Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   bitte um hilfe - Logauswertung (https://www.trojaner-board.de/21468-bitte-um-hilfe-logauswertung.html)

Nasrudine 03.09.2005 15:20
bitte um hilfe - Logauswertung
 
hallo ihr im board!

also ich habe schon seit mindestens einem halben jahr das prob, dass mein pc einfriert, ganz unterschiedlich, egal ob ich im netz bin oder nicht. oft fährt er einfach nicht hoch und wenn dann doch, dann bleibt er hängen, egal an welcher stelle. hab schon alles platt machen lassen und austesten.
hab winxp mit servicepack2, hab den scanner: avast drauf.
was ich noch sehr seltsam finde, ich habe im Ordner: C:\RECYCLER 2 dateien, größe: 85 Byte (85 Bytes) und größe auf datenträger: 8,00 KB (8.192 Bytes),die ich aber nicht sehen kann, nur unter eigenschaften seh ich das. an dem Papierkorb steht der name:
S-1-5-21-527237240-1078145449-1202660629-1003 dran. hab schon versucht im abgesicherten modus den ordner zu löschen, kam aber gleich wieder. die systemwiederherstellung hab ich deaktiviert.

nun nach etlichem recherchieren, hab ich mir dann den escan runtergeladen, im abgesicherten modus gescannt und hier die auswertung:

Sat Sep 03 10:54:30 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Sep 03 10:54:31 2005 => Loading Spyware Signatures from new External Database (Size: 143636).

Sat Sep 03 12:55:05 2005 => Offending file found: C:\DOKUME~1\***\Desktop\internet.lnk
Sat Sep 03 12:55:06 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.

Sat Sep 03 12:55:19 2005 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\insthelp.dll
Sat Sep 03 12:55:21 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Sat Sep 03 12:55:53 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Sat Sep 03 12:55:59 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".avc". Action Taken: No Action Taken.

Sat Sep 03 12:56:00 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dat". Action Taken: No Action Taken.

Sat Sep 03 12:56:01 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".DAT_BAK_84019". Action Taken: No Action Taken.

Sat Sep 03 12:56:03 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".divx". Action Taken: No Action Taken.

Sat Sep 03 12:56:04 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".dow". Action Taken: No Action Taken.

Sat Sep 03 12:56:06 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".gif_160_160_256_0_0". Action Taken: No Action Taken.

Sat Sep 03 12:56:07 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".image". Action Taken: No Action Taken.

Sat Sep 03 12:56:09 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".lan". Action Taken: No Action Taken.

Sat Sep 03 12:56:10 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".rlg". Action Taken: No Action Taken.

Sat Sep 03 12:56:12 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".sda". Action Taken: No Action Taken.

Sat Sep 03 12:56:13 2005 => Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" refers to invalid object ".tmp". Action Taken: No Action Taken.

Sat Sep 03 12:56:15 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "Language pack for Ad-Aware SE". Action Taken: No Action Taken.

Sat Sep 03 12:56:16 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" refers to invalid object "{D1696920-9794-4BBC-8A30-7A88763DE5A2}". Action Taken: No Action Taken.

Sat Sep 03 12:56:21 2005 => Entry "HKCR\CLSID\{1EFD6A40-3999-11CF-9150-00AA0059F70D}" refers to invalid object "E:\PROGRAM\32\mci32.ocx". Action Taken: No Action Taken.

Sat Sep 03 12:56:25 2005 => Entry "HKCR\CLSID\{3775D2E0-7C5D-11CF-899E-00AA00688B10}" refers to invalid object "E:\PROGRAM\32\mci32.ocx". Action Taken: No Action Taken.

Sat Sep 03 12:56:33 2005 => Entry "HKCR\CLSID\{C1A8AF25-1257-101B-8FB0-0020AF039CA3}" refers to invalid object "E:\PROGRAM\32\mci32.ocx". Action Taken: No Action Taken.

hm... ich hab da keine ahnung, was ich da machen kann oder sollte.
es wäre lieb, wenn mir wer helfen könnte. hm... und meine englischkenntnisse sind auch nicht die besten ;-)

chaosman 03.09.2005 15:43
@Nasrudine
poste bitte die escan auswertung nach dieser anleitung
http://www.trojaner-board.de/showthread.php?t=17492

poste auch bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

chaosman

Nasrudine 03.09.2005 15:54
den escan hab ich heute und gestern wie auf der seite beschrieben gemacht.
und hier von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 16:50:27, on 03.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Lexmark 3100 Series\lxbrcmon.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\sessmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\Windows NT\Zubehör\wordpad.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://multistart.de/login.php?id=1450
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1111359084480
O17 - HKLM\System\CCS\Services\Tcpip\..\{1021AA89-81E8-4747-A0C8-12DE6A190BE9}: NameServer = 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{4726B236-32C6-42DD-8E57-901787A2E72A}: NameServer = 217.237.149.161 217.237.150.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{988D6F0C-EBAB-46DA-855C-CAAF6C3A82FA}: NameServer = 194.25.2.129
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Nasrudine 03.09.2005 16:08
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 01 23:01:57 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Thu Sep 01 23:53:03 2005 => File C:\Dokumente und Einstellungen\***\Eigene Dateien\Programme\Spiele\Mumie\mumie.exe infected by "Backdoor.Win32.Agent.mj" Virus! Action Taken: No Action Taken.
Fri Sep 02 01:13:30 2005 => Total Disinfected Files: 0
Fri Sep 02 08:24:20 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Fri Sep 02 08:30:00 2005 => Total Disinfected Files: 0
Sat Sep 03 12:55:06 2005 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: No Action Taken.
Sat Sep 03 12:55:21 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Sep 02 00:27:01 2005 => File C:\System Volume Information\_restore{83A525DB-F164-4028-867F-AC7D6A6396B3}\RP124\A0071813.exe tagged as "not-a-virus:AdWare.ToolBar.DashBar.g". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 01 23:01:57 2005 => Offending file found: C:\DOKUME~1\***\Desktop\internet.lnk
Fri Sep 02 01:13:30 2005 => Total Virus(es) Found: 3
Fri Sep 02 08:24:20 2005 => Offending file found: C:\DOKUME~1\***\Desktop\internet.lnk
Fri Sep 02 08:30:00 2005 => Total Virus(es) Found: 1
Sat Sep 03 12:55:05 2005 => Offending file found: C:\DOKUME~1\***\Desktop\internet.lnk
Sat Sep 03 12:55:19 2005 => Offending file found: C:\DOKUME~1\***\LOKALE~1\Temp\insthelp.dll
Fri Sep 02 01:13:30 2005 => Total Errors: 55
Fri Sep 02 08:30:00 2005 => Total Errors: 12
Fri Sep 02 01:13:30 2005 => Time Elapsed: 02:12:27
Fri Sep 02 08:30:00 2005 => Time Elapsed: 00:07:09
Fri Sep 02 01:13:30 2005 => Total Objects Scanned: 64118
Fri Sep 02 08:30:00 2005 => Total Objects Scanned: 23695
Thu Sep 01 22:58:41 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 01:13:30 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 08:21:43 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 08:30:00 2005 => Virus Database Date: 2005/09/01
Fri Sep 02 13:49:09 2005 => Virus Database Date: 2005/09/01

DiabolicAngelz 03.09.2005 16:12
Zitat:
Zitat von Nasrudine
"Backdoor.Win32.Agent.mj"
Bin kein expert,aber ich glaub bei ner backdoor sollte man neu aufsetzen,oder?

Nasrudine 03.09.2005 19:48
gibts nicht eine andere lösung?

Gamer 04.09.2005 15:27
Hallo,
Ich denke du solltest deinen Rechner neu aufsetzen. Selbst wenn er im Moment sauber ist kann ein Hacker möglicherweise auf dein System zugreifen und mit ihm anstellen was er will.
Hier ein intressanter Link:
http://trojaner-board.de/showthread.php?t=12154
(An deiner Stelle würde ich den rechner neu aufsetzen,denn dann hast du gewissheit, dass dein System sauber ist.)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131