|
hilfe bei auswertung des LOGs hi, bin gerade erst hineingeschneit und würde Euch bitten, mir bei der auswertung meines logs zu helfen. kurz die symptome/umstände, die mich dazu bewogen haben ein log zu schreiben: -familien-PC, an dem (leider) nur ich mal ein viren-update mache, den scanner laufen lasse , ad-aware fahre und mal spybot S&D durchlaufen lasse :roll:, hab leider auch nicht immer zeit alles auf stand zu halten... -traffic-anzeige in bewegung obwohl nix up- oder down-lädt, -CPU stark ausgelastet, rechner dementsprechend langsam, - AntiVirGuard läßt sich nicht aktivieren (kann aber auch mit dem gestrigen update zusammenhängen), wenn ich nun im HJT mit "Do a system scan and save a logfile" starte, gibt er mir folgende meldung aus: http://www.bilder-hoster.de/files/1e...c281b2e134.jpg nachdem "OK" dann diese fehlermeldung http://www.bilder-hoster.de/files/15...a6bc0324a3.jpg und anschließend das log-file: Logfile of HijackThis v1.99.1 Scan saved at 20:49:55, on 08.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\TBPanel.exe C:\Tino's Programme\Winamp\Winampa.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\FreePDF_XP\fpassist.exe D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVirusPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 8.0a\aoltray.exe C:\Programme\DeTeWe\QuickNet ISDN\Capictrl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\SURFER (Tino)\Lokale Einstellungen\Temp\HijackThis.exe C:\WINDOWS\explorer.exe D:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://w***68:OS8xeIMP@81.169.132.74/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\QuickNet ISDN\routcnf.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Tino's Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirusPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office XP\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://D:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{2EA5853A-760C-4970-987F-0578D1D1BE50}: NameServer = 195.50.140.252 145.253.2.203 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirusPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirusPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\SURFER~1\LOKALE~1\TEMP\_VWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe was mich ein wenig stutzig macht, ist der eintrag mit dem: R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://w***68:OS8xeIMP@81.169.132.74/ gleich am anfang! - hab' ma' gegoogelt und bei sophos eine verbindung zum trojaner "Troj/GoHotList" gefunden, der wohl die daten für den IE so umzustricken, um die standardmäßige Startseite des Internet Explorers auf "http://www.thehotlist.com" umzuleiten. (eigentlich kein problem, weil ich mit firefox browse - aber über den WinExplorer kann man ja auch auf das net bzw. seine webspace via ftp zugreifen [wie die hier adresse verrät]... ?!? ) ach und ... danke schon mal! zoni ;) |
@zonenkind Bitte lese die Anleitung von Anfang bis Ende noch mal und überlege, was du falsch gemacht hast: http://www.trojaner-board.de/showthread.php?t=17493 |
Zitat:
ich wollte ja auch nur hilfe, das log zu deuten, bevor ich irgendwelchen bockmist beim fixen baue... zoni ;) |
Hallo zonenkind, Rene-gad wollte dich richtigerweise nur dazu bewegen, daß du deine aktiven Links entschärfst und HJT richtig entpackst. ;) Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information. Einige Fragen hätt' ich noch:
|
Zitat:
zu punkt 01: up-to-date?: Du meinest kein SP2 und ein paar fehlende patches!? hatte eine zeit lang probleme mit SP2 & CAD/CAM-Anwendungen, da hab' ich's wieder ohne betrieben. zu punkt: 02: komischerweise verursacht gerade die AVGUARD.EXE (AntiVirGuard) auslastungen zwischen 50-70%!!! *grummel* zu punkt 03: jap, eingeschränkte B-konten sind eingerichtet! zoni ;) |
@zonenkind Zitat:
|
so leute, der scan mit eScan AntiVirus im abgesicherten Modus war nicht ohne - werde die Virus Log Information heute abend mal hier posten. :headbang: habe mich geistig auch schon drauf eingestellt am WE unseren zombie-pc zu killen und komplett neu aufzusetzen (diesmal unter beachtung der tipps zum neuaufsetzen kompromitireter systeme, die's hier on board gibt). :( LG, zoni ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:25 Uhr. |
Copyright ©2000-2025, Trojaner-Board