| |
| |||||||
Log-Analyse und Auswertung: Logfile/AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
22.02.2005, 16:56
| #1 |
| |  Logfile/Auswertung Hallo Leute... ich bin ein sogenannter noob in sachen pc... ich habe das problem das mein ie keine eigene startseite mehr annimmt... könntet ihr euch mal das log anschauen und mir sagen was da weg kann... mfg Cisco Logfile of HijackThis v1.99.1 Scan saved at 16:38:39, on 22.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE C:\PROGRAMME\AIM95\AIM.EXE C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\AOL 9.0\WAOL.EXE C:\PROGRAMME\AOL 9.0\SHELLMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\SYSTEM\MSCONFIG.EXE C:\WINDOWS\SYSTEM\CHECKING.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\MSHTA.EXE C:\EIGENE DATEIEN\AOL DOWNLOADS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_hp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 3466709097 auto.search.msn.com O1 - Hosts: 3466709097 search.msn.com O1 - Hosts: 3466709097 sitefinder.verisign.com O1 - Hosts: 3466709097 sitefinder-idn.verisign.com O1 - Hosts: 3466709097 www.your.com your.com O1 - Hosts: 3466709097 com.org O1 - Hosts: 3466690378 ad.doubleclick.net O1 - Hosts: 3466690378 view.atdmt.com O1 - Hosts: 3466690378 click.atdmt.com O1 - Hosts: 3466690378 leader.linkexchange.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {923DBF48-60A9-11D9-9821-0090C6D10F72} - C:\WINDOWS\SYSTEM\PIONLNC.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [Windows Shell Library Loader] checking shell32.dll /c /set O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - HKCU\..\Run: [AIM] C:\PROGRAMME\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted IP range: 209.8.20.130 O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylomgames.com/activex...amesplayer.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net O18 - Filter: text/html - {923DBF47-60A9-11D9-9821-0090B74E9B00} - C:\WINDOWS\SYSTEM\PIONLNC.DLL O18 - Filter: text/plain - {923DBF47-60A9-11D9-9821-0090B74E9B00} - C:\WINDOWS\SYSTEM\PIONLNC.DLL |
|
22.02.2005, 21:42
| #2 |
 | Logfile/Auswertung Hallo,
__________________führe bitte dies mal aus: 1. Downloade Dir escan und befolge diese Anleitung (dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
|
23.02.2005, 17:41
| #3 |
| | Logfile/Auswertung So habe nun wie geraten alles gemacht ... ich hoffe das wars das was gewünscht war...
__________________mfg Cisco Wed Feb 23 17:14:47 2005 => File C:\WINDOWS\SYSTEM\PIONLNC.DLL infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Wed Feb 23 17:14:53 2005 => File C:\WINDOWS\SYSTEM\checking.exe infected by "Trojan.Win32.StartPage.pm" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:07 2005 => File C:\WINDOWS\NOTEPAD.EXE infected by "Trojan.Win32.Favadd.h" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:21 2005 => File C:\WINDOWS\dosmode.com infected by "Trojan-Dropper.DOS.Rute" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:22 2005 => File C:\WINDOWS\in.exe infected by "Trojan.Win32.Favadd.h" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:22 2005 => File C:\WINDOWS\loadnew.exe infected by "Trojan-Downloader.Win32.Small.yx" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:22 2005 => File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:23 2005 => File C:\WINDOWS\hosts.20050107-025138.backup infected by "Trojan.Win32.Qhost.af" Virus. Action Taken: No Action Taken. Wed Feb 23 17:15:36 2005 => File C:\WINDOWS\SYSTEM\szrec32.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken. Wed Feb 23 17:16:33 2005 => File C:\WINDOWS\SYSTEM\f98er24s8u.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken. Wed Feb 23 17:16:58 2005 => File C:\WINDOWS\SYSTEM\myin.hta infected by "Trojan.VBS.Seeker.d" Virus. Action Taken: No Action Taken. Wed Feb 23 17:17:07 2005 => File C:\WINDOWS\SYSTEM\szrec.dll infected by "Trojan-Clicker.Win32.Agent.au" Virus. Action Taken: No Action Taken. Wed Feb 23 17:17:26 2005 => File C:\WINDOWS\TEMP\sp.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Wed Feb 23 17:18:13 2005 => File C:\WINDOWS\TEMP\xwxload.exe infected by "Trojan-Downloader.Win32.Small.fo" Virus. Action Taken: No Action Taken. Wed Feb 23 17:18:13 2005 => File C:\WINDOWS\TEMP\msldf.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken. Wed Feb 23 17:18:22 2005 => Total Files Scanned: 2472 Wed Feb 23 17:18:22 2005 => Total Virus(es) Found: 15 Wed Feb 23 17:18:22 2005 => Total Disinfected Files: 0 Wed Feb 23 17:18:22 2005 => Total Files Renamed: 0 Wed Feb 23 17:18:22 2005 => Total Deleted Files: 0 Wed Feb 23 17:18:22 2005 => Total Errors: 0 Wed Feb 23 17:18:22 2005 => Time Elapsed: 00:03:46 Wed Feb 23 17:18:22 2005 => Virus Database Date: 2005/02/14 Wed Feb 23 17:18:22 2005 => Virus Database Count: 118236 Wed Feb 23 17:18:22 2005 => Scan Completed. Wed Feb 23 17:18:44 2005 => Virus Database Date: 2005/02/14 Wed Feb 23 17:18:44 2005 => Virus Database Count: 118236 Wed Feb 23 17:18:48 2005 => AV Library Unloaded (3)... |
|
23.02.2005, 19:41
| #4 | |
| | Logfile/Auswertung Hallo Cisco, Zitat:
Hast Du "All Local Drives" und "Scan all Files" als Optionen gewählt? Falls nein, wiederhole den Escan nochmals im abgeischerten Modus (so wie in der Anleitung beschrieben. dartus |
|
23.02.2005, 19:48
| #5 |
| | Logfile/Auswertung ja hab ich gemacht... scann all Files...im abgesicherten modus... |
|
23.02.2005, 19:51
| #6 | |
  | Logfile/Auswertung @dartus Zitat:
 .@Cisco Bitte gehe der Anleitung nach: http://www.trojaner-board.com/showthread.php?t=12154 |
|
23.02.2005, 20:02
| #7 |
| | Logfile/Auswertung öhm ja...  sorry aber ich hab da null ahnung vom plattmachen... |
|
23.02.2005, 20:03
| #8 | |
| | Logfile/Auswertung @Cisco Zitat:
|
|
23.02.2005, 20:35
| #9 |
| | Logfile/Auswertung Sorry...aber ich habe 0-zero-nada-garkeine-überhauptkeine ahnung von sowas...bin froh wenn ich den rechner anbekomme... da kannste net von mir verlangen das ich mich da alleine ranmache... (nein ich kenn keinen der da sone richtige ahnung hat) |
|
24.02.2005, 16:17
| #10 |
| | Logfile/Auswertung und wie gehts nun weiter... bitte helft mir... mfg Cisco |
|
24.02.2005, 18:02
| #11 |
 | Logfile/Auswertung Eine Neuinstallation ist weder Hexerei noch ein Buch mit 7 Siegeln. Alles was Du brauchst ist eine WinXP CD die verlinkte Anleitung und ein wenig Zeit...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
24.02.2005, 23:25
| #12 |
| | Logfile/Auswertung also kann/will mir keiner weiterhelfen  denn die verlinkte anleitung ist für mich ein buch mit 7 siegeln ...  |
|
24.02.2005, 23:34
| #13 |
 | Logfile/Auswertung doch wenn dir keiner helfen wollte hätte dir lutz nicht gerade eben geschrieben. naja für die meisten hier isses eben einfach. diese Installationsanleitung sollte dir weiterhelfen können. |
|
| Themen zu Logfile/Auswertung |
| alcatel, bho, components, dateien, diagnostics, explorer, firefox, hijack, hijackthis, ics, internet, internet explorer, log, messenger, microsoft, mozilla, mozilla firefox, msn messenger, noob, nvcpl.dll, problem, programme, registry, rundll, rundll32.exe, shell32.dll, software, system, temp, usb, windows, windows\temp |
Linear-Darstellung
