|
Log-Analyse und Auswertung: Bitte HiJackThis Log auswertenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.07.2006, 10:03 | #1 |
| Bitte HiJackThis Log auswerten Hallo Leute, hatte mir auf meinem Rechner angeblich den "Win32.myzor.fk@yf" eingefangen. Beim Aufruf des IE wurde ich direkt auf die Seite h**p://www.sysnetsecurity.com/ verlinkt. Hab in Eurem Forum die Anleitung zum Beseitigen mit SmitFraudFix befolgt und konnte den Schädling wohl auch erfolgreich entfernen. Jedenfalls wird jetzt die Startseite wieder angezeigt. Da aber davor auch mal noch eine Meldung mit "Win32.Mt.Rs" im IE hochkam wollte ich nun mal das HighJackThis Logfile auswerten lassen. Das SmitFraudFix Log hänge ich ebenfalls noch mit an. Abschließend hatte ich noch Antivir, Stinger, Spybot und den Online Scan von h**p://www.ewido.net/de/ drüber laufen lassen und noch das ein oder andere entfernt. Ist noch irgendwas anhand der Logfiles erkennbar, das nicht ok ist. Ich weis SP2 für Windows WP muss ich noch einspielen und werde auch zukünftig lieber den Firefox als IE verwenden. Hoffe ich hab Eure 7 goldenen Regeln eingehalten und bekomme eine Antwort. Vielen Dank vorab. Gruß Mirac SmitFraudFix v2.67 Scan done at 18:26:19,95, 05.07.2006 Run from E:\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{6af69c4d-420a-4c95-b34f-e4635f84f53b}"="forevouched" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\system32\ishost.exe Deleted C:\WINDOWS\system32\ismon.exe Deleted C:\WINDOWS\system32\isnotify.exe Deleted C:\WINDOWS\system32\issearch.exe Deleted C:\WINDOWS\system32\ixt?.dll Deleted C:\WINDOWS\system32\ot.ico Deleted C:\WINDOWS\system32\ts.ico Deleted C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted C:\Programme\SpyQuake2.com\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End ----------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 20:50:13, on 05.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\PROMon.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\Safety Bar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab] O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing) O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe |
06.07.2006, 11:20 | #2 | ||
| Bitte HiJackThis Log auswerten fixe noch:
__________________Zitat:
Zitat:
Gruß PS: installiere auch alle Post-SP2 updates |
06.07.2006, 12:37 | #3 |
> MalwareDB | Bitte HiJackThis Log auswerten Hallo,
__________________wenn dieser Remote Admin nicht selbst installiert wurde, würde ich mir Gedanken machen. Und bloses fixen reicht dann sowieso nicht aus, den Ordner C:\Programme\Safety Bar muss man auch löschen. Antwort von Mirac abwarten. Gruß Schrulli
__________________ |
06.07.2006, 13:19 | #4 | |
| Bitte HiJackThis Log auswerten Danke für den Hinweis, so schnell kann man Mist erzählen... Ich dachte, die Sache mit Safety Bar hätte sich durch Smitfraudfix erledigt. Daher mal ne Verständnisfrage: Wenn HijackThis den Eintrag Zitat:
Gruß |
06.07.2006, 13:24 | #5 |
> MalwareDB | Bitte HiJackThis Log auswerten Hallo, dem "file missing" Bug bin ich selber schon mal aufgesessen, daher immer noch mal nach der Datei suchen und ggf. mit Killbox löschen lassen. HJT gibt typischerweise bei den O23 Einträgen ein file missing bei nicht M$ Prozessen aus, warum?? Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
06.07.2006, 13:26 | #6 | ||
| Bitte HiJackThis Log auswerten Hallo, @ordell Zitat:
Eigentlich beantwortet sich doch diese Frage von selbst,oder ? Mal ausgenommen,eventueller Bug`s.......... @Mirac Was ist damit,kennst du das ? Zitat:
|
07.07.2006, 10:01 | #7 |
| Bitte HiJackThis Log auswerten Hallo Zusammen, hatte auch das Problem. Durch Smitfraudfix konnte ich das Problem sehr gut lösen. Vielen Dank für den Tip ! Ich bin sehr verärgert über diese Spams. Würde am liebsten strafrechtlich gegen solche Leute vorgehen. Aber ich habe mal gehört, daß es wohl sehr schwierig sein soll, weil sich diese "liebenswerten" Mitmenschen der deutschen Jusitiz entziehen und nur aus dem Ausland fungieren, wo wohl so etwas nicht strafbar sein soll. Da ich selbst Jurist bin, hätte ich große Lust solchen "Leuten" an den "Kragen" zu gehen. Also ciao, vielen Dank nochmal, Jimmy |
07.07.2006, 10:11 | #8 |
| Bitte HiJackThis Log auswerten Hallo, diesen Leuten kannst du nicht so ohne weiteres an den Kragen gehen, es ist ziemlich wahrscheinlich das sie mit der russischen Unterwelt zusammen arbeiten und somit quasi nicht zu fassen sind. Sind wahrscheinlich übrigens die selben, die auch die wmf Lücke per Exploit als erste ausgenutzt haben (iframecash gang). Grüße Wildone |
11.07.2006, 09:50 | #9 | ||
| Bitte HiJackThis Log auswertenZitat:
Also Safety Bar.dll hab ich gefixed. PLSRemote.exe ist eh nicht mehr vorhanden gewesen. Zitat:
Hoffe das war´s. @ordell Was sind Post-SP2 Updates? Anbei nochmal das letzte HighJackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 19:18:26, on 10.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\NMSSvc.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\WINDOWS\System32\PROMon.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\temp\u3spwd.exe E:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe |
11.07.2006, 10:10 | #10 | |||||
| Bitte HiJackThis Log auswerten Hallo Mirac, Zitat:
Aber du hast ja noch immer Zitat:
Die hier war in deinem alten Log nicht vorhanden : Zitat:
Zitat:
Dateien sichtbar gemacht ? Richtig gesucht ? Nur weil HJT ein "file missing" ausgibt ? Könnte auch ein Bug sein,wäre nicht das erste Mal,speziell bei Nichtmicrosoft-Diensten. Zitat:
Prüfung bei Virustotal ? Irrlicht |
14.07.2006, 09:06 | #11 | |
| Bitte HiJackThis Log auswertenZitat:
SP2 einspiele. Den Rest prüfe ich noch und poste dann nochmal das Log. Vielen Dank vorab. Gruß, Mirac |
Themen zu Bitte HiJackThis Log auswerten |
adobe, antivir, attention, auswerten, avira, bho, desktop, excel, explorer, firefox, highjackthis, hijack, hijackthis, hijackthis log, internet, internet explorer, log auswerten, logfile, registry, rundll, scan, schädling, software, spielen, system, temp, windows, windows xp |