Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Überprüfung des HJT Log-Files

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 29.12.2005, 22:11   #1
dartus
 
Überprüfung des HJT Log-Files - Standard

Überprüfung des HJT Log-Files



Hallo

Tolle Seite, hab aber ein Problem. Besuchte vor einigen tagen eine verseuchte Seite und seit dem befürchte ich einen Trojaner oder ähnliches. Außerdem löscht sich immer meine cockies seitdem automatisch und ich werde, ob wohl ich keine Internetseite besuche von Viren angegriffen.
Danke im Voraus



Logfile of HijackThis v1.99.1
Scan saved at 22:05:47, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\BitComet\BitComet.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Zakaria\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Programme\ChrisTV\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3DAE000-D418-4C4F-BCAF-074970A0AC5D}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Anm.
---------------------
Das nächste Mal bitte sinnvollere Titel verwenden und auch auf die unnötige Vervielfältigung von Buchstaben verzichten.

Gruß Cidre
S-Mod TB

[edit]
links entfernt
[/edit]



Fixe folgenden Eintrag
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
und lasse mal die Datei R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ mal bei
http://virusscan.jotti.org/de/ scannen und poste mal dann das Ergebniss.

Hallo hanes123,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

Lösche manuell folgenden Ordner:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile und berichten

dartus

Hallo

bin mir nicht ganz sicher wie ich in denn abgeschicherten modus komme

bitte hilfe

Beim Booten F8 drücken und das erscheinende Fenster entsprechend auswählen.Dauert dann ein bischen und sieht "komisch" aus ,ist aber so ok.

Hallo

Ich hab das nun so gemacht wie von dartus empfohlen.

Nach dem neustart erhielt ich eine fehlermeldund:

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" konnte nicht gefunden.

Das ist ja normal da ich es gelöscht habe, aber hat das keine nachfolgen.

Hier noch mal mein neues logfile

Logfile of HijackThis v1.99.1
...
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Hallo

Tolle Seite, hab aber ein Problem. Besuchte vor einigen tagen eine verseuchte Seite und seit dem befürchte ich einen Trojaner oder ähnliches. Außerdem löscht sich immer meine cockies seitdem automatisch und ich werde, ob wohl ich keine Internetseite besuche von Viren angegriffen.
Danke im Voraus



Logfile of HijackThis v1.99.1
Scan saved at 22:05:47, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\BitComet\BitComet.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Zakaria\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Programme\ChrisTV\ChrisTV_Agent.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3DAE000-D418-4C4F-BCAF-074970A0AC5D}: NameServer = 212.7.148.65 212.7.148.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe


29.12.2005, 22:26 #2
Weißnicht



Registriert seit: 18.12.2005
Beiträge: 21 AW: HILLLLLFFFFEEE. Ich bitte um ihre hilfe bei meinem Problem

--------------------------------------------------------------------------------

Fixe folgenden Eintrag
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
und lasse mal die Datei R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ mal bei
http://virusscan.jotti.org/de/ scannen und poste mal dann das Ergebniss.


Weißnicht
Öffentliches Profil ansehen
Eine Private Nachricht an Weißnicht schicken
Mehr Beiträge von Weißnicht finden
Weißnicht Ihrer Buddy-Liste hinzufügen

29.12.2005, 22:42 #3
dartus



Registriert seit: 02.01.2005
Beiträge: 2.196
AW: HILLLLLFFFFEEE. Ich bitte um ihre hilfe bei meinem Problem

--------------------------------------------------------------------------------

Hallo hanes123,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

Lösche manuell folgenden Ordner:
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

Neustart -> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile und berichten

dartus
__________________
Kein Support per PN


dartus
Öffentliches Profil ansehen
Eine Private Nachricht an dartus schicken
Mehr Beiträge von dartus finden
dartus Ihrer Buddy-Liste hinzufügen

29.12.2005, 22:52 #4
hanes123




--------------------------------------------------------------------------------

Hallo

Ich hab das nun so gemacht wie von dartus empfohlen.

Nach dem neustart erhielt ich eine fehlermeldund:

C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" konnte nicht gefunden.

Das ist ja normal da ich es gelöscht habe, aber hat das keine nachfolgen.

Hallo hanes123,

bleib bitte zukünftig in Deinem ursprünglichen Thread.

Hast Du diesen Eintrag gefixt:
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"

dartus

Hallo

wenn du mit gefixt gelöscht meinst denn ja, aber wenn du mit gefixt was anderes meinst dann nicht.

Alt 01.01.2006, 11:16   #2
GUA
entlassen
 
Überprüfung des HJT Log-Files - Standard

Überprüfung des HJT Log-Files



sorry, beiträge von hannes123 nicht wirklich richtig zusammengeführt

GUA
__________________


Antwort

Themen zu Überprüfung des HJT Log-Files
1.exe, abgesicherten modus, adobe, antivir, bho, black, booten, computer, dateien, desktop, einstellungen, explorer, hijack, hijackthis, icq, internet explorer, messenger, microsoft, ordner, programme, software, system, systemwiederherstellung, trojaner, tuneup utilities, viren, windows, windows xp




Ähnliche Themen: Überprüfung des HJT Log-Files


  1. RAT Überprüfung
    Antiviren-, Firewall- und andere Schutzprogramme - 20.02.2015 (8)
  2. Log Files Beurteilung: insb. Vorgehen bei Meldung in Log Files "Files to move or delete:..."
    Log-Analyse und Auswertung - 20.05.2014 (15)
  3. Überprüfung
    Log-Analyse und Auswertung - 07.10.2013 (13)
  4. O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSetting
    Mülltonne - 02.07.2012 (0)
  5. überprüfung
    Log-Analyse und Auswertung - 14.11.2011 (11)
  6. HJT-Log zur Überprüfung
    Log-Analyse und Auswertung - 25.04.2010 (2)
  7. C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
    Log-Analyse und Auswertung - 31.05.2009 (1)
  8. zur Überprüfung
    Mülltonne - 12.10.2008 (0)
  9. Swizzor.A ?? Bitte um Überprüfung des Log-Files
    Log-Analyse und Auswertung - 06.06.2007 (4)
  10. Bitte um Überprüfung des Log Files :-)
    Log-Analyse und Auswertung - 12.01.2007 (5)
  11. Überprüfung
    Log-Analyse und Auswertung - 23.11.2006 (1)
  12. Zur Überprüfung
    Log-Analyse und Auswertung - 22.08.2006 (2)
  13. Überprüfung
    Log-Analyse und Auswertung - 03.01.2006 (10)
  14. Log-Überprüfung
    Log-Analyse und Auswertung - 28.12.2005 (1)
  15. überprüfung
    Plagegeister aller Art und deren Bekämpfung - 27.11.2005 (2)
  16. Bitte um Überprüfung meiner HiJackThis Log-files...Vielen Dank
    Log-Analyse und Auswertung - 24.06.2005 (4)
  17. Bitte um Überprüfung meines Log-Files
    Log-Analyse und Auswertung - 03.08.2004 (2)

Zum Thema Überprüfung des HJT Log-Files - Hallo Tolle Seite, hab aber ein Problem. Besuchte vor einigen tagen eine verseuchte Seite und seit dem befürchte ich einen Trojaner oder ähnliches. Außerdem löscht sich immer meine cockies seitdem - Überprüfung des HJT Log-Files...
Archiv
Du betrachtest: Überprüfung des HJT Log-Files auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.