|
Log-Analyse und Auswertung: HiJackThis LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
03.04.2006, 17:51 | #1 |
| HiJackThis Logfile Hallo ihr, hatte die Tage einige böse Virenüberraschungen. Laut Panda-Onlinescan waren Paobot, Gaobot, Sdbot, was so weit ich richtig recherchiert habe Varianten des Rbot Trojaners sind. Hatte Darauf Win neu aufgesetzt was aber nichts half - das System war direkt danach wieder infiziert. Hab darauf folgend alles auffällige in der Registry gekillt und erstmal ruhe gehabt. Hier ist nun Mein Logfile wo soweit ich sehe immernich zeug drin ist was nicht reingehört: ( PS: Bin ein Leihe also bitte alles genau erklären ^^) Logfile of HijackThis v1.99.1 Scan saved at 18:45:52, on 03.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dolem\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [internet service] svho0st98.exe O4 - HKLM\..\RunServices: [rundll services] rundllx32.exe O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - HKCU\..\Run: [rundll services] rundllx32.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1144008916187 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1144008904890 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe Würde die verdammten Viren langsam gern mal los werden ~. Besonders: O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKLM\..\RunServices: [internet service] svho0st98.exe O4 - HKLM\..\RunServices: [rundll services] rundllx32.exe O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - HKCU\..\Run: [rundll services] rundllx32.exe O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] ntsf.exe O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe sehen mir SEHR suspekt aus ... |
03.04.2006, 18:02 | #2 |
> MalwareDB | HiJackThis Logfile Hallo,
__________________Du hast immernoch diesen im System. Du hast beim Neuaufsetzten was falsch gemacht, einfach drüberspielen reicht nicht aus. In meiner Signatur ist eine Anleitung zum Neuaufsetzen verlinkt. Diese solltest Du abarbeiten. Gruß Schrulli
__________________ |
03.04.2006, 19:43 | #3 |
| HiJackThis Logfile Logfile of HijackThis v1.99.1
__________________Scan saved at 20:38:41, on 03.04.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dolem\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe Ich hoffe inständig das nun alles clean ist,... Habe Alle Partitionen und alle meine Daten gekillt, formatiert und umpartitioniert. |
03.04.2006, 20:22 | #4 |
> MalwareDB | HiJackThis Logfile Hallo, Dein HJT Log ist sehr kurz, arbeitest Du im eingeschränkten Benutzerkonto? Weiterhin fehlt Dir Service Pack 2 für Xp und wahrscheinlich alle nachfolgenden Updates. Diese benötigst DU zwingend. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
03.04.2006, 20:41 | #5 |
| HiJackThis Logfile Hmm jo bin mir SP2 mal am saugen, Habe inzwischen auch Probleme mit nem Prozess namens hwclock.exe im Taskmanager Ich fürchte selbst das Killen der gesamten HDD hat das teil nicht gestöhrt. So langsam weiß ich nichtmehr was ich noch mehr machen kann ^^. Ps: keine Ahnung was ein eingeschränktes Benutzerkonto ist noch wo ich nachgucken kann ob ich damit arbeite. |
03.04.2006, 22:57 | #6 |
| HiJackThis Logfile Hallo Wellwell, hwclock.exe = http://www.sophos.com/virusinfo/analyses/w32hwbota.html Installiere Dein System nochmals neu aber diesmal korrekt wie hier beschrieben: http://www.trojaner-board.de/showthread.php?t=12154 dartus
__________________ --> HiJackThis Logfile |
04.04.2006, 00:19 | #7 |
| HiJackThis Logfile So, hab nun mein System nach eurer Anleitung neu Aufgesetzt und habe bis jetzt noch keine "Symptome". Nach dem Installieren der wichtigsten Treiber ( Chipset, Graka und Lan ) spuckt mir HijackThis folgendes aus: Logfile of HijackThis v1.99.1 Scan saved at 01:17:15, on 04.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Dolem\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe Bis auf den Messenger der noch deaktiviert werden sollte sieht mir das doch ganz sauber aus . Falls es weiterhin so läuft danke ich euch schonmal im Vorraus. |
Themen zu HiJackThis Logfile |
antivir, avg, avira, dll, einstellungen, escan, explorer, firefox, hijack, hijackthis, hijackthis logfile, infiziert., internet, internet explorer, langsam, logfile, mozilla, mozilla firefox, neu aufgesetzt, programme, registry, rundll, server, suspekt, system, temp, windows, windows xp |