Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdacht auf Schadsoftware (https://www.trojaner-board.de/54447-verdacht-schadsoftware.html)

3ddie 21.06.2008 18:19
Verdacht auf Schadsoftware
 
Seit ein paar tagen läuft mein Laptop sehr langsam. Ich habe angst mir was eingefangen zu haben. Ich würde euch bitten mal ein Blick über m log zu werfen. Danke

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:16:00, on 21.06.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Program Files\RALINK\Common\RaUI.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\heyjackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\RunOnce: [*Restore] C:\Windows\System32\rstrui.exe /runonce
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - S-1-5-21-1440521286-2599867839-3294662338-1003 Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User '**')
O4 - S-1-5-21-1440521286-2599867839-3294662338-1003 User Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exe (User '**')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 5688 bytes
Danke schonmal

undoreal 21.06.2008 18:35
Das sieht mal interessant aus..


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\Windows\System32\rstrui.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Danach:

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

3ddie 21.06.2008 18:41
Hier das ergebnis:

Code:
Datei rstrui.exe empfangen 2008.06.21 19:39:43 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
AhnLab-V3        2008.6.19.0        2008.06.20        -
AntiVir        7.8.0.59        2008.06.20        -
Authentium        5.1.0.4        2008.06.20        -
Avast        4.8.1195.0        2008.06.21        -
AVG        7.5.0.516        2008.06.21        -
BitDefender        7.2        2008.06.21        -
CAT-QuickHeal        9.50        2008.06.20        -
ClamAV        0.93.1        2008.06.21        -
DrWeb        4.44.0.09170        2008.06.21        -
eSafe        7.0.15.0        2008.06.19        -
eTrust-Vet        31.6.5892        2008.06.21        -
Ewido        4.0        2008.06.21        -
F-Prot        4.4.4.56        2008.06.20        -
F-Secure        7.60.13501.0        2008.06.20        -
Fortinet        3.14.0.0        2008.06.21        -
GData        2.0.7306.1023        2008.06.21        -
Ikarus        T3.1.1.26.0        2008.06.21        -
Kaspersky        7.0.0.125        2008.06.21        -
McAfee        5322        2008.06.20        -
Microsoft        1.3604        2008.06.21        -
NOD32v2        3205        2008.06.21        -
Norman        5.80.02        2008.06.20        -
Panda        9.0.0.4        2008.06.21        -
Prevx1        V2        2008.06.21        -
Rising        20.49.52.00        2008.06.21        -
Sophos        4.30.0        2008.06.21        -
Sunbelt        3.0.1153.1        2008.06.15        -
Symantec        10        2008.06.21        -
TheHacker        6.2.92.358        2008.06.21        -
TrendMicro        8.700.0.1004        2008.06.20        -
VBA32        3.12.6.7        2008.06.21        -
VirusBuster        4.3.26:9        2008.06.12        -
Webwasher-Gateway        6.6.2        2008.06.21        -
weitere Informationen
File size: 318464 bytes
MD5...: 18630eef1648a8dc84088ceda6f9e660
SHA1..: 017338b2e8a896dd20020aff3fb02bcf82c4b2f8
SHA256: 936c761040af8cc4e3284f2a5c54b3fa4bb26b7f4528da3732f3cd48edb6d681
SHA512: 242d7e1ba18be0c8039880461a99022594ad681c48b59bfc74e4bf67431fc629
ce3a50d01e826b47c4919860fcfd8f20b90c3e44c4193d4e1ca9ce397a60e327
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1014e9d
timedatestamp.....: 0x47c7864b (Fri Feb 29 04:12:59 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1bbf8 0x1bc00 6.81 5f07d9b8544fd856f3253a5622dd6472
.data 0x1d000 0x5e0 0x200 1.72 3ac2eaaf27e305fc41a0ebae4d3af87c
.rsrc 0x1e000 0x2fee0 0x30000 6.75 8925c1a002b381706b700191bceed385
.reloc 0x4e000 0x19e0 0x1a00 4.06 4a72e39076e39cea1b1be1acc21f728d

( 12 imports )
> ADVAPI32.dll: TraceMessage, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, RegCloseKey, RegOpenKeyExW, ConvertStringSecurityDescriptorToSecurityDescriptorW, InitiateShutdownW, RegDeleteKeyW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegQueryInfoKeyW, RegEnumKeyExW, CloseTrace, CheckTokenMembership, CreateWellKnownSid, ControlTraceW, EnableTrace, StartTraceW, RegisterEventSourceW, ReportEventW, DeregisterEventSource, InitializeSecurityDescriptor, SetEntriesInAclW, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, SetSecurityDescriptorDacl, OpenProcessToken, LookupPrivilegeValueW, AdjustTokenPrivileges, RegQueryValueExW
> KERNEL32.dll: DeleteCriticalSection, FormatMessageW, GetTimeZoneInformation, SetThreadPreferredUILanguages, FileTimeToLocalFileTime, FileTimeToSystemTime, GetDateFormatW, GetTimeFormatW, GetUserDefaultLCID, GetLocaleInfoW, FindFirstVolumeW, FindNextVolumeW, FindVolumeClose, ExpandEnvironmentStringsW, GetVolumePathNameW, GetVolumeNameForVolumeMountPointW, GetDriveTypeW, CreateFileW, DeviceIoControl, GetVolumeInformationW, GetVolumePathNamesForVolumeNameW, InitializeCriticalSection, OutputDebugStringA, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoA, InterlockedCompareExchange, Sleep, InterlockedExchange, GetVersionExA, InterlockedIncrement, InterlockedDecrement, LoadLibraryW, GlobalFree, GetCommandLineW, LocalFree, GetLastError, CreateDirectoryW, DeleteFileW, GetFileAttributesW, CloseHandle, CreateMutexW, CreateProcessW, lstrlenW, EnterCriticalSection, LeaveCriticalSection, lstrcmpiW, FreeLibrary, MultiByteToWideChar, SizeofResource, LoadResource, FindResourceW, LoadLibraryExW, RaiseException, MoveFileExW, GetSystemTimeAsFileTime, GetWindowsDirectoryW, GetProcAddress, SetLastError, SetErrorMode, HeapSetInformation, GetModuleHandleW, GetModuleFileNameW, CreateThread, RegisterApplicationRestart
> GDI32.dll: GetDeviceCaps, CreateDIBSection, ExtTextOutW, SetBkColor, DeleteDC, GdiFlush, SelectObject, SetLayout, CreateCompatibleDC, SetTextColor, SetBkMode, DeleteObject, CreateFontIndirectW
> USER32.dll: SystemParametersInfoW, LoadIconW, DialogBoxParamW, LoadStringW, BeginPaint, MapWindowPoints, EndPaint, GetAncestor, GetClassNameW, GetDlgItemTextW, SetDlgItemTextW, MessageBoxW, PeekMessageW, DispatchMessageW, MsgWaitForMultipleObjectsEx, SetWindowLongW, UnregisterClassA, CharNextW, DestroyWindow, ShowWindow, CreateDialogParamW, ReleaseDC, GetDC, SetProcessDPIAware, SetWindowPos, OffsetRect, CopyRect, GetWindowRect, GetDesktopWindow, GetKeyState, SetClassLongW, GetSysColorBrush, EndDialog, SetFocus, GetClientRect, UpdateWindow, GetWindowLongW, IsWindow, SetWindowTextW, PostMessageW, SendMessageW, EnableWindow, GetSystemMetrics, GetSysColor, InflateRect, DrawFrameControl, GetDlgItem, GetParent
> msvcrt.dll: __3@YAXPAX@Z, memset, _wcsicmp, _wcsnicmp, malloc, _controlfp, free, memcpy, __2@YAPAXI@Z, __getmainargs, _cexit, _exit, _XcptFilter, _ismbblead, exit, _acmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _except_handler4_common, realloc, _errno, _unlock, __dllonexit, _lock, _onexit, _vsnwprintf, strchr, memmove, iswspace, _vscwprintf, _terminate@@YAXXZ
> SHELL32.dll: CommandLineToArgvW, SHGetStockIconInfo, ShellExecuteExW
> ole32.dll: CoUninitialize, CLSIDFromString, CoTaskMemRealloc, CoTaskMemAlloc, CoInitializeSecurity, CoTaskMemFree, CoCreateInstance, CoInitializeEx
> OLEAUT32.dll: -, -, -, -
> COMCTL32.dll: -, CreatePropertySheetPageW, DestroyPropertySheetPage, InitCommonControlsEx, ImageList_Create, ImageList_Add, ImageList_AddMasked, ImageList_Destroy, PropertySheetW
> ntdll.dll: WinSqmAddToStream, NtShutdownSystem, RtlNtStatusToDosError
> SRCORE.dll: SrFreeRestoreStatus, SrFreeRpPropArray
> SPP.dll: SxTracerGetThreadContextRetail, SxTracerShouldTrackFailure, SxTracerDebuggerBreak

( 0 exports )
PS: habe mal nach der datei gegoogled, und da kahm raus das das die systemwiederherstellung ist...

undoreal 21.06.2008 18:46
Zitat:
habe mal nach der datei gegoogled, und da kahm raus das das die systemwiederherstellung ist...
Jap, hab' ich auch gemacht ;)
aber das die echt ist sagt ja niemand.

Dein log ist damit soweit sauber. Bist du dir sicher, dass du dir was eingefangen hast? Dann machen wir uns die Arbeit ein paar mehr logs für dich auszuwerten..

PS: Hast du die Systemwiederherstellung mal deaktiviert, den PC neugestartet und beobachtet?

3ddie 21.06.2008 18:50
Sicher bin ich mir net das ich mir was eingefangen hab. Deswegen fragte ich ja, ich habe halt nur das gefühl das die leistung meines rechners ein bischen nachgelassen hat. Wenn das file soweit sauber ist, bin ich zufrieden. Vllt kommt es mir auch nur so vor, das die leistung nachgelassen hat.


Ich danke dir vielmals, macht weiter so :daumenhoc :aplaus:

Edith: Kann man sich von euch auch irgenwie "anlernen" lassen um hier im Board auch anderen leuten zu helfen ?

undoreal 21.06.2008 18:51
:) O.k.

Hast du die Systemwiederherstellung mal deaktiviert, den PC neugestartet und beobachtet?

Defragmentieren und mit cCleaner aufräumen hilft auch ein wenig.

3ddie 21.06.2008 18:53
Zitat:
Zitat von undoreal (Beitrag 348103)
:) O.k.

Hast du die Systemwiederherstellung mal deaktiviert, den PC neugestartet und beobachtet?
Ne hab ich noch nicht, werde ich vllt auch nochmal machen.

Zitat:
Zitat von undoreal (Beitrag 348103)
Defragmentieren und mit cCleaner aufräumen hilft auch ein wenig.
Die letzte Defragmentierung ist schon ewig her... das werd ich auch mal machen ;P


Zitat:
Zitat von 3ddie (Beitrag 348102)
Edith: Kann man sich von euch auch irgenwie "anlernen" lassen um hier im Board auch anderen leuten zu helfen ?

undoreal 21.06.2008 18:55
Zitat:
Kann man sich von euch auch irgenwie "anlernen" lassen um hier im Board auch anderen leuten zu helfen ?
Im Board nicht, da dann Jeder mitlesen kann aber du kannst uns gerne per PN anschreiben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131