|
Log-Analyse und Auswertung: HJ-Log von 2 versch. XP - Installationen auf 2 PlattenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.06.2005, 16:05 | #1 |
| Log: 2 xp - installationen (1 IDE / 1 SATA) -> auf SATA anscheinend trojaner vorhande Hi! Ich habe gestern auf meiner SATA-Platte Erstinstallation von XP gemacht. Auf meiner andere IDE-Platte ist es bereits vorhanden, von dieser aus arbeite ich auch gerade. Nach ungefähr 15minuten im 2. XP (das neue) und ähnlich wenigen im Internet zuerst das mir bereits bekannte (von früher, bereits behoben damals) "ihr Computer wird in 60 Sekunden heruntergefahren" Okay, alles klar, ran an die Bulletten, doch nach der Entfernung davon wurde es noch besser: - Bluescreen bei klicken auf die neue Festplatte im Arbeitsplatz (nur wenn das neue XP aktiv ist) - phqg.exe aktiv (grad mal 5 google-Einträge) -> noch nicht bezwungen - hwhour.exe oder sowas war aktiv -> bereits bezwungen (auch wirklich?) Nun ja, hier mal das erste Logfile, das von der alten XP-installation auf der IDE-Platte Logfile of HijackThis v1.99.1 Scan saved at 17:06:53, on 29.06.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\FSI\F-Prot\F-Sched.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Cherry\CDI\CDI.exe C:\Programme\FSI\F-Prot\fpavupdm.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\ArcorOnline\Arcor.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\FSI\F-Prot\F-StopW.exe C:\Programme\FSI\F-Prot\FP-Win.exe C:\Download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [RefreshLock] C:\Software\RefreshLock.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4DDA5151-DBAE-426D-9591-DFCFB391C326}: NameServer = 195.50.140.252 145.253.2.81 O17 - HKLM\System\CS1\Services\Tcpip\..\{4DDA5151-DBAE-426D-9591-DFCFB391C326}: NameServer = 195.50.140.252 145.253.2.81 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Wenn der gute liebe Rechner mich lässt, mach ich auch eines von der SATA-XP aus und schaue ob es Unterschiede gibt. Vielen Dank schon mal vorab! h: edit: Olé, das 2. log, und es sieht eigentlich nach 2 oder 3 so teilen aus? Logfile of HijackThis v1.99.1 Scan saved at 17:28:11, on 29.06.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\System32\dhcpclient.exe F:\WINDOWS\system32\userinit.exe F:\WINDOWS\Explorer.EXE C:\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Software\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [CherryKeyMan] "F:\Programme\Peripherie\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ATIPTA] F:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TerraTec Remote Control] "F:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme\Software\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [VCXD Settings] phqg.EXE O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1119997513264 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - F:\Programme\Peripherie\Cherry\CDI\CDI.exe O23 - Service: Handling the DHCP requests (DHCP Client) - Unknown owner - F:\WINDOWS\System32\dhcpclient.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - F:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINDOWS\system32\ZoneLabs\vsmon.exe Geändert von Guru (29.06.2005 um 16:40 Uhr) Grund: topic. |
29.06.2005, 17:05 | #2 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Ergänzung:
__________________Er schmiert jetzt wirklich JEDES Mal ab, wenn ich in der neuen Xp-installation auf Festplatte C: mit dem alten XP drauf oder F: mit dem neuen zugreifen möchte. Als Lösungen bietet XP alles an (im bluescreen), von zu wenig hdd frei (noch 230gig frei) über grafikkarte tauschen bis hin zu abgesicherter Modus () |
29.06.2005, 17:25 | #3 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Hi Guru
__________________für mich ist das ganze nicht nachzuvollziehen. Wieso brauchst du auf einem Rechner zweimal XP mach beide platten leer und spiele einmal das XP drauf und du hast Ruhe. Du brauchst dir auch keine Gedanken machen Windows XP verwaltet beide Platten Hilfe zum Neuaufsetzen
__________________ |
29.06.2005, 17:49 | #4 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Die IDE-Platte ist die alte. Die SATA die neue. Ich will XP auf der SATA haben, aber keine Daten verlieren / 60GB sichern müssen -> Installation auf SATA und dann alle Daten von der IDE rüberholen. Das ist der Grund, ich will also am ende schon alles auf einer haben, aber ddann kam der trojanerkram dazwischen. |
29.06.2005, 19:26 | #5 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Thema Datensicherung schau Datensicherung |
29.06.2005, 23:37 | #6 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Drücke ich mich so unklar aus? Das mit den 2 XPs dient nur der Situationskontextuierung und hat mit dem Problem, den Trojanern nichts zu tun. Hilfe? |
30.06.2005, 08:17 | #7 |
| HJ-Log von 2 versch. XP - Installationen auf 2 Platten Ich hab nun mal die registry nach dem phqg.exe durchkaemmt und soweit alles gekillt. hwclock.exe ging einfacher weg, hab ich aber bereits erwaehnt. Trotzdem danke, Gruss Tom |
Themen zu HJ-Log von 2 versch. XP - Installationen auf 2 Platten |
adobe, antivirus, bho, bluescree, bluescreen, computer, ctfmon.exe, explorer, festplatte, firefox, hijack, hijackthis, home, icqtoolbar, installation, installation von xp, internet, internet explorer, logfile, monitor, mozilla, mozilla firefox, neue festplatte, programme, remote control, sekunden, software, symantec, system, trojaner, träge, unterschiede, urlsearchhook, windows, windows xp |