| |
| |||||||
Log-Analyse und Auswertung: Bitte mal HiJackThis Files checkenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.01.2006, 08:27
| #1 |
| |  Bitte mal HiJackThis Files checken Bitte da mal drüber gucken...seit gestern macht mein rechner recht seltsame dinge......danke ;-) Logfile of HijackThis v1.99.1 Scan saved at 08:01:34, on 10.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\wdfmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Washer\washer.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Programme\XoftSpy\XoftSpy.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\downloads\HijackThis1991.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Washer] C:\Program Files\Washer\washer.exe /0 O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - HKCU\..\RunServicesOnce: [washindex] C:\Program Files\Washer\washidx.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1124.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129325344625 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{714CF4F5-1B45-438C-8273-6D6AA5730867}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
|
10.01.2006, 08:37
| #2 |
  | Bitte mal HiJackThis Files checken hallo,
__________________dein logfile scheint sauber zu sein. du solltest nur so schnell es geht dein systema auf SP 2updaten damit es auch sauber bleibt. welche probleme hast du denn??
__________________ |
|
10.01.2006, 08:39
| #3 |
| | Bitte mal HiJackThis Files checken Hi,
__________________welche seltsamen Sachen macht Dein Rechner denn so? Das Logfile ist jedenfalls sauber. SP 2 fehlt!!! cacatoa
__________________ |
|
10.01.2006, 14:20
| #4 |
 | Bitte mal HiJackThis Files checken hm hab zwar nicht so die ahnung aber ich finde es bissel seltsam das die automatische auswertung seines logs (http://www.hijackthis.de) C:\downloads\HijackThis1991.exe als unbekannten prozess deklariert? normalerweise erkennt die auswertung doch das programm oder net? auserdem gibt es da noch viele einträge die zwar als gut deklariert sind, hijackthis.de aber darauf hinweist das man die dortigen einstellung näher untersuchen sollte z.B. O17 - HKLM\System\CCS\Services\Tcpip\..\{714CF4F5-1B45-438C-8273-6D6AA5730867}: NameServer = 62.104.191.241 62.104.196.134 Gut Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). kann natürlich sein das ich in meiner unwisseneheit die dortigen einträge missverstanden habe wenn ja würde ich mich über eine aufklärung freuen meinetwegen auch per pn oder neuem treat. thx
__________________ Gruß Princ_of_Galaxy |
|
10.01.2006, 14:40
| #5 |
| | Bitte mal HiJackThis Files checken Hi @ Princ_of_Galaxy, er hat halt HJT in "downloads" gepackt und nicht in einen eigenen Ordner unter "Programme". Deshalb erkennt ihn die Auswertung als nicht richtig. Er sollte es deshalb in einen eigenen Ordner stecken, weil sonst keine updates möglich sind. Und dann: Wieso sollte er seinen Provider (freenet) abschießen? (62.104.191.241) Hoffe, geholfen zu haben...  cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
10.01.2006, 14:51
| #6 |
 | Bitte mal HiJackThis Files checken Hallo Prince, zum selber probieren.... Ich nehme an XP-System ? dann >start>ausführen=gib ein cmd ins Fenster schreibst du tracert machst ein Leerzeichen und gibst die Name Server Adresse ein gefolgt von enter. Na,Provider gesehen ? Irrlicht |
|
10.01.2006, 16:11
| #7 |
| | Bitte mal HiJackThis Files checken als erstmal danke für eure mühe. der rechner fing gestern an rumzuspinnen. schaltete immerzu t-online ab und in einem immer gleichwährenden intervall hängt er sich für ein paar sekunden auf...dann waren alle laufwerke usw. verschwunden. beim neustart lies er sich dann nicht mehr hochfahren. wenn er nun hochfährt, dauert es ewigkeiten bis überhaupt noch was passiert. alle anwendungen gingen, bloß schaltete sich internet ab (verbindung wurde unterbrochen). einwahl geht dann direkt, nur wenn man was runterladen will ,wird es unterbrochen. habe dann hijack this gemacht, und da 2 sachen gefunden und gefixed (rk.exe-boot und http://us1.ying.com/us.ying.com/i/msgr/yauto_remove.cab) und nen trojaner entdeckt (trojan glaslide.b). den habe ich dann mit diesem trojaner remover entfernt (hoffe ich ). gruß lucy |
|
10.01.2006, 16:29
| #8 |
| | Bitte mal HiJackThis Files checken Hi, die rk.exe war in deinem ersten HJT-Logfile nicht drin. Was war zwischenzeitlich? Ich rate Dir, mal einen eScan genau nach Anleitung durchzuführen und das Ergebnis zu posten. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
|
| Themen zu Bitte mal HiJackThis Files checken |
| adobe, antivirus, bho, browser, checken, dateien, excel, explorer, hijack, hijackthis, icq, internet, internet explorer, microsoft, monitor, nvidia, pc tools spyware doctor, programme, rundll, software, spyware, symantec, system, t-online, windows, windows xp, yahoo |
Linear-Darstellung
