Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Brauche Hilfe zur logfile-Auswertung!

Brauche Hilfe zur logfile-Auswertung!


Log-Analyse und Auswertung: Brauche Hilfe zur logfile-Auswertung!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.02.2005, 23:32   #1
nidecker
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


Hallo,
schaut Euch doch bitte mal meine logfile an.
Es geht um die startpage, die sich nicht entfernen läßt.
Könnt Ihr mir bitte weiterhelfen?!

Logfile of HijackThis v1.99.0
Scan saved at 23:26:06, on 06.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NI-DEC~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NI-DEC~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {ADEEF30F-6D41-4616-AA79-1C7843A74C84} - C:\WINDOWS\System32\ljmc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/096d14b2...dxIE601_de.cab
O18 - Filter: text/html - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll
O18 - Filter: text/plain - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Autodesk - Macrovision Corporation - D:\programme\Autodesk Network License Manager\lmgrd.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Danke schon mal im Voraus
nidecker

Alt 07.02.2005, 00:01   #2
Cidre
Administrator, a.D.
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


Hallo,

Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Dein System ist nicht ausreichend gepatcht!
Du solltest mal dein Patchverhalten überdenken.

Die Startseiten Einträge des IE sind erstmal aussen vor, kritischer dagegen ist dieser Eintrag, der auf eine Rbot Variante schliessen lässt ->
Zitat:
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
Lade und scanne deshalb mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________

__________________
Alt 07.02.2005, 23:19   #3
nidecker
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


Vielen Dank schon mal,

was meinst Du mit "nicht ausreichend gepatcht"?
und was bedeutet "Rbot"?

hier die Virus Log Information von eScan AntiVirus:

File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msdownld.tmp\wupd0000.exe infected by "Trojan-Downloader.Win32.Delf.dd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\msdownld.tmp\wupd0001.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: No Action Taken.



Und hier die kopierten Treffer der mwav.log:

Mon Feb 07 22:17:13 2005 => File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:17:15 2005 => File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:21:59 2005 => File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:22:06 2005 => File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:24:50 2005 => File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:24:55 2005 => File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:33:33 2005 => File C:\WINDOWS\msdownld.tmp\wupd0000.exe infected by "Trojan-Downloader.Win32.Delf.dd" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:33:33 2005 => File C:\WINDOWS\msdownld.tmp\wupd0001.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: No Action Taken.
Mon Feb 07 22:47:24 2005 => Scanning Folder: D:\programme\AVPersonal\INFECTED\*.*
Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.001
Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.002
Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.003
Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.VIR

Die letzten 5 Dateien hier haben wohl nichts damit zu tun (AntiVir)

Vielen Dank nochmal !!
Gruß
__________________
Alt 08.02.2005, 01:23   #4
Haui45
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


Hallo,
poste bitte folgendes aus der mwav.log (steht ganz am Ende):
Zitat:
Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:
Zitat:
was meinst Du mit "nicht ausreichend gepatcht"?
Deine Windows-Version ist nicht auf dem neusten Stand -> Windowsupdate durchführen!

Zitat:
und was bedeutet "Rbot"?
RBot ist die Bezeichnug für einen äußerst gefährlichen Wurm mit Backdoorfunktionalität.

Alt 08.02.2005, 22:40   #5
nidecker
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


So, hier der Rest...

Tue Feb 08 22:14:37 2005 => Total Files Scanned: 26626
Tue Feb 08 22:14:37 2005 => Total Virus(es) Found: 6
Tue Feb 08 22:14:37 2005 => Total Disinfected Files: 0
Tue Feb 08 22:14:37 2005 => Total Files Renamed: 0
Tue Feb 08 22:14:37 2005 => Total Deleted Files: 0
Tue Feb 08 22:14:37 2005 => Total Errors: 7
Tue Feb 08 22:14:37 2005 => Time Elapsed: 00:28:25
Tue Feb 08 22:14:37 2005 => Virus Database Date: 2005/02/07
Tue Feb 08 22:14:37 2005 => Virus Database Count: 117359

Tue Feb 08 22:14:37 2005 => Scan Completed.

Tue Feb 08 22:14:59 2005 => Virus Database Date: 2005/02/07
Tue Feb 08 22:14:59 2005 => Virus Database Count: 117359
Tue Feb 08 22:16:01 2005 => AV Library Unloaded (3)...


@Cidre:
kannst Du aus der logfile etwas erkennen, wegen dem Eintrag, der auf eine Rbot Variante schließen läßt?

Danke
Ni-Decker


Alt 08.02.2005, 22:50   #6
Cidre
Administrator, a.D.
 
Brauche Hilfe zur logfile-Auswertung! - Standard

Brauche Hilfe zur logfile-Auswertung!


Zitat:
Tue Feb 08 22:14:37 2005 => Total Files Scanned: 26626
Das erscheint mir etwas wenig! Hast du die Haken, laut der Beschreibung, eScan richtig gesetzt?

Zitat:
kannst Du aus der logfile etwas erkennen, wegen dem Eintrag, der auf eine Rbot Variante schließen läßt?
Das wäre vermutlich dieser Eintrag gewesen, siehe http://startup.iamnotageek.com/srch-taskmgn.exe.html ->
Zitat:
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Alle R0 und R1
O2 - BHO: (no name) - {ADEEF30F-6D41-4616-AA79-1C7843A74C84} - C:\WINDOWS\System32\ljmc.dll
O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O18 - Filter: text/html - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll
O18 - Filter: text/plain - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll

Lösche diese Dateien:
C:\WINDOWS\System32\ljmc.dll
Leere den TIF Ordner

- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis posten
__________________
--> Brauche Hilfe zur logfile-Auswertung!

Antwort

Themen zu Brauche Hilfe zur logfile-Auswertung!
adobe, antivir, antivir update, avgnt.exe, bho, brauche hilfe, ctfmon.exe, dateien, einstellungen, entfernen, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, software, system, system32, temp, update, windows, windows xp


« Bitte um Auswertung des Hijack This Logs | Cache »


Ähnliche Themen: Brauche Hilfe zur logfile-Auswertung!


  1. Ich brauche Hilfe bei Auswertung
    Log-Analyse und Auswertung - 30.09.2011 (1)
  2. Brauche professionelle Logfile auswertung bitte
    Log-Analyse und Auswertung - 23.10.2010 (1)
  3. Rechner Extrem Langsam, auch nach Adaware Test, brauche dringend logfile Auswertung!
    Log-Analyse und Auswertung - 10.03.2010 (4)
  4. Brauche hilfe bei auswertung meines Hijack logfile
    Log-Analyse und Auswertung - 29.11.2009 (3)
  5. Brauche Logfile auswertung
    Log-Analyse und Auswertung - 17.02.2009 (0)
  6. Brauche Logfile Auswertung
    Log-Analyse und Auswertung - 17.02.2009 (5)
  7. LogFile Auswertung; Brauche die Meinung eines Experten.
    Log-Analyse und Auswertung - 10.09.2008 (38)
  8. Brauche Hilfe bei Logfile auswertung
    Mülltonne - 16.09.2007 (1)
  9. Brauche Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 28.07.2007 (10)
  10. Brauche Hilfe bei der Auswertung :-(
    Log-Analyse und Auswertung - 27.03.2007 (2)
  11. Auswertung Logfile - Brauche Hilfe
    Log-Analyse und Auswertung - 09.03.2007 (8)
  12. Brauche mal Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 28.04.2006 (8)
  13. Brauche Hilfe bei Auswertung
    Log-Analyse und Auswertung - 16.09.2005 (1)
  14. Brauche Hilfe bei Logfile Auswertung
    Log-Analyse und Auswertung - 22.08.2005 (5)
  15. Ich brauche Hilfe (Verdacht auf Virenparty auf meinem PC) LOGFILE-Auswertung
    Mülltonne - 07.06.2005 (1)
  16. Brauche Hilfe bei der Auswertung
    Log-Analyse und Auswertung - 08.05.2005 (1)
  17. Brauche Hilfe bei der Log Auswertung
    Log-Analyse und Auswertung - 07.12.2004 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Brauche Hilfe zur logfile-Auswertung! - Hallo, schaut Euch doch bitte mal meine logfile an. Es geht um die startpage, die sich nicht entfernen läßt. Könnt Ihr mir bitte weiterhelfen?! Logfile of HijackThis v1.99.0 Scan saved - Brauche Hilfe zur logfile-Auswertung!...
Archiv
Du betrachtest: Brauche Hilfe zur logfile-Auswertung! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131