
F:\ANWEND~1\SICHER~1\Outpost\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Anwendungen\Virenscanner\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\Internet\IncrediMail\bin\IncMail.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\nipsvc.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\bin\nvcoas.exe
F:\Anwendungen\Virenscanner\Norman\NPFMSG.EXE
C:\Programme\Microsoft Office\Office\OSA9.EXE
F:\Anwendungen\Virenscanner\Norman\bin\NJEEVES.EXE
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\NIP.EXE
F:\Anwendungen\Virenscanner\Norman\Nvc\bin\cclaw.exe
F:\Internet\INCRED~1\bin\IMApp.exe
F:\Anwendungen\Sicherheit\Hijackthis\HijackThis.exe
F:\Anwendungen\Sicherheit\Hijackthis\HijackThis.exe
C:\PROGRA~1\Versatel\Versatel.exe
F:\Internet\Browser\Avant\Avant Browser\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Bianca\Messenger\ycomp.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Bianca\Messenger\ycomp.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] F:\Anwendungen\Virenscanner\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Outpost Firewall] F:\ANWEND~1\SICHER~1\Outpost\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [IncrediMail] F:\Internet\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Erinnerungshilfe.lnk = C:\Programme\Print Shop 10\The Print Shop\PSRemind.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Erinnerungshilfe.lnk = C:\Programme\Print Shop 10\The Print Shop\PSRemind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\Internet\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Internet\Browser\Avant\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - F:\Internet\Shoppen\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Hervorheben - F:\Internet\Browser\Avant\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - F:\Internet\Browser\Avant\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Internet\Browser\Avant\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Internet\Browser\Avant\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - F:\Internet\Shoppen\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\ANWEND~1\MESSAN~1\AIM\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\Messanger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\Messanger\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\Bianca\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\Bianca\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\ANWEND~1\SICHER~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\ANWEND~1\SICHER~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F3957D-FC29-4326-916F-9F4CA4841922}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F3957D-FC29-4326-916F-9F4CA4841922}: NameServer = 62.72.64.237 62.72.64.241


So hoffe das sind alle Daten die ihr so braucht.
Vielen Dank schon einmal im vorraus.
Gruß Nolly

Cidre 30.03.2005 22:36
Hallo,

in deinem Log-File sind keine Auffälligkeiten bezüglich Malware zu erkennen, aber erstelle mit der Version 1.99.1 ein neues Log-File und editiere dementsprechend dein Post.

Zitat:
Mein Rechner läuft seit ein paar Tagen ultra langsam.
Wie äussert sich das?
Hohe Auslastungen von Prozessen im Task-Manager zu erkennen?
Welche eventuellen Fehler werden in der Ereignisanzeige ausgegeben?
Hast du irgendetwas vor kurzem de- oder installiert?

Nolly 30.03.2005 22:47
Danke für deine schnelle Antwort.
Hier mein neues LogFile

Logfile of HijackThis v1.99.1
Scan saved at 23:43:12, on 30.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Anwendungen\Virenscanner\Norman\NPFSVICE.EXE
F:\Anwendungen\Virenscanner\Norman\Bin\Zanda.exe
F:\ANWEND~1\SICHER~1\Outpost\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Anwendungen\Virenscanner\Norman\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\nipsvc.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\bin\nvcoas.exe
F:\Anwendungen\Virenscanner\Norman\NPFMSG.EXE
C:\Programme\Microsoft Office\Office\OSA9.EXE
F:\Anwendungen\Virenscanner\Norman\bin\NJEEVES.EXE
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\NVCSCHED.EXE
C:\WINDOWS\System32\alg.exe
F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\NIP.EXE
F:\Anwendungen\Virenscanner\Norman\Nvc\bin\cclaw.exe
C:\PROGRA~1\Versatel\Versatel.exe
F:\Internet\Browser\Avant\Avant Browser\iexplore.exe
F:\Anwendungen\Sicherheit\Hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\Bianca\Messenger\ycomp.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\Bianca\Messenger\ycomp.dll
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Norman ZANDA] F:\Anwendungen\Virenscanner\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Outpost Firewall] F:\ANWEND~1\SICHER~1\Outpost\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKCU\..\Run: [IncrediMail] F:\Internet\IncrediMail\bin\IncMail.exe /c
O4 - Startup: Erinnerungshilfe.lnk = C:\Programme\Print Shop 10\The Print Shop\PSRemind.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Erinnerungshilfe.lnk = C:\Programme\Print Shop 10\The Print Shop\PSRemind.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - F:\Internet\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - F:\Internet\Browser\Avant\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: eBay Powersuche - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv
O8 - Extra context menu item: eBay Produktsuche - F:\Internet\Shoppen\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?heim
O8 - Extra context menu item: Hervorheben - F:\Internet\Browser\Avant\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - F:\Internet\Browser\Avant\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - F:\Internet\Browser\Avant\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - F:\Internet\Browser\Avant\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Preispiraten 2.1.3 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - F:\Internet\Shoppen\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\ANWEND~1\MESSAN~1\AIM\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\Messanger\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Anwendungen\Messanger\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\Bianca\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\Bianca\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\ANWEND~1\SICHER~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\ANWEND~1\SICHER~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{01F3957D-FC29-4326-916F-9F4CA4841922}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{01F3957D-FC29-4326-916F-9F4CA4841922}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - F:\Anwendungen\Virenscanner\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - F:\Anwendungen\Virenscanner\Norman\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - F:\Anwendungen\Virenscanner\Norman\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - F:\Anwendungen\Virenscanner\Norman\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - F:\Anwendungen\Virenscanner\Norman\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - F:\ANWEND~1\SICHER~1\Outpost\OUTPOS~1.0\outpost.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\Anwendungen\Sicherheit\SiSoftware Sandra Lite 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\Anwendungen\Sicherheit\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Anwendungen\Sicherheit\TuneUp2004\WinStylerThemeSvc.exe

Immoment geht es wieder mit dem Rechner. Habe zwischendurch immer wieder eine hohe CPU Auslastung gehabt, obwohl ich kaum Programme laufen lassen habe. Allerdings habe ich neuerdings eine Firewall. Liegt vieleicht dann daran.

Cidre 30.03.2005 22:52
Zitat:
Habe zwischendurch immer wieder eine hohe CPU Auslastung gehabt
Dazu müsste man jetzt wissen, welcher Prozess diese Auslastung verursacht hat?
Zitat:
Allerdings habe ich neuerdings eine Firewall. Liegt vieleicht dann daran.
Möglicherweise. So wie ich das sehe, ist auch deine 'Windows Firewall' aktiv, stimmt's?
Ist dein System voll gepatcht? Wenn Ja, dann beide deaktivieren und beobachten.

Nolly 30.03.2005 22:57
Ja richtig die Firewall ist aktiv.
Was meinst du mit der Frage " Ist dein System gepatcht?"

Cidre 30.03.2005 23:00
Wurden alle empfohlenen und kritischen Updates von MS auf deinem System installiert? Wenn ja, dann ist dein System voll gepatcht.
Info -> http://www.computerbase.de/lexikon/Patch_(Software)

Nolly 30.03.2005 23:02
:) Ok, den Ausdruck dafür kannte ich noch nicht.
Mein System ist dann gepatcht.

Cidre 30.03.2005 23:05
Zitat:
Zitat von Cidre
Möglicherweise. So wie ich das sehe, ist auch deine 'Windows Firewall' aktiv, stimmt's?
Ist dein System voll gepatcht? Wenn Ja, dann beide deaktivieren und beobachten.
Ich hab's vorhin etwas undeutlich beschrieben, deshalb deaktiviere mal Outpost und beobachte.

Nolly 30.03.2005 23:10
Hm, scheint sich nun ein zu pendeln. Allerdings fällt mir gerade auf das ich 37 Prozesse am laufen habe. Ist das normal?

Cidre 30.03.2005 23:44
Es ist nicht weiter tragisch.
Wenn ich mir dein Norman AV Scanner ansehe, dann beansprucht dieser allein schon 10 Prozesse. :crazy:
Ob dies normal ist, kann ich dir leider nicht sagen.

Nolly 30.03.2005 23:48
Hm, dann haben wir etwas gemeinsam. Denn auch ich habe den Norman und finde 10 Prozesse viel. Aber anscheinend ist es ja dann normal wenn du den auch hast und das gleiche Phänomen.
Danke für deine Hilfe!

Cidre 31.03.2005 00:00
Ich verwende keinen Norman AV Scanner, dein Log-File hat es verraten.;)

Nolly 31.03.2005 00:10
Ups, ok! Na denne! Werde nü mal langsam ins Bettchen! Danke nochmals. Hoffe das mein System nun wieder ruhiger läuft. Habe gerade mal meine Festplatten ein wenig aufgeräumt. Und nun hat er auch wieder 4 GB zum rödeln. Habe dem guten wohl ein wenig viel zugemutet. :o
Gute Nacht:sleepy:
Nolly


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:36 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131