| |
| |||||||
Log-Analyse und Auswertung: HiJackThis Log-File - wie jetzt weiter?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
03.11.2005, 09:49
| #1 |
| |  HiJackThis Log-File - wie jetzt weiter? Nach längeren frustrierenden Versuchen diverse Eindringlinge aus dem System zu vertreiben - AVG Free meldet wahlweise ein Trojan horse IRC/BackDoor.seBot.MYC oder aber (trotz Erkennung, Löschens oder Verschieben) leicht verändert Trojan horse IRC/BackDoor.sdBot.KCG - hier nun mein HijackThis Log-File: Logfile of HijackThis v1.99.1 Scan saved at 09:22:02, on 03.11.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\HanseNet\Alice\app\TangoService.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\sistray.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe C:\WINNT\system32\internat.exe C:\PROGRA~2\HanseNet\Alice\app\TangoManager.exe C:\Programme\Sicherheit\hijackthis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?linkID=24461 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SiS Tray] C:\WINNT\System32\sistray.EXE O4 - HKLM\..\Run: [TangoManager] C:\PROGRA~2\HanseNet\Alice\app\TANGOM~1.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~2\SICHER~2\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129912722562 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{728F4930-CE99-47D2-A4CF-D1DE66996267}: NameServer = 213.191.74.11 213.191.92.82 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~2\SICHER~2\AVGFRE~1\avgemc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINNT\system32\winjava.exe (file missing) O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\HanseNet\Alice\app\TangoService.exe Was sehen und sagen die Experten? Besten Dank! Girolamo |
|
03.11.2005, 10:45
| #2 | |
   | HiJackThis Log-File - wie jetzt weiter? Servus, girolamo!
__________________Zitat:
Um eine zweite Meinung zu haben lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! bis dann, stupormundi
__________________ |
|
03.11.2005, 10:55
| #3 |
| | HiJackThis Log-File - wie jetzt weiter? Vielen Dank für die Hinweise, stupormundi! - heute abend
__________________werde ich hoffentlich erste Ergebnisse posten können ... Beste Grüße von einem etwas beruhigten Girolamo |
|
03.11.2005, 11:30
| #4 |
 | HiJackThis Log-File - wie jetzt weiter? Hallo Girolamo, leider muss ich Dich beunruhigen, deswegen: http://www.sophos.de/virusinfo/analy...2codbotaa.html IMHO ist da eine Neuinstallation anzuraten: http://www.trojaner-board.de/showthread.php?t=12154 dartus
__________________ Kein Support per PN |
|
03.11.2005, 11:36
| #5 | |
| | HiJackThis Log-File - wie jetzt weiter? @servus dartus - alles Gute! @girolamo: Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
03.11.2005, 11:52
| #6 | |
| | HiJackThis Log-File - wie jetzt weiter?Zitat:
sollen?) schrieb ich, weil ich zumindest Hinweise zu einer etwaigen Säuberung des Systems erhalten habe. Von Freude kann in der Tat nicht die Rede sein ... Wie gesagt, mehr (von escan & Co.) heute abend. Grüße, Girolamo |
|
04.11.2005, 11:35
| #7 |
| | HiJackThis Log-File - wie jetzt weiter? Etwas später als ursprünglich vorgesehen... Hier nun die Auswertung des escan-Logs mit find.bat - streng nach Anleitung: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 10:29:02 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 04 10:30:51 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken. Fri Nov 04 10:31:33 2005 => File C:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. Fri Nov 04 10:32:42 2005 => File C:\WINNT\system32\TFTP420 infected by "Backdoor.Win32.Rbot.ahn" Virus! Action Taken: No Action Taken. Fri Nov 04 11:01:47 2005 => File C:\WINNT\system32\i infected by "Trojan-Downloader.BAT.Ftp.ab" Virus! Action Taken: No Action Taken. Fri Nov 04 11:03:18 2005 => File C:\WINNT\system32\TFTP420 infected by "Backdoor.Win32.Rbot.ahn" Virus! Action Taken: No Action Taken. Fri Nov 04 11:03:47 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 10:29:02 2005 => Offending file found: C:\DOKUME~1\**\LOKALE~1\Temp\insthelp.dll Fri Nov 04 10:30:51 2005 => Offending file found: C:\Dokumente und Einstellungen\**\Lokale Einstellungen\temp\insthelp.dll ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Fri Nov 04 11:03:47 2005 => Total Virus(es) Found: 6 Fri Nov 04 11:03:47 2005 => Total Errors: 27 Fri Nov 04 11:03:47 2005 => Time Elapsed: 00:34:40 Fri Nov 04 11:03:47 2005 => Total Objects Scanned: 37093 Fri Nov 04 10:27:42 2005 => Virus Database Date: 2005/11/04 Fri Nov 04 11:03:47 2005 => Virus Database Date: 2005/11/04 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wie muß ich jetzt weiter vorgehen bzw. welche Möglichkeiten gibt es neben einem Neuaufsetzen des Systems? Vielen Dank, Girolamo |
|
04.11.2005, 11:44
| #8 | |||
| | HiJackThis Log-File - wie jetzt weiter? Servus, Girolamo! Leider hat sich der Verdacht bestätigt: Zitat:
Zitat:
Zitat:
 Aber das ist jetzt nebensächlich! Bei diesem Fund - wie Dir dartus ja auch schon gepostet hat - hilft nur mehr http://www.trojaner-board.de/showthread.php?t=12154 Alles andere ist Makkulatur. Lies´ Dir die von Cidre geposteten links zum Thema Backdoor durch, dann erübrigen sich weiter Fragen nach anderen sinnvollen Möglichkeiten Alles Gute, stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
| Themen zu HiJackThis Log-File - wie jetzt weiter? |
| adobe, alert, avg, avg free, bho, diverse, dll, e-mail, explorer, hijack, hijackthis, hijackthis log-file, internet, internet explorer, log-file, microsoft, pdf, programme, rundll, sicherheit, software, system, system32, trojan, trojan horse, windows |
Linear-Darstellung
