|
Log-Analyse und Auswertung: Log File HiJackThis (Dialer)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.10.2005, 09:32 | #1 |
| Log File HiJackThis (Dialer) Hi Leute, ich hab euch hier mal ein Log File gepostet, wäre schön wenn ihr mir da weiter helfen könntet. Ich habe einen Rechner der sich über ISDN einwählt, dieser Rechner hat in den letzten 3 Tagen Einwahlkosten von 600 Euro verursacht, mir liegt viel daran den Übeltäter zu finden bzw das Geld nicht zahlen zu müssen. Ich bin gerade dabei mir vond er Telekom die genau Nummer zu besorgen. BITTE HELFT MIR!!!! Logfile of HijackThis v1.99.1 Scan saved at 10:20:48, on 12.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\msdtc.exe C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE C:\WINDOWS\system32\vnsystask.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\system32\explorer.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\explorer.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe C:\Programme\Panda Software\Panda Antivirus Platinum\apvxdwin.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\0190 Warner\Warn0190.exe C:\Programme\Messenger\msmsgs.exe D:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe" O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe" O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\vnsystask.exe" -servicehelper O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe" O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127207107296 O17 - HKLM\System\CCS\Services\Tcpip\..\{F52CEC07-5531-428F-8588-428AAFE1E0F4}: NameServer = 192.168.100.250 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: systask - Unknown owner - C:\WINDOWS\system32\vnsystask.exe" -service (file missing) O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing) |
12.10.2005, 09:45 | #2 |
| Log File HiJackThis (Dialer) Hallo,
__________________beende mal folgenden Prozess im Taskmanager: C:\WINDOWS\system32\vnsystask.exe und überprüfe zusätzlich folgende Datei (falls vorhanden) ( Dateien suchen ): C:\WINDOWS\system32\explorer.exe hier und poste das Ergebnis. Auf keinen Fall irgendwelche Dateien löschen! Und lies dich mal hier in die Links bei "Was tun im Schadfall" ein. Grüße Wildone |
12.10.2005, 09:49 | #3 |
| Log File HiJackThis (Dialer) Servus, bit-center!
__________________Lass´ mal diese Dateien bla, bla, bla... Wildone war schneller gts, stupormundi |
12.10.2005, 11:36 | #4 |
| Log File HiJackThis (Dialer) hier der auszug aus dem internetscanner! Auslastung: 0% 100% Datei: explorer.exe Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: UPX AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Zuletzt gefundene Malware war newdotnet6_90.dll, gefunden von: Scanner Name der Malware AntiVir X ArcaVir X Avast X AVG Antivirus X BitDefender X ClamAV X Dr.Web Adware.NewDotNet F-Prot Antivirus X Fortinet X Kaspersky Anti-Virus X NOD32 X Norman Virus Control X UNA X VBA32 X und was jetzt? |
12.10.2005, 11:39 | #5 |
| Log File HiJackThis (Dialer) Was ist mit der anderen Datei (-prüfung)? stupormundi |
12.10.2005, 11:43 | #6 |
| Log File HiJackThis (Dialer) meinst du die vnsystask ? hier: Auslastung: 0% 100% Datei: vnsystask.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Program.RemoteAdmin gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Keine Viren gefunden Zuletzt gefundene Malware war autobuff.rar, gefunden von: Scanner Name der Malware AntiVir X ArcaVir Trojan.Clicker.Small.Ht Avast X AVG Antivirus X BitDefender Trojan.Clicker.Small.BT ClamAV X Dr.Web X F-Prot Antivirus X Fortinet X Kaspersky Anti-Virus X NOD32 X Norman Virus Control X UNA TrojanClicker.Win32.Small VBA32 X |
12.10.2005, 11:55 | #7 |
| Log File HiJackThis (Dialer) Lass´mal silentrunner laufen http://www.silentrunners.org/ Mal sehen, die Ergebnisse sind ja bisher nicht sehr aussagekräftig! Und was die Telekomnummer angeht, die wirst Du auf jeden Fall brauchen! Schau´ Dir mal wildone´s link dazu an! bis dann, stupormundi |
12.10.2005, 11:57 | #8 |
| Log File HiJackThis (Dialer) Hallo, hast du eigentlich das Programm WinVNC absichtlich installiert? Da das ein Programm zur Fernsteuerung des Rechners ist bin ich da etwas mißtrauisch. Aber die C:\WINDOWS\system32\explorer.exe macht mich irgendwie noch mehr stutzig, packe mal die Datei in ein Passwortgeschütztes Archiv, und schicke es mit dem Passwort an newvirus@kaspersky.com . Hast du eigentlich schon irgendwas entfernt, z.B. mit Panda, oder anderen Tools? Grüße Wildone |
12.10.2005, 12:09 | #9 |
| Log File HiJackThis (Dialer) ok, werde die Datei gleich mal packen, entfernt habe ich nichts, panda ist am freitag noch gelaufen und war heute dann deaktiviert. löscht silentrunner etwas oder zeigt das auch nur gefahren an? |
12.10.2005, 12:10 | #10 |
| Log File HiJackThis (Dialer) Nein, löscht nix, zeigt nur an! Was ist iÜ mit diesem Remote Admin, hast Du den selber wissentlich installiert oder nicht? stupormundi |
12.10.2005, 12:19 | #11 |
| Log File HiJackThis (Dialer) Hallo, ach bevor ich es vergesse, du schickst am besten nur eine Kopie, damit das Orginal bei dir bleibt. Grüße Wildone |
12.10.2005, 12:25 | #12 |
| Log File HiJackThis (Dialer) also, den vnc service hab ich installiert, da der rechner nicht bei mir steht, sondern ein kunden rechner ist, den ich über einwahl warte! |
12.10.2005, 12:29 | #13 |
| Log File HiJackThis (Dialer) kann das sein das silentrunners geld kostet? oder wie komm ich zu dem was ihr wollt? ok, die email ist jetzt auch raus! was nun? Geändert von bit-center (12.10.2005 um 12:41 Uhr) |
12.10.2005, 12:39 | #14 |
| Log File HiJackThis (Dialer) Hallo, zu Silentrunner dann würde ich noch vorschlagen das System zusätzlich mal mit Escan (Anleitung genau beachten!). Die Analyse von Kaspersky wird wahrscheinlich sowieso 1/2 Tage dauern. Aber mich befallen langsam Zweifel ob wir dir überhaupt helfen sollten, immerhin nimmst du wahrscheinlich Geld für die Arbeit die wir machen... Grüße Wildone |
12.10.2005, 12:43 | #15 | |
| Log File HiJackThis (Dialer)Zitat:
Also in diesem Sinne, stupormundi |
Themen zu Log File HiJackThis (Dialer) |
adobe, antivirus, bho, dateien, euro, excel, explorer, file, geld, helfen, hijack, hijackthis, internet, internet explorer, log, log file, messenger, microsoft, mssql, programme, rundll, server, software, system, system32, windows, windows xp |