|
Log-Analyse und Auswertung: HJT Log zu "explorer.exe will CNN besuchen"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.01.2005, 19:51 | #1 |
| HJT Log zu "explorer.exe will CNN besuchen" Moin Leute, hier ist das Logfile zum Thread "explorer.exe will CNN besuchen". Danke für Eure Mühe! Carsten. ----------------------------------------- Logfile of HijackThis v1.99.0 Scan saved at 19:46:30, on 04.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\server\xampp\apache\bin\Apache.exe C:\PROGRA~1\GRISOF~1\avgamsvr.exe C:\PROGRA~1\GRISOF~1\avgupsvc.exe C:\WINNT\system32\crypserv.exe D:\server\xampp\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\rsvp.exe C:\WINNT\system32\MSTask.exe C:\Programme\NetDrive\wdService.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe D:\server\xampp\apache\bin\Apache.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\khooker.exe C:\Programme\Kerio\Personal Firewall\PERSFW.exe C:\PROGRA~1\GRISOF~1\avgcc.exe C:\PROGRA~1\GRISOF~1\avgemc.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\WLAN54\WlanCU.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Kerio\Personal Firewall\PFWADMIN.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=wwwproxy.FH-Kiel.de:8080 O1 - Hosts: 217.160.78.80 strohhalm.org O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe O4 - HKLM\..\Run: [SiSSoundMan] C:\WINNT\system32\SoundMan.exe O4 - HKLM\..\Run: [Kerio] C:\Programme\Kerio\Personal Firewall\PERSFW.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOF~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOF~1\avgemc.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\WLAN54\WlanCU.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Apache Software Foundation - D:\server\xampp\apache\bin\Apache.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgupsvc.exe O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: FileZilla Server FTP server - Unknown - D:\server\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown - D:/server/xampp/mysql/bin/mysqld-nt.exe O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: WebDrive Service - Unknown - C:\Programme\NetDrive\wdService.exe |
04.01.2005, 20:03 | #2 |
| HJT Log zu "explorer.exe will CNN besuchen" @drwitt
__________________besser wäre es in einen thread zu bleiben dein logfile schaut unauffällig aus, diesen eintrag könntest du noch abgesichert fixen O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) versuche es doch mal mit escan download anleitung EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." chaosman
__________________ |
05.01.2005, 11:39 | #3 |
| HJT Log zu "explorer.exe will CNN besuchen" Moin Chaosman,
__________________> versuche es doch mal mit escan danke für die Links und Hinweise :-) So, escan hat in mehreren Suchläufen im abgesicherten Modus folgendes ergeben: # Ein altes RemoteAdmin - jetzt deinstalliert File C:\WINNT\system32\admdll.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken. File C:\WINNT\system32\raddrv.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken. File C:\WINNT\system32\r_server.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken. # Javaklassen, jetzt gelöscht File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-3bb8f109-7fff13a3.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-47cb9c47-6b6e7eed.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-5a952819-4a0f387b.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken. # Junkordner, jetzt 0 Byte File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken. # na gut, offenbar kein Virus. Was jetzt damit? File C:\Programme\j2sdk142_05\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. File C:\Programme\j2sdk142_05\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. # das wird wohl ein Scherz sein (oder?!) File D:\server\xampp\apache\bin\pv.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken. # das wird er sein. Mal sehen... Ich hab ihn von einer gehackten Seite konserviert. Dachte, gezippt hält er die Füsse still... *rotwerd* File D:\witt\misc\access_log_2004_w28-1.gz infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken. Leider scheint das problem trotzdem nicht behoben, weil explorer.exe jetzt geocities-Rechner anfunken will: Blocked TCP out -> 66.218.77.68 und das ca. 1-3mal/Minute. Mannmann, und schob wieder bin ich im falschen Board... Kennt jemand das Verhalten? Hoffnungsvoll: Carsten. |
05.01.2005, 11:50 | #4 |
| HJT Log zu "explorer.exe will CNN besuchen" @drwitt na endlich gefunden http://www.sophos.de/virusinfo/analy...startpacu.html das erklärt einiges. wechsle in den abgesicherten modus undlösche die dateien manuell D:\witt\misc\access_log_2004_w28-1.gz C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunde rbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk neu booten, escan findet auch tools, oder risk ware. chaosman
__________________ Bonus vir semper tiro |
05.01.2005, 20:58 | #5 | |
| HJT Log zu "explorer.exe will CNN besuchen" Moin Leute! Zitat:
Dafür gibts Neuigkeiten. Wie schon gesagt, funkt explorer jetzt geocities-Rechner an. Nun treten dazu auch Fehlermeldungen beim Herunterfahren auf, daß eine Anwendung im TempDir der Lokalen Einstellungen nicht ordentlich beendet werden konnte. Die exe-Datei laut Titelbalken heißt dann etwa 117_36.exe (nach dem Muster). Tatsächlich existiert aber keine solche Datei. Und dann gibts auch Fehlermeldungen, daß beim Schreiben auf LPT1 ein Fehler aufgetaucht sei. Leider warten beide Fehler nicht mit mehr Infos auf. :-( Nun bin ich genauso schlau wie vorher. Grüße Carsten. |
05.01.2005, 21:06 | #6 |
HJT Log zu "explorer.exe will CNN besuchen" wie kann das aber sein? im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt dieser log ist wirklich mal was anderes ich denke die datei ist nur als systemdatei markiert extras/ordneroptionen/erweitert(jedenfalls das 2.) geschützte systemdateien ausblenden haken weg, systemdateien anzeigen haken hin, runterscrollen und unten alle dateien und ordner anzeigen haken hin. dann sollte er die datei anzeigen. bedenke auch es gibt mehr tempordner. einen all users, einen default user, dann deinen. du solltest bei allen nachschauen. in irgend einem ist der auf jedenfall. aber das mit dem drucker.. das versteh ich jetz echt net.. |
06.01.2005, 10:17 | #7 |
| HJT Log zu "explorer.exe will CNN besuchen" Tach auch! > im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt ... ich denke die datei ist nur als systemdatei markiert Naja, dass mehrere Temp-Ordner existieren, ist schon klar, auch daß man die Ordneroptionen sinnvoll einsetzen muss - aber eine solche exe datei gibts nicht, auch nicht, wenn ich neben der aktiven Fehlermeldung in die temp-verzeicnisse gucke... Hab heute morgen mal Win2K drüberinstalliert, was aber nix gebracht hat. Bereite mich innerlich auf ein komplettes Neuaufsetzen vor Das kanns ja wohl nicht sein... Ich danke Euch aber, insbesondere Chaosman, für die Hilfe! Carsten. |
06.01.2005, 12:33 | #8 | |
Administrator, a.D. | HJT Log zu "explorer.exe will CNN besuchen"Zitat:
|
06.01.2005, 21:30 | #9 | |
| HJT Log zu "explorer.exe will CNN besuchen" Moinsen! Zitat:
Natürlich hat das Drüberinsten von W2K nix gebracht. Habe heute allerdings eine fragwürdige DLL gefunden, die aus dem fraglichen Zeitraum stammt, sie heisst exgdi.dll. Unter der Annahme, dass dieser Name bei Google nicht umsonst nicht auftaucht, habe ich sie stillgelegt, und seitdem scheint Ruhe im Schiff zu sein. Mannmannmann, nächtes Mal sortiere ich gleich nach Datum Besten Dank für Eure Hilfe. Hier lese ich gerne weiter! Grüße an alle, Carsten. |
Themen zu HJT Log zu "explorer.exe will CNN besuchen" |
administrator, adobe, alert, bho, desktop, einstellungen, excel, file missing, firefox, firewall, ftp, hijack, hijackthis, internet, internet explorer, logfile, mozilla, mozilla firefox, pdf, programme, rundll, server, software, system, windows, wlan |