|
Log-Analyse und Auswertung: Hijacklist zum AuswertenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.02.2005, 00:46 | #1 |
| Hijacklist zum Auswerten Hi bin neu hier, zum glück bin ich auf eure Seite gestoßen bei dem verzweifelten versuch meinen Rechner wieder hin zu bekommen! Ich hoffe das Ihr mir hier helfen könnt. Also hier erstmal die List: Logfile of HijackThis v1.99.0 Scan saved at 00:45:00, on 05.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\wumct.exe D:\WINDOWS\System32\rundll32.exe D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\System32\rundll32.exe G:\Programme\ProcessExp\procexp.exe D:\WINDOWS\System32\rundll32.exe D:\Programme\Avant Browser\avant.exe D:\WINDOWS\System32\ntoksrnl.exe C:\d3cxa.exe G:\Programme\WinRAR\WinRAR.exe D:\WINDOWS\system32\cmd.exe D:\WINDOWS\system32\ftp.exe D:\Dokumente und Einstellungen\Chris\Eigene Dateien\Downloads\hijackthis\HijackThis.exe C:\d3cxa.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=157515 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=157515 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=157515 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) R3 - URLSearchHook: (no name) - _{0199DF25-9820-4bd5-9FEE-5A765AB4371E} - (no file) O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - D:\WINDOWS\nem220.dll O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - D:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - D:\PROGRA~1\INCRED~1\BHO\INCFIN~2.DLL O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINDOWS\System32\bridge.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - D:\Programme\SideFind\sfbho.dll O2 - BHO: CHungryBHO Object - {BCF96FB4-5F1B-497B-AECC-910304A55011} - D:\WINDOWS\neti.dll O2 - BHO: (no name) - {C5941EE5-6DFA-11D8-86B0-0002441A9695} - D:\WINDOWS\3_0_1browserhelper3.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - D:\WINDOWS\EliteSideBar\EliteSideBar 08.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll O3 - Toolbar: Search Bar - {0A8CE102-FA03-4612-9BEE-7FE5452F4CB1} - D:\WINDOWS\system32\srchbar.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\PROGRA~1\ISTbar\istbar.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [kalvsys] D:\windows\system32\kalvswn32.exe O4 - HKLM\..\Run: [*wuauclt.exe] wumct.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NT Service] ntoksrnl.exe O4 - HKLM\..\RunServices: [*wuauclt.exe] wumct.exe O4 - HKLM\..\RunServices: [Windows Updater] svigost.exe O4 - HKLM\..\RunServices: [Regmgr] scvhost.exe O4 - HKLM\..\RunServices: [Microsoft Explorer] svapache.exe O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe O4 - HKLM\..\RunServices: [Winpro] win.exe O4 - HKLM\..\RunServices: [Windows service] SAI.exe O4 - HKLM\..\RunServices: [Windows Online Updater] dllman.exe O4 - HKLM\..\RunServices: [Windows Media Player] mcafe32.exe O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe O4 - HKLM\..\RunServices: [start uploading] smsss.exe O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\RunServices: [RSPC Driver] axiz.exe O4 - HKLM\..\RunServices: [NT Service] ntoksrnl.exe O4 - HKLM\..\RunServices: [Norton Personal Firewall] npfw.exe O4 - HKLM\..\RunServices: [NAV Auto Updates] navupdaterx.exe O4 - HKLM\..\RunServices: [NAV Auto Protect] navprotect.exe O4 - HKLM\..\RunServices: [msupdate] update.exe O4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exe O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe O4 - HKLM\..\RunServices: [Microsoft Windows Updater] windates.exe O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe O4 - HKCU\..\Run: [*wuauclt.exe] wumct.exe O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run O4 - HKCU\..\RunServices: [start uploading] smsss.exe O4 - Startup: Verknüpfung mit Verknüpfung mit procexp.lnk = G:\Programme\ProcessExp\procexp.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do.../bridge-c4.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{3F346AEA-C458-4C79-A574-64150ABAE693}: NameServer = 213.191.92.87 213.191.74.18 O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - D:\WINDOWS\System32\Bdomne32.dll O21 - SSODL: mtklef - {19AA37A1-FAD1-4928-8FAB-4929CA67DD25} - D:\WINDOWS\System32\luud32.dll |
05.02.2005, 01:51 | #2 |
| Hijacklist zum Auswerten Hallo Taxs,
__________________Dein System ist unheimlich verseucht. Z.B. dieser Backdoor: http://www.sophos.de/virusinfo/analyses/w32rbotek.html Eine Rettung Deines Systems wird hier wegen Kompromittierung nicht empfohlen. Setzte Dein System neu auf ("Format c:") und halte Dich dringend an diese Vorgehensweise. http://www.trojaner-info.de/report_i...nleitung.shtml dartus |
06.02.2005, 01:19 | #3 |
| Hijacklist zum Auswerten Gibts denn keine möglichkeit das system so zu retten?
__________________Würde nur sehr ungern alles neu machen und alles verlieren! Könnte man das nicht mal versuchen, oder gibts da gar keine möglichkeit? Wenn es wirklich keine gibt dann wäre es sehr nett wenn mir da jemand erklären könnte warum Gehöre leider eher zu unwissenden auf diesem Gebiet! Aber ich habe auch kein Poblem damit da Arbeit zu investieren, also wenn vieleicht ne möglichkeit gibt, würde ich es gern versuchen. Danke |
06.02.2005, 01:48 | #4 |
| Hijacklist zum Auswerten Hallo Taks, die Mühe lohnt sich nicht! Alle geladenen Programme unter "04" sind mehr als zweifelhaft. Du hast vermutlich mehrere Backdoors am laufen. Das alles zu bereinigen, würde mehr Zeit in Anspruch nehmen als ein sauberer Schnitt. Denk an Deine eigene Sicherheit!! dartus |
06.02.2005, 09:17 | #5 |
| Hijacklist zum Auswerten @Taxs Gibts denn keine möglichkeit das system so zu retten? Nein, du hast mehrere backdoors im system + noch jede menge spyware Wenn es wirklich keine gibt dann wäre es sehr nett wenn mir da jemand erklären könnte warum lese dich hier mal durch http://www.mathematik.uni-marburg.de...ompromise.html geh so schnell wie möglich vom netz, setze dein system neuauf(format C) hier eine anleitung http://www.trojaner-board.de/showpos...28&postcount=2 sry chaosman
__________________ Bonus vir semper tiro |
07.02.2005, 01:35 | #6 |
| Hijacklist zum Auswerten Ist es nun in Ordnung? Habe auch die sicherheitseinstellungen befolgt und bin dann erst Online gegangen! Würde nur gern zur Sicherheit nochmal ein OK von euch haben Vielen Dank für eure Hilfe!!! Logfile of HijackThis v1.99.0 Scan saved at 01:39:56, on 07.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Internet\Eigene Dateien\Download\hijackthis199\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm |
07.02.2005, 09:17 | #7 |
| Hijacklist zum Auswerten @Taxs dein logfile sieht aus nach abgesicherten modus, wir brauchen logfile aus der normalen modus. system und IE updaten, SP2 ist z.Z.aktuell diese einträge O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm in den abgesicherten modus mit HJT fixen, danach manuell löschen C:\WINDOWS\web\related.htm neu booten chaosman
__________________ Bonus vir semper tiro |
07.02.2005, 09:19 | #8 | |
| Hijacklist zum Auswerten Hi Taxs Zitat:
Dein Logfile sieht mir ein wenig dürftig aus. dartus |
07.02.2005, 09:57 | #9 |
| Hijacklist zum Auswerten Wie kann ich das denn updaten? Könnt ihr mir da vieleicht nen link geben? |
07.02.2005, 10:07 | #10 |
| Hijacklist zum Auswerten @Taxs IE öffnen, Extras, windowsUpdate. oder besorge dir ein heft CD wo sp2 drauf ist chaosman
__________________ Bonus vir semper tiro |
07.02.2005, 15:35 | #12 |
| Hijacklist zum Auswerten Wenn ich windows updat aufrufe bekomme ich nur eine leere seite, wieso baut er die nicht auf oder macht irgendwas? Er sagt mir nur Fertig! Sonst passiert weiter nix |
07.02.2005, 16:43 | #13 |
| Hijacklist zum Auswerten Hab nochmal gebootet und wieder probiert, geht aber leider nicht |
07.02.2005, 19:49 | #14 |
| Hijacklist zum Auswerten Hi, sieht das jetzt gut aus? Oder fehlt mir noch was? Logfile of HijackThis v1.99.0 Scan saved at 19:54:13, on 07.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\F-Secure Anti-Virus\FSGUI\fsguiexe.exe C:\Programme\Avant Browser\avant.exe C:\Dokumente und Einstellungen\Dani\Eigene Dateien\Download\hijackthis199\HijackThis.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Anti-Virus\FSGUI\FSSW.EXE" /reboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107792141640 O17 - HKLM\System\CCS\Services\Tcpip\..\{A634A355-57BB-4F80-A960-CDD9668B3D80}: NameServer = 213.191.92.87 213.191.74.18 O23 - Service: F-Secure Anti-Virus 2005 - Unknown - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - Unknown - C:\Programme\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\Common\FSMA32.EXE |
Themen zu Hijacklist zum Auswerten |
auswerten, bho, browser, dll, einstellungen, excel, explorer, firewall, helfen, hijack, hijackthis, internet, internet explorer, microsoft, neu, object, programme, rundll, server, software, suche, system, tcpip, updates, urlsearchhook, windows, windows xp, wuauclt.exe |