| |
| |||||||
Log-Analyse und Auswertung: Hijack-Logfile letzte Möglichkeit?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.01.2005, 19:35
| #1 |
 |  Hijack-Logfile letzte Möglichkeit? Hallo! Trotz ad-aware und sppybot kriege ich das lästige Problem mit den immer wieder auftauchenden Werbefenstern nicht gebacken. Kann mir freundlicherweise jemand eine Lösung geben? Hier mein Hijack-Scan: Logfile of HijackThis v1.99.0 Scan saved at 19:15:54, on 06.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\msc32.exe C:\WINDOWS\System32\sstray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Andi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fcbayern.t-com.de/de/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [NvCplScan] msc32.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [evmnqpmb] C:\WINDOWS\evmnqpmb.exe O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvCplScan] msc32.exe O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{298D1EC2-E408-4C06-B0BB-84A4370EAC48}: NameServer = 145.253.2.81 145.253.2.203 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Sandra Data Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe O23 - Service: Sandra Service - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing) Gruß, Hoser |
|
06.01.2005, 19:37
| #2 | |
  | Hijack-Logfile letzte Möglichkeit? Scanne mal bitte folgende Datei bei http://virusscan.jotti.org/de
__________________Zitat:
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren |
|
06.01.2005, 19:55
| #3 |
| | Hijack-Logfile letzte Möglichkeit? @Haui45
__________________Danke für die schnelle Antwort! Ich habe den Scan durchgeführt, was muss ich jetzt machen? Hier das Ergebnis: Service load: 0% 100% File: msc32.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH, MEWBUNDLE, MEW, PE-DIMINISHER AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.94 seconds taken) ClamAV No viruses found (0.42 seconds taken) Dr.Web Win32.HLLW.ForBot (0.53 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus Backdoor.Win32.Wootbot.am (0.72 seconds taken) mks_vir Trojan.Wootbot.Am (0.20 seconds taken) NOD32 probably unknown NewHeur_PE (probable variant) (1.60 seconds taken) Norman Virus Control No viruses found (5.34 seconds taken) Statistics Last piece of malware found was HTML/Torvil.D in Eva_Padberg_Playboy_German_2004-05_Mai.exe, detected by: Scanner Malware name Time taken AntiVir Worm/Torvil.D 0.46 seconds Avast X 3.21 seconds BitDefender X 1.05 seconds ClamAV X 0.83 seconds Dr.Web X 0.50 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus X 0.88 seconds mks_vir X 0.36 seconds NOD32 Win32/Torvil.A 0.73 seconds Norman Virus Control HTML/Torvil.D 0.26 seconds |
|
06.01.2005, 19:56
| #4 |
  | Hijack-Logfile letzte Möglichkeit? hm ein backdoor. ich glaube da gibt es keine andere lösung als das system neu aufzusetzen, da man nie weiß was über den backdoor verändert wurde am system. es ist nicht mehr vertrauenswürdig. beachte auch http://www.trojaner-board.de/showpos...28&postcount=2 |
|
06.01.2005, 20:00
| #5 |
| | Hijack-Logfile letzte Möglichkeit? Ich habs mir gedacht. Bei einer Infektion des Systems mit einem Backdoortrojaner, ist die einzige Möglichkeit, um wieder einen vertrauenswürdigen Zustand herzustellen die, das System neu aufzusetzen -> http://www.trojaner-board.de/showpos...28&postcount=2 Lutz über Datensicherung (auf ausführbare Dateien solltest du jedoch ganz verzichten) Pflichtlektüre Über die Entfernung von Schädlingen Bitte beim Formatieren an die verlinkte Anleitung halten. Geändert von Haui45 (06.01.2005 um 20:10 Uhr) Grund: was ist heute nur wieder los.... |
|
06.01.2005, 21:08
| #6 |
| | Hijack-Logfile letzte Möglichkeit? Na das sind ja Nachrichten!  Aber ich hab´s mir schon fast gedacht! Also dann, format c: Danke für Eure Hilfe! |
|
06.01.2005, 21:22
| #7 |
| | Hijack-Logfile letzte Möglichkeit? Ich habe noch einen PC mit dem infizierten vernetzt, hoffentlich ist hier nichts drauf. Wäre nett wenn Ihr mir das Log-File auslesen könnt: Logfile of HijackThis v1.99.0 Scan saved at 21:16:28, on 06.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: H:\WINDOWS\System32\smss.exe H:\WINDOWS\system32\winlogon.exe H:\WINDOWS\system32\services.exe H:\WINDOWS\system32\lsass.exe H:\WINDOWS\System32\Ati2evxx.exe H:\WINDOWS\system32\svchost.exe H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\Ati2evxx.exe H:\WINDOWS\Explorer.EXE H:\WINDOWS\system32\spoolsv.exe D:\Programme\Logitech\iTouch\iTouch.exe H:\Programme\T-DSL SpeedManager\SpeedMgr.exe D:\Programme\HP\HP Software Update\HPWuSchd2.exe H:\Programme\HP\hpcoretech\hpcmpmgr.exe H:\Programme\Java\jre1.5.0\bin\jusched.exe H:\WINDOWS\SOUNDMAN.EXE H:\Programme\ATI Technologies\ATI.ACE\cli.exe H:\Programme\AVPersonal\AVSched32.EXE H:\WINDOWS\System32\ctfmon.exe H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE H:\Programme\DeTeWe\TA 33 USB\Capictrl.exe H:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe H:\Programme\AVPersonal\AVGUARD.EXE H:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE H:\WINDOWS\System32\svchost.exe H:\WINDOWS\system32\ZoneLabs\vsmon.exe c:\windows\system32\winos.exe D:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE D:\Programme\RVS\WCOM\SYSTEM\CCSRV.EXE H:\Programme\T-DSL SpeedManager\tsmsvc.exe H:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE H:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE H:\Programme\Internet Explorer\IEXPLORE.EXE H:\Programme\Internet Explorer\IEXPLORE.EXE H:\Programme\Internet Explorer\IEXPLORE.EXE H:\Dokumente und Einstellungen\Redbaron\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [routcnf] H:\Programme\DeTeWe\TA 33 USB\routcnf.exe O4 - HKLM\..\Run: [zBrowser Launcher] d:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Configuration Loader] zonealarm.exe O4 - HKLM\..\Run: [SSC_UserPrompt] H:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [HP Software Update] "D:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HP Component Manager] "H:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [ATIPTA] H:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATICCC] "H:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [AVSCHED32] H:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "H:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Configuration Loader] zonealarm.exe O4 - Startup: PC Atomic Sync.lnk = D:\Programme\BrigSoft\BSAtomic\BSAtomic.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = H:\Programme\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: ZoneAlarm.lnk = H:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save with Download Manager... - H:\Programme\J River\Media Jukebox\DMDownload.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - H:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTS...my_car_pop.jsp O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.gedichte-bereich.de/I...sAssistent.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{0C519D4F-1F10-4E9F-9553-5B3FD84D4F9C}: NameServer = 217.237.151.97 217.237.150.33 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - H:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - H:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - H:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - H:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe O23 - Service: RVS CommCenter - RVS Datentechnik GmbH, München - D:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - D:\Programme\RVS\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - D:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE O23 - Service: SymWMI Service - Symantec Corporation - H:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TSMService - T-Systems Nova, Berkom - H:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - H:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: System Op CONTRL - Unknown - c:\windows\system32\winos.exe O23 - Service: FireDaemon Service: zoneedit - Unknown - c:\Windows\system32\Microsoft\root\\FireDaemon.EXE |
|
| Themen zu Hijack-Logfile letzte Möglichkeit? |
| acrobat, ad-aware, adobe, bho, button, einstellungen, excel, explorer, file missing, hijackthis, hotkey, immer wieder, internet, internet explorer, lösung, microsoft, monitor, office, problem, programme, software, sun java, system, system32, tcpip, temp, werbefenster, windows, windows xp |
Hybrid-Darstellung
