Bitte um Logfile Auswertung |
Willkommen, Gast ( Anmelden | Registrierung )
Bitte um Logfile Auswertung |
27.08.2007, 17:25
Beitrag
#1
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hallo,
könntet ihr bitte für mich eine Logfileauswertung vornehmen? Es geht um folgenden Log. Danke im voraus. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:20:44, on 27.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\tp4mon.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\philips\Philips SNU6500 Wireless USB Adapter Utility\PHUSBMonitor.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Philips Wireless USB Adapter 11g.lnk = C:\Programme\philips\Philips SNU6500 Wireless USB Adapter Utility\PHUSBMonitor.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {195C5B84-AAB2-456F-AECC-E4E5A400C244} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {195C5B84-AAB2-456F-AECC-E4E5A400C244} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{84DAA314-07DB-41CE-9406-F6334D114401}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{C15FD71B-F4BA-4C68-A010-67057588FE38}: NameServer = 192.168.1.1 O18 - Protocol: t-mobile - (no CLSID) - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe -- End of file - 4316 bytes |
|
|
27.08.2007, 17:38
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Was fuer ein Problem hast du mit dem Rechner? Auffaelliges ist nicht zu sehen ausser, das ein paar Patches fehlen koennten.
-------------------- MfG Ralf
|
|
|
27.08.2007, 18:07
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
@schopili
Geht irgendwas nichtmehr richtig ? Dann tippe ich auf das O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {195C5B84-AAB2-456F-AECC-E4E5A400C244} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {195C5B84-AAB2-456F-AECC-E4E5A400C244} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
27.08.2007, 19:02
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hallo,
es handelt sich um den PC von einem Freund der meinte das dem Besuch einer Seite wo er sich was installiert hätte, der PC langsamer lief als vorher und er mehr pop ups bekommen würde. Ich selber konnte aber nix auffälliges feststellen was die performance angeht und ich wollte nur mal das log auswerten lasse num sicher zu gehen das nix läuft was nicht laufen sollte. |
|
|
27.08.2007, 19:10
Beitrag
#5
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Dafuer reicht ein Hijackthis Log nicht, erst recht nicht, wenn Hijackthis unter dem Namen "Hijackthis.exe" laeuft. Benenne Hijackthis.exe in etwas anderes um und erstelle ein neuen Report.
Nachtrag, du kannst auch ein Gmer Log erstellen: http://files.thespykiller.co.uk/gmer113.zip -------------------- MfG Ralf
|
|
|
27.08.2007, 19:23
Beitrag
#6
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Werd ich morge nmal machen wenn ich wieder da bin.
Kaspersky freut sich hier bei mir aber mächtig! |
|
|
28.08.2007, 17:22
Beitrag
#7
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 172 Mitglied seit: 13.02.2007 Mitglieds-Nr.: 5.833 Betriebssystem: Windows XP Virenscanner: KIS 2009 Firewall: KIS 2009 |
Hallo,
hier wie versprochen das log von gmer! GMER 1.0.13.12646 - http://www.gmer.net Rootkit scan 2007-08-28 18:20:29 Windows 5.1.2600 Service Pack 2 ---- User IAT/EAT - GMER 1.0.13 ---- IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll IAT C:\WINDOWS\Explorer.EXE[276] @ C:\WINDOWS\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINDOWS\system32\ShimEng.dll ---- Devices - GMER 1.0.13 ---- AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F84701DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F84701DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F8470454] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F84701DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F8463F4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F8463F4C] fltmgr.sys ---- Registry - GMER 1.0.13 ---- Reg \Registry\USER\S-1-5-21-1614895754-484763869-1708537768-500\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count@HRZR_EHACNGU:P:\Qbxhzragr haq Rvafgryyhatra\Nqzvavfgengbe\Qrfxgbc\Areb.Oheavat.EBZ.i6.6.0.12\Areb.Oheavat.EBZ.i6.6.0.12.Vapy.Xrlznxre-PBER.ol.TRNE.sbe.jjj.tbyqrfry.6k.gb\Nurnq.Areb.Oheavat.EBZ.i6.6.0.12.Vapy.Xrlznxre-PBER.ol.TRNE.sbe.jjj.tbyqrfry.6k.gb\Areb-6.6.0.12.rkr 0x01 0x00 0x00 0x00 ... ---- EOF - GMER 1.0.13 ---- |
|
|
28.08.2007, 17:31
Beitrag
#8
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das sieht auch relativ normal aus. Wenn du bis heute abend/morgen frueh warten kannst, kannst du noch mit Combofix einen Report erstellen. Schaden kann es nicht.
Es kann sein, das der Download erst am spaeten Abend funktioniert. http://download.bleepingcomputer.com/sUBs/ComboFix.exe -------------------- MfG Ralf
|
|
|
Gast_rock_* |
29.08.2007, 10:24
Beitrag
#9
|
Gäste |
@ raman:
nur der info halber.... deine/die combo page is (bei mir?) nicht erreichbar...29.Dezember 2003... 404 Not Found The requested URL '/sUBs/ComboFix.exe' was not found on this server. -------------------------------------------------------------------------------- thttpd/2.25b 29dec2003 Der Beitrag wurde von rock bearbeitet: 29.08.2007, 10:25 |
|
|
29.08.2007, 11:24
Beitrag
#10
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Ich weiss, es ist noch nicht wieder freigegeben. Es gab bei einigen wenigen Rechnern Probleme, inzwischen funktioniert es wieder.
-------------------- MfG Ralf
|
|
|
Gast_rock_* |
29.08.2007, 11:38
Beitrag
#11
|
Gäste |
funktioniert!
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 20:57 |