| |
| |||||||
Log-Analyse und Auswertung: Highjack-LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.01.2005, 17:30
| #1 |
| |  Highjack-Logfile Logfile of HijackThis v1.99.0 Scan saved at 17:20:47, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\totalcmd\TOTALCMD.EXE D:\setups\Virenscanner\hjt\HijackThis199.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe hallo..... bin neu.... bitte um Kommentar zu diesem Logfile.... ich denke ich weiß was kommt... aber.... vielen DANK im voraus egg |
|
14.01.2005, 17:33
| #2 |
| Administrator, a.D.   | Highjack-Logfile Hallo,
__________________überprüfe mal folgende Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: wmpa36.exe
__________________ |
|
14.01.2005, 17:35
| #3 |
| | Highjack-Logfile Ergebnis des scans :
__________________The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file hab keine firewall außer der von xp adaware findet nichts.... |
|
14.01.2005, 17:38
| #4 |
| Administrator, a.D. | Highjack-Logfile Sieh mal im TaskManager nach, wenn diese Datei als Prozess aufgeführt wird, dann kille diesen. Ansonsten benennst du die Datei mal um und probierst es nochmal. |
|
14.01.2005, 18:25
| #5 |
| | Highjack-Logfile gesagt getan. im Taskmanager ist der Prozess wmpa36 vorhanden, kille diesen. Suche unter regedit wmpa36. Finde : Windows Media Player 3.6 (mehrfach) umbenannt in WMP 3.9 000 alle mit dem Wert wmpa36.exe nach einem Neustart ist der Prozess wieder da... in regedit einige Einträge wieder da, also WIndows Media Player 3.6 WIndows Media Player 3.9 noch ein Nachtrag. Zum Forum bin ich gekommen, weil mein OS ca. 1 Woche alt ist, musste es erneuern weil ich mir mächtig was eingefangen habe und ich nur noch traffic hatte ohne etwas zu tun. Jetzt ist das OS neu, soweit alle updates drauf und die firewall ist an.... -mit firewall langsamer traffic -ohne firewall sende ich wieder ohne Ende  hier nun die neue Log Logfile of HijackThis v1.99.0 Scan saved at 18:25:46, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\regedit.com C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\totalcmd\TOTALCMD.EXE D:\setups\Virenscanner\hjt\HijackThis199.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows Media Player 3.9] wmpa36.exe O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe O4 - HKLM\..\RunServices: [Windows Media Player 3.9] wmpa36.exe O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE9EFFE-02F0-4C93-8C9E-B26008492944}: NameServer = 195.50.140.250 145.253.2.11 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe oh man.... ty again |
|
14.01.2005, 18:36
| #6 |
| Administrator, a.D. | Highjack-Logfile Lange Rede kurzer Sinn, siehe den Link in meiner Signatur.
__________________ --> Highjack-Logfile |
|
14.01.2005, 18:41
| #7 |
| | Highjack-Logfile ich habe gehofft du würdest nicht zu dieser Aussage neigen..... schade.... trotzdem danke greetz egg |
|
14.01.2005, 18:48
| #8 |
| Administrator, a.D. | Highjack-Logfile Damit wir uns ganz sicher sind, dass dies wirklich nötig ist, führe doch mal dies aus -> Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
|
14.01.2005, 20:13
| #9 |
| | Highjack-Logfile Fri Jan 14 19:18:04 2005 => File C:\WINDOWS\System32\wmpa36.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. ist nun renamed .... Prozess und Virus kommt nicht mehr auf Logfile of HijackThis v1.99.0 Scan saved at 19:51:09, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\nvsvc32.exe D:\setups\Virenscanner\hjt\HijackThis199.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe nochmal zum traffic..... ist das normal daß ich ohne firewall 60kb/min empfange ohne eine site zu öffnen? mit firewall habe ich nach aufrufen des forums (2:30 min) 50 kb da ist noch irgendwo der wurm drin.....  |
|
14.01.2005, 20:28
| #10 |
| | Highjack-Logfile ..und nochmals danke für das schnelle annehmen meiner Probs Cidre.... ich merke grad du bist ein Experte in diesem Forum.... wow wirklich gute und verständlich Beiträge... Hut ab :aplaus: habe mir schon einige deiner Beiträge einfach gespeichert..hoffe draus lernen zu können.... |
|
14.01.2005, 21:43
| #11 |
| | Highjack-Logfile @mr.egg bei dem hier Backdoor.Win32.Rbot.gen" bleibt dir nur übrig was cidre dir gepostet hat. chaosman
__________________ Bonus vir semper tiro |
|
16.01.2005, 00:06
| #12 |
| | Highjack-Logfile naja....also alles war gut..... bis heut der Mediaplayer lief.... nach Neustart war wieder einer da....nur ein anderer.... mcafe32.exe und ntoskrl.exe ( ohne n ) ich sehe schon bleibt nicht übrig..... werd alles neu machen... das einzige was mich juckt... ich habe zwei festplatten... dabei 5 Partitionen... ist es möglich das sich das Ding weiter fortgepflanzt hat? ich meine muss ich alle Partitionen formatieren? das wäre hart...... 120gb mfg |
|
16.01.2005, 01:44
| #13 |
| Administrator, a.D. | Highjack-Logfile Er wird sich zwar nicht fortpflanzen, da er nicht die Schadroutine eines Virus aufweist, aber es müssen alle Dateien als nicht mehr vertrauenswürdig angesehen werden. Sicherer wäre es auf jeden Fall wenn du beide Festplatten formatieren würdest. |
|
23.01.2005, 03:37
| #14 |
| | Highjack-Logfile hey.... bitte um Kontrolle.... Logfile of HijackThis v1.99.0 Scan saved at 03:32:07, on 23.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\NMSSvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\totalcmd\TOTALCMD.EXE D:\setups\Virenscanner\hjt\HijackThis199.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106163874609 O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEEB290-8B3F-4D8D-941B-69B5DAB8E4C8}: NameServer = 195.50.140.250 145.253.2.11 O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe ...sys schnurrt wie ein kätzchen... freu |
|
23.01.2005, 03:42
| #15 |
| Administrator, a.D. | Highjack-Logfile Dein Log-File sieht sauber aus und ich hoffe für dich, dass dies auch so bleibt  |
|
| Themen zu Highjack-Logfile |
| acrobat, antivir, antivir update, avg, bho, drivers, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, software, system, system32, update, virenscanner, windows, windows media player, windows xp |
Linear-Darstellung
