| |
| |||||||
Log-Analyse und Auswertung: Für einen Neuling bitte Log checkenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
07.12.2004, 14:53
| #1 |
| |  Für einen Neuling bitte Log checken hallo leute, bin neu hier und schon froh, dass ich hijack überhaupt verstanden hab. hatte einige probleme, trotz zonealarm und ad-aware check, vermutlich trojaner. hab nun einiegs gelöscht, bin aber nicht sicher, ob da noch was kritisches dabei ist. wär ein profi so nett und geht mal kurz drüber? vielen dank im voraus, GrafCicero Logfile of HijackThis v1.97.7 Scan saved at 14:36:45, on 07.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\WINDOWS\System32\bsc32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\systemi32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\GEARSec.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\DOKUME~1\ACHIMG~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\Programme\mozilla-win32-1.6-de-AT\mozilla\mozilla.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Microsoft Services] C:\WINDOWS\System32\bsc32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe O4 - HKLM\..\RunServices: [Microsoft Services] C:\WINDOWS\System32\bsc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...194.1148842593 |
|
07.12.2004, 15:34
| #2 |
   | Für einen Neuling bitte Log checken Leider ist dein Rechner durch Backdoorprogramme infiziert:
__________________O4 - HKLM\..\Run: [Microsoft Update] systemi32.exe O4 - HKLM\..\RunServices: [Microsoft Update] systemi32.exe O4 - HKLM\..\RunServices: [Microsoft Services] C:\WINDOWS\System32\bsc32.exe Daher ist er nicht mehr vertrauenswürdig und die optimale Lösung wäre eine saubere Neuinstallation: http://board.protecus.de/showtopic.p...me=1097944155& Der Grund für die Infektion ist wahrscheinlich u.a. dass du keine Windowspatches installiert hast, auf jeden Fall ist das Service Pack nicht vorhanden. Du solltest also einen sauberen Schnitt anhand der Anleitung machen und für die Zukunft auch die weiterführenden Links beachten, speziell: http://www.mathematik.uni-marburg.de...ompromise.html Falls du das nicht willst und eine reaparatur versuchen willst (die aber nach dieser Art der Verseuchung keine 100%ige Sicherheit mehr geben kann), solltest du ein Log mit der aktuellen HJT-Version erstellen http://www.trojaner-board.de/51130-a...ijackthis.html Wie gesagt, eine Neuinstallation wäre besser. |
|
07.12.2004, 16:03
| #3 |
| | Für einen Neuling bitte Log checken Hallo MountainKing,
__________________Auch wenn das nicht allzugut klingt: Vielen Dank für Deine Mühe. Wenn ich nun zunächst tatsächlich eine Reparatur versuche, warum ist dann das LOG von der neuen HIJ so wichtig? Müsstest Du dann nochmal drüber gucken? Naja, ich mach das jetzt mal, schaue was wird - und werd im Zweifel wohl in den sauren Apfel der NI beißen. Danke nochmal Grüße GrafCicero |
|
07.12.2004, 16:10
| #4 |
| | Für einen Neuling bitte Log checken So, nun nach dem neuen Check mit der aktuellen Version. Vielleicht habe ich ja Glück. Werde jedenfalls alle Deine Hinweise befolgen. Logfile of HijackThis v1.98.2 Scan saved at 16:11:12, on 07.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe C:\WINDOWS\System32\bsc32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\systemi32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 9.0\aoltray.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\GEARSec.exe C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe C:\Programme\mozilla-win32-1.6-de-AT\mozilla\mozilla.exe C:\Programme\eMuleRT\emule.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ACHIMG~1\LOKALE~1\Temp\Rar$EX03.032\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Microsoft Services] C:\WINDOWS\System32\bsc32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/ O17 - HKLM\System\CCS\Services\Tcpip\..\{43894191-E911-4834-9F51-41E24E02EBEA}: NameServer = 213.168.112.60 81.173.194.68 |
|
07.12.2004, 20:56
| #5 |
| | Für einen Neuling bitte Log checken @GrafCicero geändert hat sich nichts, Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) ein marke scheunentorsystem. O4 - HKLM\..\Run: [Microsoft Services] C:\WINDOWS\System32\bsc32.exe O4 - HKCU\..\Run: [Microsoft Update] systemi32.exe C:\WINDOWS\System32\systemi32.exe C:\WINDOWS\System32\bsc32.exe der hier bringt auch probleme C:\Programme\eMuleRT\emule.exe setze dein system neu auf, MountainKing hat ja genug links gepostet chaosman
__________________ Bonus vir semper tiro |
|
08.12.2004, 14:45
| #6 |
| | Für einen Neuling bitte Log checken Dank Euch, mach das System platt. Muss wohl sein. Grüße |
|
| Themen zu Für einen Neuling bitte Log checken |
| .inf, ad-aware, adobe, avg, bho, checken, dateien, dll, explorer, hijack, hijackthis, internet, internet explorer, log, messenger, microsoft, neu, nicht sicher, nvcpl.dll, programme, realplayer, rundll, software, symantec, system, temp, windows, windows xp |
Linear-Darstellung
