|
Log-Analyse und Auswertung: Überprüfung des HJT Log-FilesWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.12.2005, 22:11 | #1 |
| Überprüfung des HJT Log-Files Hallo Tolle Seite, hab aber ein Problem. Besuchte vor einigen tagen eine verseuchte Seite und seit dem befürchte ich einen Trojaner oder ähnliches. Außerdem löscht sich immer meine cockies seitdem automatisch und ich werde, ob wohl ich keine Internetseite besuche von Viren angegriffen. Danke im Voraus Logfile of HijackThis v1.99.1 Scan saved at 22:05:47, on 29.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\BitComet\BitComet.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Zakaria\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Programme\ChrisTV\ChrisTV_Agent.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O17 - HKLM\System\CCS\Services\Tcpip\..\{E3DAE000-D418-4C4F-BCAF-074970A0AC5D}: NameServer = 212.7.148.65 212.7.148.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe Anm. --------------------- Das nächste Mal bitte sinnvollere Titel verwenden und auch auf die unnötige Vervielfältigung von Buchstaben verzichten. Gruß Cidre S-Mod TB [edit] links entfernt [/edit] Fixe folgenden Eintrag O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" und lasse mal die Datei R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ mal bei http://virusscan.jotti.org/de/ scannen und poste mal dann das Ergebniss. Hallo hanes123, wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" Lösche manuell folgenden Ordner: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders Neustart -> Systemwiederherstellung kann wieder aktiviert werden Neues Logfile und berichten dartus Hallo bin mir nicht ganz sicher wie ich in denn abgeschicherten modus komme bitte hilfe Beim Booten F8 drücken und das erscheinende Fenster entsprechend auswählen.Dauert dann ein bischen und sieht "komisch" aus ,ist aber so ok. Hallo Ich hab das nun so gemacht wie von dartus empfohlen. Nach dem neustart erhielt ich eine fehlermeldund: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" konnte nicht gefunden. Das ist ja normal da ich es gelöscht habe, aber hat das keine nachfolgen. Hier noch mal mein neues logfile Logfile of HijackThis v1.99.1 ... [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpost.php?p=171957&postcount=1 danke GUA [/edit] Hallo Tolle Seite, hab aber ein Problem. Besuchte vor einigen tagen eine verseuchte Seite und seit dem befürchte ich einen Trojaner oder ähnliches. Außerdem löscht sich immer meine cockies seitdem automatisch und ich werde, ob wohl ich keine Internetseite besuche von Viren angegriffen. Danke im Voraus Logfile of HijackThis v1.99.1 Scan saved at 22:05:47, on 29.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\BitComet\BitComet.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Zakaria\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ChrisTV Agent] "C:\Programme\ChrisTV\ChrisTV_Agent.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.ex e O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O17 - HKLM\System\CCS\Services\Tcpip\..\{E3DAE000-D418-4C4F-BCAF-074970A0AC5D}: NameServer = 212.7.148.65 212.7.148.97 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe 29.12.2005, 22:26 #2 Weißnicht Registriert seit: 18.12.2005 Beiträge: 21 AW: HILLLLLFFFFEEE. Ich bitte um ihre hilfe bei meinem Problem -------------------------------------------------------------------------------- Fixe folgenden Eintrag O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" und lasse mal die Datei R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.versatel.de/internet-cd/ mal bei http://virusscan.jotti.org/de/ scannen und poste mal dann das Ergebniss. Weißnicht Öffentliches Profil ansehen Eine Private Nachricht an Weißnicht schicken Mehr Beiträge von Weißnicht finden Weißnicht Ihrer Buddy-Liste hinzufügen 29.12.2005, 22:42 #3 dartus Registriert seit: 02.01.2005 Beiträge: 2.196 AW: HILLLLLFFFFEEE. Ich bitte um ihre hilfe bei meinem Problem -------------------------------------------------------------------------------- Hallo hanes123, wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken): F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" Lösche manuell folgenden Ordner: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders Neustart -> Systemwiederherstellung kann wieder aktiviert werden Neues Logfile und berichten dartus __________________ Kein Support per PN dartus Öffentliches Profil ansehen Eine Private Nachricht an dartus schicken Mehr Beiträge von dartus finden dartus Ihrer Buddy-Liste hinzufügen 29.12.2005, 22:52 #4 hanes123 -------------------------------------------------------------------------------- Hallo Ich hab das nun so gemacht wie von dartus empfohlen. Nach dem neustart erhielt ich eine fehlermeldund: C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" konnte nicht gefunden. Das ist ja normal da ich es gelöscht habe, aber hat das keine nachfolgen. Hallo hanes123, bleib bitte zukünftig in Deinem ursprünglichen Thread. Hast Du diesen Eintrag gefixt: O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe" dartus Hallo wenn du mit gefixt gelöscht meinst denn ja, aber wenn du mit gefixt was anderes meinst dann nicht. |
01.01.2006, 11:16 | #2 |
entlassen | Überprüfung des HJT Log-Files sorry, beiträge von hannes123 nicht wirklich richtig zusammengeführt
__________________GUA |
Themen zu Überprüfung des HJT Log-Files |
1.exe, abgesicherten modus, adobe, antivir, bho, black, booten, computer, dateien, desktop, einstellungen, explorer, hijack, hijackthis, icq, internet explorer, messenger, microsoft, ordner, programme, software, system, systemwiederherstellung, trojaner, tuneup utilities, viren, windows, windows xp |