|
Log-Analyse und Auswertung: Log fileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.01.2005, 16:18 | #1 |
| Log file kann man bitte jemand drüber schauen. Einmal kommt böse als Analyse. Danke Logfile of HijackThis v1.99.0 Scan saved at 16:17:26, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\basfipm.exe C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\PROGRA~1\IRCOIN~1\NetCfgSv.EXE C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\System32\CFAX_NT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\IRCO Intranet VPN Connection\NetClient.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\PowerPnt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\DOKUME~1\TVADLJ~1.OBE\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/a...en/default.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f95.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O1 - Hosts: 168.65.188.32 wcl O1 - Hosts: 168.65.150.7 OBE-HP03 l1500 k400 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [VerifyStartMenu] RunDLL32 C:\NETMANAG.32\NMGOINN.DLL,VerifyStartMenu O4 - HKLM\..\Run: [CapiFax Monitor] C:\WINDOWS\System32\CFAX_NT.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [NetSP - restore database] "C:\Programme\IRCO Intranet VPN Connection\NetSP.exe" -show O4 - Global Startup: BTTray.lnk.disabled O4 - Global Startup: Digital Line Detect.lnk.disabled O4 - Global Startup: Microsoft Office.lnk.disabled O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://quickplace.ingerrand.com/qp2.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093591936875 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ingerrand.com O17 - HKLM\Software\..\Telephony: DomainName = ingerrand.com O17 - HKLM\System\CCS\Services\Tcpip\..\NDISWANIP: NameServer = 195.50.140.250 145.253.2.174 O17 - HKLM\System\CCS\Services\Tcpip\..\{71D63EFB-F485-4B5C-916E-6280E43511A5}: NameServer = 168.65.128.2,168.65.128.10 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ingerrand.com O17 - HKLM\System\CS1\Services\Tcpip\..\NDISWANIP: NameServer = 195.50.140.250 145.253.2.174 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.3 - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Network Configuration Service - AT&T - C:\PROGRA~1\IRCOIN~1\NetCfgSv.EXE O23 - Service: SAVRoam - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe |
16.01.2005, 17:44 | #2 |
| Log file Hallo, wackelino,
__________________mir gefällt mehreres nicht. Deshalb bitte folgende Dateien erst mal bei Jotti online scannen (zuerst auf durchsuchen, bis du die Datei hast, dann auf submit). Dann die 10-zeiligen Ergebnisse reinposten. C:\WINDOWS\System32\basfipm.exe C:\WINDOWS\System32\CFAX_NT.EXE C:\WINDOWS\System32\btxppanel.dll cacatoa
__________________ |
16.01.2005, 18:29 | #3 |
| Log file die 3 sind in ordnung. es handelt sich um capifax
__________________ |
16.01.2005, 18:45 | #4 |
| Log file o.k. kennst du die beiden Hosts: O1 - Hosts: 168.65.188.32 wcl O1 - Hosts: 168.65.150.7 OBE-HP03 l1500 k400 wenn nicht, dann fixen. Das folgende mit HJt fixen: O4 - Global Startup: BTTray.lnk.disabled O4 - Global Startup: Digital Line Detect.lnk.disabled O4 - Global Startup: Microsoft Office.lnk.disabled Kennst du das: ingerrand.com Kennst du die Domain oder IP: O17 - HKLM\System\CCS\Services\Tcpip\..\{71D63EFB-F485-4B5C-916E-6280E43511A5}: NameServer = 168.65.128.2,168.65.128.10 Wenn nicht bekannt/gewollt, dann fixen. Dann neues Logfile posten. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
16.01.2005, 19:02 | #5 |
| Log file die 3 sind gefixt. die ip ist bekannt Logfile of HijackThis v1.99.0 Scan saved at 19:01:19, on 16.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\basfipm.exe C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\PROGRA~1\IRCOIN~1\NetCfgSv.EXE C:\Programme\Symantec AntiVirus\SavRoam.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\System32\CFAX_NT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\IRCO Intranet VPN Connection\NetClient.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\explorer.exe C:\Programme\Microsoft Office\Office\MSACCESS.EXE C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\DOKUME~1\TVADLJ~1.OBE\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/a...en/default.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f95.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O1 - Hosts: 168.65.188.32 wcl O1 - Hosts: 168.65.150.7 OBE-HP03 l1500 k400 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [VerifyStartMenu] RunDLL32 C:\NETMANAG.32\NMGOINN.DLL,VerifyStartMenu O4 - HKLM\..\Run: [CapiFax Monitor] C:\WINDOWS\System32\CFAX_NT.EXE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Dell\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - http://quickplace.ingerrand.com/qp2.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093591936875 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ingerrand.com O17 - HKLM\Software\..\Telephony: DomainName = ingerrand.com O17 - HKLM\System\CCS\Services\Tcpip\..\NDISWANIP: NameServer = 195.50.140.250 145.253.2.174 O17 - HKLM\System\CCS\Services\Tcpip\..\{71D63EFB-F485-4B5C-916E-6280E43511A5}: NameServer = 168.65.128.2,168.65.128.10 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ingerrand.com O17 - HKLM\System\CS1\Services\Tcpip\..\NDISWANIP: NameServer = 195.50.140.250 145.253.2.174 O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.3 - Broadcom Corp. - C:\WINDOWS\System32\basfipm.exe O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe O23 - Service: Network Configuration Service - AT&T - C:\PROGRA~1\IRCOIN~1\NetCfgSv.EXE O23 - Service: SAVRoam - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe |
16.01.2005, 19:09 | #6 |
| Log file Dann gehe ich mal davon aus, daß Du das da auch kennst: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/...gen/default.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.f95.de/ Wenn ja, dann ist alles in Butter. cacatoa
__________________ --> Log file |
Themen zu Log file |
adobe, antivirus, bho, drivers, explorer, file, google, hijack, hijackthis, hotkey, internet, internet explorer, intranet, log, log file, microsoft, monitor, programme, rundll, rundll32, senden, settings manager, software, symantec, system, tcpip, temp, windows, windows xp |