| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Mein Logfile Hijack ThisWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.05.2005, 16:48
| #1 |
 |  Mein Logfile Hijack This Hallo, hatte heute Vormittag nachfolgenden Logfile gepostet. Wurde hingewiesen, ihn hier auch noch reinzustellen. Problem: Trojan.autoit.E. Hier auch noch mein Text aus dem anderen Posting: "Ich habe mir im Dezember 2004 einen neuen Rechner gekauft und hatte darauf als Anriviren-Software BitDefender Vers. 7 mit eingebauter firewall installiert. BitDefender fand vorgestern in der Datei rmcompt.exe (von eTrust Antivirus, das ich allerdings nicht einsetzte, war aber beim Kauf auf dem Rechner) den Trojaner Trojan.Autoit.E. BitDefender konnte eine Desinfizierung nicht durchführen und hat deshalb die infizierte Datei verschoben. Ich habe die Datei dann manuell gelöscht, BitDefender de-installiert und die neueste Version 6.30 von AntiVir installiert. Hier wurde kein Virus mehr gefunden. Dann habe ich als firewall zonealarm installiert. Bei der Installation wurde die Datei svchost.exe (Generic Host Process for Win32 services) schon als bekannt gemeldet. Ich habe hier den Zugriff gestattet. Nun habe ich folgendes Problem: Wenn ich mich mit firefox anmelde, dann kann die Startseite nicht mehr angezeigt werden. Auch google und yahoo kann ich z. B. nicht mehr aufrufen. Die neueste Version von CWShredder und SpyBot fand keine Malware. Was kann ich jetzt tun?" Das war der Text von heute früh. Könnt Ihr mir helfen? Wäre super dankbar! Billy15 Logfile of HijackThis v1.99.1 Scan saved at 10:05:05, on 01.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINDOWS\system32\winlogon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Heiko\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.marktkauf.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O14 - IERESET.INF: START_PAGE_URL=http://www.marktkauf.de/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094832227000 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005\RpcSandraSrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
01.05.2005, 17:30
| #3 |
| |  Mein Logfile Hijack This @ The Saint: Kenne diese Datei nicht! Werde sie überprüfen und ggf. an "Jotti" übermitteln. Ergebnis gebe ich bekannt!
__________________Danke! |
|
01.05.2005, 21:06
| #4 |
| | Mein Logfile Hijack This So, nun haben wir einiges laufen lassen: Jotti ergab zu genannter Datei: "Eventuell infiziert/Malware (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, das heißt die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht." Hier das Ergebnis des e-scans: Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 01 19:33:40 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun May 01 21:31:31 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 01 21:18:17 2005 => File D:\download\MSOffice97 Neue Rechtschreibung\spdeu9x.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 01 21:31:31 2005 => Total Virus(es) Found: 1 Sun May 01 21:31:31 2005 => Total Errors: 15 Sun May 01 21:31:31 2005 => Time Elapsed: 02:09:51 Sun May 01 21:31:31 2005 => Total Objects Scanned: 49947 Sun May 01 19:20:25 2005 => Virus Database Date: 2005/05/01 Sun May 01 21:31:31 2005 => Virus Database Date: 2005/05/01 Sun May 01 21:49:06 2005 => Virus Database Date: 2005/05/01 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Die neue Rechtschreibung habe ich von der Microsoft Seite heruntergeladen. Was rät man mir nun? Danke und erstmal gute Nacht. Billy15 |
|
| Themen zu Mein Logfile Hijack This |
| adobe, antivir update, antivirus, aufrufe, bho, computer, defender, explorer, firefox, generic host, generic host process, google, helfen, hijack, hijack this, hijackthis, infizierte, infizierte datei, installation, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, problem, super, svchost.exe, system, temp, trojaner, windows, windows xp |
Linear-Darstellung
