|
Log-Analyse und Auswertung: HJ Log - last chanceWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.04.2006, 21:16 | #1 |
| HJ Log - last chance Hallo, erstmals bin ich froh´ dass ich dieses Forum gefunden habe. Ich sitze am PC meines Vaters Windows XP Home SP2, der sich wohl im Mai 2005 div. Würmer und Trojaner eingehandelt hat. Aufgefallen ist es ihm erst jetzt, da unerwünschte Internet-Fenster immer wieder gekommen sind (b...php). Was bisher geschah: Da Norten Antivirus 2006 nicht installiert werden kann, da der neueste Windows 3.1 Installer fehlt, wollte ich diesen installieren. Das gelang und gelingt immer noch nicht. Installation wird mit einer nichtssagenden Fehlermeldung abgebrochen (Fehler 0x8007002), auf die die Microsoft Hotline auch nicht viel weiß. Der Online-Scan von Symantec hat jede Menge Würmer und Trojaner gefunden und z.T. auch entfernt. Der Online Scan von ewido hat noch weitere entfernt. Ein Tool von Microsoft (Windows-KB890830-V1.15.exe) zum Entfernen bösartiger Software hat auch noch etwas gefunden. Ich weiß jetzt nicht, ob nicht noch weitere Dateien etc. infiziert sind, daher das log, das HijackThis produziert hat - mit der Bitte um sachdienliche Hinweise. Logfile of HijackThis v1.99.1 Scan saved at 21:51:14, on 27.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\sistray.EXE C:\WINDOWS\system32\keyhook.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\SONY\MSAC-FD1\MSSTAT.EXE C:\Programme\FRITZ!\IWatch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\system32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-online.d*/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: Outlook Express.lnk = C:\Programme\Outlook Express\msimn.exe O4 - Startup: taskmgr.exe.lnk = C:\WINDOWS\system32\taskmgr.exe O4 - Global Startup: HPAiODevice(hp officejet g series) - 2.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: Memory Stick Monitor.lnk = ? O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O15 - Trusted Zone: *.windowsupdate.com O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.c*m/fwlink/?linkid=39204 O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.n*t/ewidoOnlineScan.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - h**ps://support.microsoft.com/OAS/ActiveX/odc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144343996875 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144487402640 O17 - HKLM\System\CCS\Services\Tcpip\..\{6D637D4B-DE5D-420E-A6E2-5C25E847C2D0}: NameServer = 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{7721B0EB-2D7C-4C42-868F-AC90318A3A79}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Symantec Network Proxy (ccProxy) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe (file missing) |
28.04.2006, 07:50 | #3 |
| HJ Log - last chance Hi Daniel,
__________________erstmals vielen Dank für´s Checken. Schön dass, das System anscheinend sauber ist. Aber irgendwie spinnt die Kiste immer noch. Alle Microsoft Security Updates (seit 2005), die ich downloade, landen als korrupte Dateien auf dem PC. Das ist auch beim Download der Spy-Software Spybot passiert. Andere Programme konnte ich downloaden, natürlich Hijackthis, aber auch die SW von Lavasoft. Was kann das nur für eine Ursache haben??? Deinen weiterführenden Link wegen des Fehlers kann ich leider auch nicht öffnen. Die Google-Toolbar blockiert das, warum auch immer. Das nervt alles etwas, weil ich nicht verstehe, was hier passiert. Hast Du oder vielleicht jemand anderer von den Foumsmitgliedern eine Idee, was ich noch prüfen sollte/könnte. Besten Dank Sabine |
28.04.2006, 08:19 | #4 | |
| HJ Log - last chance @sabine007 Zitat:
- Eigene wichtigen Dateien sichern - PC nach verlinkten in meiner Signatur Anleitung neu aufsetzen und vernünftig absichern. - Norton verkaufen, verschenken, in Müllkorb schmeißen . Bitdefender, McAfee, KAV, NOD32- alles ist besser, als Norton. |
Themen zu HJ Log - last chance |
adobe, antivirus, antivirus scan, bho, dll, entfernen, explorer, fehlermeldung, fritz!, google, hijack, hijackthis, home, immer wieder, infiziert, installation, internet explorer, monitor, nicht installiert, officejet, programme, proxy, rojaner gefunden, rundll, security center, software, stick, symantec, system, t-online, trojaner, trojaner gefunden, windows, windows xp |