| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hilfe bei HJT LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
20.03.2006, 13:01
| #1 |
 |  Bitte um Hilfe bei HJT Log Hallo, ich habe mir zum ersten mal seit ich denken kann einen schädling eingefangen und ich bin auch noch selber schuld!  (ja, ich habe einen keygen benutzt!)Ich bekomme von meiner FW nach jedem systemstart die meldung, eine iexplore.exe würde seiten wie w*w.paid2click.com o.ä. anfunken wollen. Diese datei sitzt dabei in immer wechselnden verzeichnissen unter C:\Windows (mal pchealth, mal offline web pages usw.). Im log ist die datei als C:\WINDOWS\Config\IEXPLORE.EXE aufgeführt. Mit unlocker kann ich die datei beim systemstart zwar löschen, aber dann taucht sie auch schon woanders wieder auf. Mit Hilfe von HJT habe ich bereits eine verdächtige datei ldr64.dll gefixt, das hat aber leider nicht geholfen. Es muss also noch irgendwo eine anweisung als skript oder batch vorliegen, die diesem ding sagt, dass es sich in bestimmte verzeichnisse duplizieren soll, aber die finde ich so ohne weiteres nicht... Das system ist nicht merklich langsamer als sonst, allerdings funktioniert F-Secure nicht mehr richtig. Der virus-scanner reagiert nicht mehr auf die anforderungen und auch das symbol in der taskleiste ist verschwunden. Die zugehörigen prozesse sind aber wohl noch aktiv. Also hier mal mein HJT Log - - danke für die hilfe schon mal: ------------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 12:15:09, on 20.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate Personal Firewall\smc.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE C:\Programme\DirectUpdate v4\DUControl.exe C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE C:\Programme\Acronis TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\POP Peeper\POPPeeper.exe C:\Programme\Skype\Skype.exe C:\Programme\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\WINDOWS\Config\IEXPLORE.EXE C:\Programme\DirectUpdate v4\DUEngine.exe C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe C:\Programme\DiskeeperWorkstation\DKService.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe C:\WINDOWS\system32\oodag.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwst.exe C:\Programme\Dantz Retrospect 7.0\retrorun.exe C:\Programme\F-Secure Internet Security\Common\FCH32.EXE C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE C:\Programme\F-Secure Internet Security\FSPC\fspc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programme\Mediafour\MacDrive\MacDrive.exe" /runonce O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe" O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis TrueImage\TrueImageMonitor.exe" O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\Media Center\DMDownload.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{E25AB208-F78B-49B1-9672-E665DCF47DE7}: NameServer = 192.168.1.1 O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\BlackMoon FTP Server\FTPService.exe O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\BlackMoon FTP Server\BMFTPRealTimeStats.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe O23 - Service: DirectUpdate engine (DirectUpdate) - http://w*w.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\DiskeeperWorkstation\DKService.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: Hide Files and Folders (HideFilesAndFolders) - Unknown owner - C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\retrorun.exe O23 - Service: Retrospect Helper - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\rthlpsvc.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe --------------------------------------------------------------------------- Also nochmals 1000 dank schon mal und grüße aus SH Matt Geändert von wackawacka (20.03.2006 um 13:23 Uhr) |
|
20.03.2006, 13:18
| #2 |
  | Bitte um Hilfe bei HJT Log Hallo,
__________________überprüfe mal die Datei c:\windows\system32\directx.exe (falls vorhanden) hier und poste das Ergebnis. Die ldr64.dll (O20 Eintrag?) sollte eine Bagle Variante gewesen sein. Das dick markierte ist der ganz normale Windows Explorer. Spricht eigentlich irgendetwas dagegen ein sauberes Image von Acronis zurückzuspielen, oder ist das nur aus Spass auf dem System? Grüße Wildone |
|
20.03.2006, 13:26
| #3 |
| | Bitte um Hilfe bei HJT Log Hi,
__________________danke für deine schnelle antwort und deinen tipp. Werd ich gleich mal testen. Das dick markierte war gar nicht der eintrag, den ich meinte. Ich hab's jetzt geändert... Gegen Acronis spricht natürlich nix. Geiles tool, nur ist - wie sollte es auch anders sein - mein image nicht wirklich auf einem aktuellen stand. Ich hab lediglich ein recht generisches image, das mir die leidige installation von windows und der grundausstattung der programme erspart. Ich sach ja, an meiner misere bin ich ganz und gar selber schuld  Naja, dank und grüße erstmal Matt ***UPDATE*** Hier noch das ergebnis von dem online-scan: AntiVir 6.34.0.53 03.20.2006 PCK/PESpin Avast 4.6.695.0 03.20.2006 no virus found AVG 718 03.17.2006 no virus found Avira 6.34.0.53 03.20.2006 PCK/PESpin BitDefender 7.2 03.20.2006 no virus found CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan ClamAV devel-20060126 03.20.2006 no virus found DrWeb 4.33 03.20.2006 no virus found eTrust-InoculateIT 23.71.106 03.19.2006 no virus found eTrust-Vet 12.4.2126 03.20.2006 no virus found Ewido 3.5 03.20.2006 no virus found Fortinet 2.71.0.0 03.20.2006 suspicious F-Prot 3.16c 03.19.2006 no virus found Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE Kaspersky 4.0.2.24 03.20.2006 no virus found McAfee 4721 03.17.2006 no virus found NOD32v2 1.1451 03.20.2006 no virus found Norman 5.70.10 03.17.2006 no virus found Panda 9.0.0.4 03.19.2006 Suspicious file Sophos 4.03.0 03.20.2006 no virus found Symantec 8.0 03.20.2006 no virus found TheHacker 5.9.6.116 03.20.2006 no virus found UNA 1.83 03.20.2006 no virus found VBA32 3.10.5 03.19.2006 no virus found Geändert von wackawacka (20.03.2006 um 13:33 Uhr) |
|
20.03.2006, 13:34
| #4 |
| | Bitte um Hilfe bei HJT Log Hallo, ja, die hätte ich tatsächlich fast übersehen. Beende mal den Prozess C:\WINDOWS\Config\IEXPLORE.EXE im Taskmanager und überprüfe die zugehörige Datei ebenfalls bei virustotal. Wenn es dumm läuft musst du trotzdem auf das alte Image zurückgreifen oder komplett platt machen. Edit Jetzt sind wir schon soweit,wenn Ikarus recht hat war es das mit deinem System, da komplette Fernsteuerung von dritten möglich. Aber da bisher nur ein Virenscanner darauf anschlägt wird es etwas sehr neues sein, schicke die Datei mal wie hier beschrieben ein paar AV Herstellern (Kaspersky, Symantec, F-Secure (der bei dir ja, neben dir, auch versagt hat) usw.) Leider wird die Antwort ein/zwei tage dauern, deswegen sollten wir mit der Bereinuigung noch kurz weitermachen, da du ev. gerade andere auch ansteckst und das muss ja nicht unbedingt noch tagelang der Fall sein. Grüße Wildone Geändert von Wildone (20.03.2006 um 13:42 Uhr) |
|
20.03.2006, 13:59
| #5 |
| | Bitte um Hilfe bei HJT Log Hi nochmal... so, hab jetzt die iexplore.exe nochmal testen lassen: This is a report processed by VirusTotal on 03/20/2006 at 13:52:28 (CET) after scanning the file "IEXPLORE.EXE" file. Antivirus Version Update Result AntiVir 6.34.0.53 03.20.2006 PCK/PESpin Avast 4.6.695.0 03.20.2006 no virus found AVG 718 03.17.2006 no virus found Avira 6.34.0.53 03.20.2006 PCK/PESpin BitDefender 7.2 03.20.2006 no virus found CAT-QuickHeal 8.00 03.18.2006 (Suspicious) - DNAScan ClamAV devel-20060126 03.20.2006 no virus found DrWeb 4.33 03.20.2006 no virus found eTrust-InoculateIT 23.71.106 03.19.2006 no virus found eTrust-Vet 12.4.2126 03.20.2006 no virus found Ewido 3.5 03.20.2006 no virus found Fortinet 2.71.0.0 03.20.2006 suspicious F-Prot 3.16c 03.19.2006 no virus found Ikarus 0.2.59.0 03.20.2006 Net-Worm.Win32.Mytob.DE Kaspersky 4.0.2.24 03.20.2006 no virus found McAfee 4721 03.17.2006 no virus found NOD32v2 1.1451 03.20.2006 no virus found Norman 5.70.10 03.17.2006 no virus found Panda 9.0.0.4 03.19.2006 Suspicious file Sophos 4.03.0 03.20.2006 no virus found Symantec 8.0 03.20.2006 no virus found TheHacker 5.9.6.116 03.20.2006 no virus found UNA 1.83 03.20.2006 no virus found VBA32 3.10.5 03.19.2006 no virus found und was sagt uns das? Ich kann den netzwerkverkehr mit der Sygate FW unterbinden oder ist das nicht alles? Grüße Matt |
|
20.03.2006, 14:07
| #6 |
| | Bitte um Hilfe bei HJT Log Hallo, Softwarefirewalls können recht simple getunnelt werden, wenn mal etwas unter Adminrechten auf dem System ist, ist das Kind im Brunnen. Und außerdem kann Mytob (falls sich der Verdacht bestätigt) auch Systemdateien verändern, und ich, und auch sonst niemand, weiß nicht welche Veränderungen vorgenommen wurden. Wenn du die Dateien abgeschickt hast, löschst du mal deine Temp Dateien mit Cleanup! und untersuchst dann dein System mit datfind.bat und postest die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren! Grüße Wildone |
|
20.03.2006, 15:10
| #7 |
| | Bitte um Hilfe bei HJT Log Huhu... ich habe nun auch die datfindbat ausgeführt. Folgende log-einträge von diesem jahr sind vorhanden (sehr wenige eigentlich!): ------------------------------------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E8A4-A84E Verzeichnis von C:\WINDOWS\system32 20.03.2006 12:13 22.116 OODBS.lor 20.03.2006 11:33 0 edlm.exe 20.03.2006 11:33 347 edlm2.exe 20.03.2006 10:40 22 ati64hlp.stb 20.03.2006 10:40 2.206 wpa.dbl 11.01.2006 15:23 128.000 Dsslji.dat 10.01.2006 17:50 7.168 ddvdd.dll 05.01.2006 11:47 252.928 ati2dvag.dll 05.01.2006 11:41 110.592 atipdlxx.dll 05.01.2006 11:41 77.824 Oemdspif.dll 05.01.2006 11:41 26.112 Ati2mdxx.exe 05.01.2006 11:41 40.960 ati2edxx.dll 05.01.2006 11:41 61.440 ati2evxx.dll 05.01.2006 11:39 405.504 ati2evxx.exe 05.01.2006 11:39 53.248 ATIDDC.DLL 05.01.2006 11:31 2.518.176 ati3duag.dll 05.01.2006 11:25 862.336 ativvaxx.dll 05.01.2006 11:20 6.684.672 atioglx1.dll 05.01.2006 11:19 307.200 atiiiexx.dll 05.01.2006 11:11 151.552 atikvmag.dll 05.01.2006 11:10 17.408 atitvo32.dll 05.01.2006 11:05 237.568 ati2cqag.dll 05.01.2006 11:01 4.968.448 atioglxx.dll 05.01.2006 10:22 258.048 ATIDEMGR.dll 04.01.2006 21:05 520.192 ati2sgag.exe 03.01.2006 16:41 133.280 FNTCACHE.DAT ----------------------------------------------------------------------- Mann, würde ich mich freuen, wenn ich irgendwie um eine systemwiederherstellung drumherum käme... Grüße Matt |
|
20.03.2006, 15:19
| #8 | |
| | Bitte um Hilfe bei HJT Log Hallo, Zitat:
Das was wir jetzt machen soll nur die Zeit bis wir das Ergebnis bekommen überbrücken. Es sind vier Logs die ich brauche, lies dir noch mal die Beschreibung durch, sie erscheinen nacheinander wenn du im cmd Feld immerwieder eine beliebige Taste drückst. Hast du die directx.exe schon gelöscht oder verschoben? Grüße Wildone |
|
20.03.2006, 15:19
| #9 |
| | Bitte um Hilfe bei HJT Log Gerade suche ich mal nach dieser edlm.exe gesucht, die am 20.03 aufgeführt ist, und siehe da: Fundstelle bei ZoneLabs Das stimmt so ziemlich mit meinem problem überein... Grüße Matt |
|
20.03.2006, 15:21
| #10 |
| | Bitte um Hilfe bei HJT Log Hallo, habe ich auch schon gesehen, könnte aber auch eine weiterer Brandherd sein, Malware lädt gerne andere Malware nach. Grüße Wildone |
|
20.03.2006, 15:21
| #11 | |
| | Bitte um Hilfe bei HJT LogZitat:
Mit der directx.exe habe ich noch nichts weiter gemacht. Grüße Matt |
|
20.03.2006, 15:25
| #12 |
| | Bitte um Hilfe bei HJT Log Hallo, dann poste mir auch mal noch das Erstellungsdatum von der directx.exe die kommt nämlich erstaunlicherweise in dem obigen Log nicht vor. Grüße Wildone |
|
20.03.2006, 15:26
| #13 |
| | Bitte um Hilfe bei HJT Log Also nochmal: system32: ------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E8A4-A84E Verzeichnis von C:\WINDOWS\system32 20.03.2006 12:13 22.116 OODBS.lor 20.03.2006 10:40 22 ati64hlp.stb 20.03.2006 10:40 2.206 wpa.dbl 11.01.2006 15:23 128.000 Dsslji.dat 10.01.2006 17:50 7.168 ddvdd.dll 05.01.2006 11:47 252.928 ati2dvag.dll 05.01.2006 11:41 110.592 atipdlxx.dll 05.01.2006 11:41 77.824 Oemdspif.dll 05.01.2006 11:41 26.112 Ati2mdxx.exe 05.01.2006 11:41 40.960 ati2edxx.dll 05.01.2006 11:41 61.440 ati2evxx.dll 05.01.2006 11:39 405.504 ati2evxx.exe 05.01.2006 11:39 53.248 ATIDDC.DLL 05.01.2006 11:31 2.518.176 ati3duag.dll 05.01.2006 11:25 862.336 ativvaxx.dll 05.01.2006 11:20 6.684.672 atioglx1.dll 05.01.2006 11:19 307.200 atiiiexx.dll 05.01.2006 11:11 151.552 atikvmag.dll 05.01.2006 11:10 17.408 atitvo32.dll 05.01.2006 11:05 237.568 ati2cqag.dll 05.01.2006 11:01 4.968.448 atioglxx.dll 05.01.2006 10:22 258.048 ATIDEMGR.dll 04.01.2006 21:05 520.192 ati2sgag.exe 03.01.2006 16:41 133.280 FNTCACHE.DAT ------------------------------------------- systemtemp: ------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E8A4-A84E Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp 20.03.2006 14:52 16.384 ~DFA70D.tmp 20.03.2006 14:50 16.384 Perflib_Perfdata_15c.dat 09.05.2005 18:07 24.613 IadHide5.dll ------------------------------------------- system: ------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E8A4-A84E Verzeichnis von C:\WINDOWS 20.03.2006 14:50 116 NeroDigital.ini 20.03.2006 12:14 0 0.log 20.03.2006 12:14 159 wiadebug.log 20.03.2006 12:14 50 wiaservc.log 20.03.2006 12:13 2.048 bootstat.dat 20.03.2006 11:34 227 system.ini 20.03.2006 11:34 660 win.ini 17.03.2006 11:00 107.132 UninstallThunderbird.exe 17.03.2006 11:00 8.756 mozver.dat 16.03.2006 10:48 954.971 setupapi.log 14.03.2006 13:45 0 [none] 17.02.2006 18:03 128.930 ntbtlog.txt 17.02.2006 17:56 7.926 KB913446.log 17.02.2006 17:56 54.669 iis6.log 17.02.2006 17:56 17.971 comsetup.log 17.02.2006 17:56 9.211 ntdtcsetup.log 17.02.2006 17:56 1.374 imsins.log 17.02.2006 17:56 1.227 ocmsn.log 17.02.2006 17:56 13.008 tsoc.log 17.02.2006 17:56 1.563 tabletoc.log 17.02.2006 17:55 3.873 netfxocm.log 17.02.2006 17:55 1.174 msgsocm.log 17.02.2006 17:55 172.488 ocgen.log 17.02.2006 17:55 1.912 MedCtrOC.log 17.02.2006 17:55 44.544 FaxSetup.log 17.02.2006 17:55 12.010 msmqinst.log 15.02.2006 11:39 987 ARPR.INI 14.02.2006 13:05 185.157 setupact.log 12.02.2006 19:37 54.156 QTFont.qfn 26.01.2006 12:52 67 DVDRegionFree.INI 19.01.2006 11:51 15.358 fsiuupd.log 12.01.2006 09:19 1.409 QTFont.for 11.01.2006 13:08 3.286 tm.ini 03.01.2006 16:39 27 BRPP2KA.INI 03.01.2006 16:39 827 BRWMARK.INI ------------------------------------------- sys: ------------------------------------------- Datentr„ger in Laufwerk C: ist System Volumeseriennummer: E8A4-A84E Verzeichnis von C:\ 20.03.2006 15:22 0 sys.txt 20.03.2006 15:22 7.188 system.txt 20.03.2006 15:20 396 systemtemp.txt 20.03.2006 15:20 108.618 system32.txt 20.03.2006 12:13 1.073.315.840 hiberfil.sys 20.03.2006 12:13 1.610.612.736 pagefile.sys 20.03.2006 11:34 211 boot.ini 22.07.2005 09:33 63 avone.ini 10.05.2005 13:09 36.563 embed6.ttf 06.05.2005 16:29 0 MSDOS.SYS 06.05.2005 16:29 0 IO.SYS 06.05.2005 16:29 0 CONFIG.SYS 06.05.2005 16:29 0 AUTOEXEC.BAT 03.08.2004 21:59 251.184 ntldr 03.08.2004 21:38 47.564 NTDETECT.COM 23.08.2001 13:00 4.952 bootfont.bin ------------------------------------------- das waren alle 4 Grüße Matt (und 1000 dank an dieser stelle für deinen prompten und netten einsatz :aplaus: ) |
|
20.03.2006, 15:29
| #14 |
| | Bitte um Hilfe bei HJT Log Hallo, die directx.exe trägt als erstellungs- und letztes änderungsdatum den 19.09.2005... Grüße Matt |
|
20.03.2006, 15:30
| #15 |
| | Bitte um Hilfe bei HJT Log Hallo, wo sind den jetzt die Dateien: C:\Windows\System32\edlm.exe C:\Windows\System32\edlm2.exe abgeblieben? Edit Hallo, hmm, dann kopiere mal in den Logfiles alles bis 18.09.2005 ab, und poste sie nochmal, ist es möglich das du schon seit dieser Zeit infiziert bist? Grüße Wildone |
|
| Themen zu Bitte um Hilfe bei HJT Log |
| .dll, adobe, adobe reader, bho, bitte um hilfe, desktop, einstellungen, excel, explorer, f-secure, ftp, hijack, hijackthis, iexplore.exe, internet, internet explorer, internet security, keygen, konvertieren, launch, locker, media center, pdf-datei, plug-in, prozesse, reagiert nicht, reagiert nicht mehr, rundll, schädling, security, seiten, software, taskleiste, tuneup utilities, windows, windows xp |
Linear-Darstellung
