| |
| |||||||
Log-Analyse und Auswertung: se.dll auf der spur oder anderer hijacker ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.03.2005, 13:50
| #1 |
| |  se.dll auf der spur oder anderer hijacker ? moinsen, auf anraten von lutz nocheinmal meine logs.... ich kann nichts verdächtiges finden... StartDreck (build 2.1.7 public stable) - 2005-03-09 @ 13:43:40 (GMT +01:00) Platform: Windows XP (Win NT 5.1.2600 Service Pack 2) Internet Explorer: 6.0.2900.2180 Logged in as Administrator at PC »Registry »Run Keys »Current User »Run »RunOnce »Default User »Run »RunOnce »Local Machine »Run *NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup *KAVPersonal50="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize +OptionalComponents +MSFS *Installed=1 +MAPI *Installed=1 *NoChange=1 +MAPI *Installed=1 *NoChange=1 »RunOnce »RunServices »RunServicesOnce »RunOnceEx »RunServicesOnceEx »File Associations (CR) +.bat *batfile="%1" %* +.com *comfile="%1" %* +.exe *exefile="%1" %* +.hta *htafile=C:\WINDOWS\System32\mshta.exe "%1" %* +.htm *htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome +.html *htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome +.js *JSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.jse *JSEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.pif *piffile="%1" %* +.reg *regfile=regedit.exe "%1" +.scr *scrfile="%1" /S +.txt *txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1 +.vbs *VBSFile=%SystemRoot%\System32\WScript.exe "%1" %* +.vbe *VBEFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsh *WSHFile=%SystemRoot%\System32\WScript.exe "%1" %* +.wsf *WSFFile=%SystemRoot%\System32\WScript.exe "%1" %* +.lnk `lnkfile= [key or value does not exist] »Browser Helper Objects (LM) »Files »Autostart Folders »Current User *C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\desktop.ini »Default User *C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini »Local Machine *C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini »INI-Files »WIN.INI\[windows] *LOAD= *RUN= »SYSTEM.INI\[boot] *SHELL=explorer.exe »Text Files *C:\boot.ini *C:\msdos.sys *C:\config.sys *C:\WINDOWS\system32\config.nt *C:\autoexec.bat *C:\WINDOWS\system32\autoexec.nt *C:\WINDOWS\system32\drivers\etc\hosts »System/Drivers »Running Processes +0=<idle> +4=<system> +384=\SystemRoot\System32\smss.exe +432=\??\C:\WINDOWS\system32\csrss.exe +456=\??\C:\WINDOWS\system32\winlogon.exe +512=C:\WINDOWS\system32\services.exe +524=C:\WINDOWS\system32\lsass.exe +700=C:\WINDOWS\system32\svchost.exe +776=C:\WINDOWS\system32\svchost.exe +844=C:\WINDOWS\System32\svchost.exe +912=C:\WINDOWS\System32\svchost.exe +1028=C:\WINDOWS\System32\svchost.exe +1244=C:\WINDOWS\Explorer.EXE +1376=C:\WINDOWS\system32\spoolsv.exe +1480=C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe +1716=C:\WINDOWS\system32\nvsvc32.exe +1776=C:\WINDOWS\System32\svchost.exe +1920=C:\WINDOWS\system32\wdfmgr.exe +652=C:\WINDOWS\System32\alg.exe +2152=C:\WINDOWS\system32\wscntfy.exe +1184=E:\eMule\emule.exe +2908=C:\Programme\Internet Explorer\iexplore.exe +1900=C:\Programme\WinRAR\WinRAR.exe +400=C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.546\StartDreck.exe »NT Services *Gatewaydienst auf Anwendungsebene ALG running on demand *Anwendungsverwaltung AppMgmt - on demand *Windows Audio AudioSrv running auto *Intelligenter Hintergrundübertragungsdienst BITS - on demand *Indexdienst cisvc - disabled *Ablagemappe ClipSrv - disabled *COM+-Systemanwendung COMSysApp - on demand *Kryptografiedienste CryptSvc running auto *DCOM-Server-Prozessstart DcomLaunch running auto *DHCP-Client Dhcp running auto *Verwaltungsdienst für die Verwaltung logischer dmadmin - on demand `Datenträger *Verwaltung logischer Datenträger dmserver running auto *DNS-Client Dnscache running auto *EpsonBidirectionalService EpsonBidirectionalSe running auto *Fehlerberichterstattungsdienst ERSvc running auto *Ereignisprotokoll Eventlog running auto *COM+-Ereignissystem EventSystem running on demand *Kompatibilität für schnelle Benutzerumschaltung FastUserSwitchingCom running on demand *Hilfe und Support helpsvc running auto *Eingabegerätezugang HidServ - disabled *HTTP-SSL HTTPFilter - on demand *IMAPI-CD-Brenn-COM-Dienste ImapiService - on demand *kavsvc kavsvc - auto *TCP/IP-NetBIOS-Hilfsprogramm LmHosts running auto *NetMeeting-Remotedesktop-Freigabe mnmsrvc - on demand *Distributed Transaction Coordinator MSDTC - on demand *Windows Installer MSIServer - on demand *Netzwerk-DDE-Dienst NetDDE - disabled *Netzwerk-DDE-Serverdienst NetDDEdsdm - disabled *Netzwerkverbindungen Netman running on demand *NLA (Network Location Awareness) Nla running on demand *Wechselmedien NtmsSvc - on demand *NVIDIA Display Driver Service NVSvc running auto *Office Source Engine ose - disabled *Plug & Play PlugPlay running auto *IPSEC-Dienste PolicyAgent - auto *Geschützter Speicher ProtectedStorage running auto *Verwaltung für automatische RAS-Verbindung RasAuto - on demand *RAS-Verbindungsverwaltung RasMan - on demand *Sitzungs-Manager für Remotedesktophilfe RDSessMgr - on demand *Routing und RAS RemoteAccess - disabled *Remote-Registrierung RemoteRegistry running auto *Remoteprozeduraufruf (RPC) RpcSs running auto *QoS-RSVP RSVP - on demand *Super Ad Blocker Service SABSVC - disabled *Sicherheitskontenverwaltung SamSs running auto *Smartcard SCardSvr - on demand *Taskplaner Schedule running auto *Sekundäre Anmeldung seclogon running auto *Systemereignisbenachrichtigung SENS running auto *Windows-Firewall/Gemeinsame Nutzung der Interne SharedAccess running auto `tverbindung *Shellhardwareerkennung ShellHWDetection running auto *Druckwarteschlange Spooler running auto *Systemwiederherstellungsdienst srservice - disabled *SSDP-Suchdienst SSDPSRV - disabled *Windows-Bilderfassung (WIA) stisvc running auto *MS Software Shadow Copy Provider SwPrv - on demand *Leistungsdatenprotokolle und Warnungen SysmonLog - on demand *Telefonie TapiSrv - on demand *Terminaldienste TermService running on demand *Designs Themes running auto *Telnet TlntSvr - on demand *Überwachung verteilter Verknüpfungen (Client) TrkWks running auto *Windows User Mode Driver Framework UMWdf running auto *Universeller Plug & Play-Gerätehost upnphost - disabled *Unterbrechungsfreie Stromversorgung UPS - on demand *Volumeschattenkopie VSS - on demand *Windows-Zeitgeber W32Time running auto *WebClient WebClient running auto *Windows-Verwaltungsinstrumentation winmgmt running auto *Dienst für Seriennummern der tragbaren Medien WmdmPmSN - on demand *Treibererweiterungen für Windows-Verwaltungsins Wmi - on demand `trumentation *WMI-Leistungsadapter WmiApSrv - on demand *Sicherheitscenter wscsvc running auto *Automatische Updates wuauserv running auto *Konfigurationsfreie drahtlose Verbindung WZCSVC running auto *Netzwerkversorgungsdienst xmlprov - on demand »Application specific hijack_this_log : Logfile of HijackThis v1.99.1 Scan saved at 13:49:42, on 09.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe E:\eMule\emule.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F0 - system.ini: Shell=Explorer.exe c:\windows\system32\system32 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11 O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe gruss pure_y2k |
|
09.03.2005, 14:02
| #2 |
 | se.dll auf der spur oder anderer hijacker ? Diese beiden solltest Du auch noch mal entfernen :
__________________ O17 - HKLM\System\CCS\Services\Tcpip\..\{A019C02F-3C8E-44FC-B42D-CA21AFE0C829}: NameServer = 145.253.2.11 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE013F9A-9CFA-4431-8764-C78921CF0B83}: NameServer = 145.253.2.11 Gruß Andy
__________________ |
|
09.03.2005, 14:04
| #3 | |
  | se.dll auf der spur oder anderer hijacker ?Zitat:
|
|
09.03.2005, 14:09
| #4 |
| | se.dll auf der spur oder anderer hijacker ?
__________________ Fragen, die die Welt nicht braucht (oder doch ?) Wie setze ich mein System neu auf ? |
|
09.03.2005, 14:14
| #5 | |
| | se.dll auf der spur oder anderer hijacker ?Zitat:
 |
|
09.03.2005, 14:17
| #6 |
| | se.dll auf der spur oder anderer hijacker ? Wir wissen ja beide nicht ob Arcor sein ISP ist, also bleiben wir auf Stand-By in diesem Falle. In dubio pro Reo  Cheers Andy
__________________ --> se.dll auf der spur oder anderer hijacker ? |
|
09.03.2005, 14:54
| #7 |
| | se.dll auf der spur oder anderer hijacker ? jau, 145.253.2.11 ist mein primary arcor dns-server ! gruss pure_y2k |
|
09.03.2005, 15:39
| #8 | ||
  | se.dll auf der spur oder anderer hijacker ? Diese hätten noch heraus gekonnt: Zitat:
 Eine wohl eher unwahrscheinliche Möglichkeit wäre noch die Manipulation der HOSTS-Datei... Zitat:
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
| Themen zu se.dll auf der spur oder anderer hijacker ? |
| .exe, administrator, automatische, awareness, boot, dateien, dll, drivers, einstellungen, explorer, helper, hijacker, hijackthis, iexplore.exe, kaspersky, kompatibilität, konfigurationsfreie, location, microsoft, notepad.exe, nvcpl.dll, nvidia, office, programme, rundll, rundll32.exe, seriennummer, software, super, system, system32, windows, windows xp, windows\system32\drivers, wscript.exe |
Linear-Darstellung
