| |
| |||||||
Log-Analyse und Auswertung: Auswertung logfile HijackThisWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
06.01.2005, 13:02
| #1 |
 |  Auswertung logfile HijackThis Hi zusammen, könnte mir jemand bei der Auswertung meines logfiles helfen? kenn mich leider nicht allzu gut aus... Ich hoffe, es ist okay, allein nach der Auswertung zu fragen. Außer seltsam anmutende SearchBars beim Öffnen des IE oder des Arbeitsplatzes hab ich keine Probleme - zumindest keine, die mir auffallen. Vielen Dank im voraus! Logfile of HijackThis v1.98.2 Scan saved at 12:43:57, on 06.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\Programme\IBM\Messages By IBM\ibmmessages.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\scchost.exe C:\Programme\QuickTime\qttask.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\iPod\bin\iPodService.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe C:\Programme\USR WLAN\USR 22Mbps WLAN Adapter\USRWLAN.exe C:\WINDOWS\System32\INTERNAT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Sabine\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.embmpcojet.net/L4N2eFwtzg...HpjnUvgRT.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll O1 - Hosts: 127.0.0.67 search.active-max.com O1 - Hosts: 127.0.0.0 www.dialup2.com O1 - Hosts: 127.0.0.80 maxexp.com O1 - Hosts: 127.0.0.221 www.mp3search.com O1 - Hosts: 127.0.0.217 www.rub.to O1 - Hosts: 127.0.0.91 www.spawnet.com O1 - Hosts: 127.0.0.220 www.mp3search.com O1 - Hosts: 127.0.0.9 best.omega-search.com O1 - Hosts: 127.0.0.217 www.omega-search.com O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {B944681A-45F0-91E1-9B11-9C696D6D82FC} - C:\DOKUME~1\Sabine\ANWEND~1\ANTEDE~1\this live.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Windows Service] swvhost.exe O4 - HKLM\..\Run: [Alive SYstem] C:\WINDOWS\System32\scchost.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Barb aim drive fork] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Title Barb Aim\scr dent.exe O4 - HKLM\..\RunServices: [Windows Service] swvhost.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe O4 - HKCU\..\Run: [owns trans] C:\DOKUME~1\Sabine\ANWEND~1\THATTH~1\multi software 16.exe O4 - Startup: VERITAS Install Exec Setup.lnk = C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\VIES63CD\Setup.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: U.S.Robotics WLAN Adapter Configuration Utility.lnk = C:\Programme\USR WLAN\USR 22Mbps WLAN Adapter\USRWLAN.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - file://C:\Programme\Support.com\bin\IBMAccessSupport\common\install\ibmegath.cab O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - http://de.photos.groups.yahoo.com/oc...lorer1_9de.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp06.photoprintit.de/microsi...ex/XUpload.ocx |
|
06.01.2005, 13:17
| #2 |
  | Auswertung logfile HijackThis @binsche
__________________der http://www.sophos.de/virusinfo/analyses/w32sdbotec.html ist im system, und zwar als C:\WINDOWS\System32\scchost.exe bei diesen virus kann ich dir nur das neu aufsetzen empfehlen. dein system ist nicht mehr vertrauenwürdig, kompromittiert lese dich hier durch http://www.mathematik.uni-marburg.de...ompromise.html hier ein paar tips zum neu aufsetzen http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman
__________________ |
|
06.01.2005, 13:21
| #3 |
 | Auswertung logfile HijackThis @chaosman
__________________verdammt schnell, da kann ich mir meine antwort sparen  bleibt mir nur mehr grundsätzlich solltest du dein sicherheitskonzept überdenken. um deine einstellungen des browsers zu überprüfen, kannst du hier bei Heise oder beim land Niedersachsen einen browser-onlinecheck durchführen. weiters wird empfohlen, die microsoft java virtualmachine gegen Java von Sun auszutauschen. dann sollte noch der schutz im laufenden betrieb durch das tool Browser Hijack Blaster und unseriöse seiten in die zone der eingeschränkten seiten mit dem script IE SPYADS aufgenommen werden. ( Info unter trojaner-info.de) wichtig: regelmäßig windows-update durchführen (jeden 2. mittwoch im monat) ebenso solltest du die sicherheitseinstellungen von outlook(express) überprüfen, gegenbenfalls die voreinstellungen ändern. diesen check kannst du auch bei Heise durchführen. verwende eventuell andere browser und mailprogramme z.b. mozilla/firefox/thunderbird
__________________ |
|
06.01.2005, 13:21
| #4 |
 | Auswertung logfile HijackThis system muss aufgrund sdbots neu aufgesetzt werden. (chaosman war schonwieder schneller..) |
|
06.01.2005, 14:28
| #5 |
| | Auswertung logfile HijackThis Hej, vielen Dank für die schnelle Beantwortung!!! Nur: "neu aufsetzen" ist natürlich nicht das was ich hören wollte - mal ganz davon abgesehen, dass ich befürchte, dass ich dann nie wieder einen funktionierenden Laptop haben werde... Gibt es irgendeine andere akzeptable Lösung?!? |
|
06.01.2005, 14:33
| #6 |
| | Auswertung logfile HijackThis nein gibt es nicht. du kannst nicht nachvollziehen was im windows verändert wurde. es muss also sein. und keine sorge, der laptop kann theoretisch nach einer Neuinstallation nur besser funktionieren statt schlechter. also les dir auch mal http://www.trojaner-board.de/showpos...28&postcount=2 durch. glaub mir neuinstallieren ist die beste lösung |
|
06.01.2005, 14:34
| #7 |
| | Auswertung logfile HijackThis @binsche mal ganz davon abgesehen, dass ich befürchte, dass ich dann nie wieder einen funktionierenden Laptop haben werde... das verstehe ich nicht, ein system neu aufsetzen ist nicht so schwierig, http://www.freenet.de/freenet/comput...xp/neuinstall/ http://board.protecus.de/showtopic.php?threadid=13020 vielleicht hast du im bekanntenkreis jemand der dich helfen kann. Gibt es irgendeine andere akzeptable Lösung?!? imho nein, dein system ist als kompromittiert zu betrachten, ich würde sofort vom netz gehen, daten sichern, und dann mein system neu aufsetzen. dein rechner stellt auch für andere user ein gefahr da. sry chaosman
__________________ Bonus vir semper tiro |
|
06.01.2005, 16:30
| #8 |
| |  Auswertung logfile HijackThis okay, okay, ... ich hab verstanden. und dank eurer zahlreichen links, werd ich das wohl hinkriegen. vielen danke für eure hilfe!! |
|
| Themen zu Auswertung logfile HijackThis |
| .html, .inf, adapter, adobe, auswertung, auswertung logfile, bho, desktop, einstellungen, excel, explorer, file missing, frage, helfen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, microsoft, programme, rundll, software, system, temp, unknown file in winsock lsp, urlsearchhook, windows, windows xp, wlan, yahoo |
Linear-Darstellung
