| |
| |||||||
Log-Analyse und Auswertung: hallo bitte um auswertung meiner hijack logfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
24.07.2006, 12:21
| #1 |
| |  hallo bitte um auswertung meiner hijack logfile hallo könnte mir wer bitte helfen diese logflie auszuwerten ? ich denke die datei winlogon.exe ist mit irgentwas verseucht aber weis nicht wie man die los werden kann, da sie auch von windows gebraucht wird. Logfile of HijackThis v1.99.1 Scan saved at 13:23:56, on 24.07.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE E:\Delphi7\interbase\bin\ibguard.exe C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe E:\3dsmax8\mentalray\satellite\raysat_3dsmax8server.exe C:\Programme\Eset\nod32krn.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\PGPsdkServ.exe C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe E:\Delphi7\interbase\bin\ibserver.exe C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\2kadiras.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\logitech\iTouch\iTouch.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Razer\razertra.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\DAEMON Tools\daemon.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Eset\nod32kui.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\partypoker\PartyPoker.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\partypoker\PartyPoker.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4AA4805C-C574-4F07-870B-0A69AF1C1AB2}: NameServer = **ip;P**,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{9FBD6B93-00C6-4143-9C9B-579C94C1E5FB}: NameServer = 217.237.150.33 217.237.150.188 O20 - Winlogon Notify: windtj32 - C:\WINDOWS\SYSTEM32\windtj32.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\GHOSTS~2.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - E:\Delphi7\interbase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - E:\Delphi7\interbase\bin\ibserver.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - E:\3dsmax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PGPsdkService (PGPsdkServ) - PGP Corporation - C:\WINDOWS\System32\PGPsdkServ.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe Geändert von biervampier (24.07.2006 um 12:37 Uhr) |
|
24.07.2006, 13:02
| #2 |
 | hallo bitte um auswertung meiner hijack logfile Mahlzeit,
__________________Also erstmal: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Manchmal frage ich mich wirklich, wie man mit so einem Ungepatchten System Arbeiten kann! SP2 ist seit fast zwei Jahren da und die weieren 70 Updates sind an Deinem Rechner ungesehen vorbei gelaufen?! Es würde durchaus weniger Schadsoftware geben, wenn jeder sein System aktuell hält! Was hindert euch daran? Mal bitte folgende Datei bei Jotti und Virustotal auswerten lassen! Link in meiner SIG! Poste bitte das komplette Ergebnis! C:\WINDOWS\SYSTEM32\windtj32.dll Ist Dir das bekannt? E:\3dsmax8\mentalray\satellite\raysat_3dsmax8serve r.exe Finde darüber net wirklich was. Notfalls bitte auch mal Online auswerten lassen! Zu winlogon.exe. Es könnte sich durchaus auch um Schadsoftware handeln. Also auch mal Online auswerten lassen. Auch hier, das Ergebnis Posten! Mache weiterhin mal einen eScan. Alles wichtige dazu findest du in dieser Anleitung . Bitte genau Lesen und das Ergebnis Posten! Gruß Mellosun EDIT: Sollte dies wirklich zu Deinem Lexmark Drucker gehören? C:\Programme\Lexmark 2200 Series\lxbvbmon.exe Bitte auch mal Prüfen lassen!
__________________ Geändert von Mellosun (24.07.2006 um 13:07 Uhr) |
|
24.07.2006, 14:03
| #3 |
| | hallo bitte um auswertung meiner hijack logfile also: bei jotti folgendes ergebnis:
__________________Datei: windtj32.dll Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir Trojan/PCK.Klone.G.20 gefunden ArcaVir Trojan.Packed.Klone.G gefunden Avast Win32:Klone-N gefunden AVG Antivirus Generic.YIG gefunden BitDefender Trojan.Klone.D gefunden ClamAV Keine Viren gefunden Dr.Web Trojan.Mezzia gefunden F-Prot Antivirus W32/Trojan.IID gefunden Fortinet W32/Klone.G gefunden Kaspersky Anti-Virus Packed.Win32.Klone.g gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Trojan.Mezzia gefunden bei virus total AntiVir 6.35.0.24 07.24.2006 TR/PCK.Klone.G.20 Authentium 4.93.8 07.21.2006 W32/Trojan.IID Avast 4.7.844.0 07.23.2006 Win32:Klone-N AVG 386 07.24.2006 Generic.YIG BitDefender 7.2 07.22.2006 Trojan.Klone.D CAT-QuickHeal 8.00 07.22.2006 no virus found ClamAV devel-20060426 07.21.2006 no virus found DrWeb 4.33 07.24.2006 Trojan.Mezzia eTrust-InoculateIT 23.72.76 07.23.2006 no virus found eTrust-Vet 12.6.2306 07.24.2006 no virus found Ewido 4.0 07.24.2006 no virus found Fortinet 2.77.0.0 07.23.2006 W32/Klone.G F-Prot 3.16f 07.21.2006 security risk named W32/Trojan.IID F-Prot4 4.2.1.29 07.21.2006 no virus found Ikarus 0.2.65.0 07.24.2006 no virus found Kaspersky 4.0.2.24 07.24.2006 Packed.Win32.Klone.g McAfee 4812 07.21.2006 no virus found Microsoft 1.1508 07.24.2006 no virus found NOD32v2 1.1676 07.24.2006 no virus found Norman 5.90.23 07.24.2006 no virus found Panda 9.0.0.4 07.23.2006 Suspicious file Sophos 4.07.0 07.24.2006 Troj/Agent-CIK Symantec 8.0 07.24.2006 no virus found TheHacker 5.9.8.180 07.24.2006 no virus found UNA 1.83 07.21.2006 no virus found VBA32 3.11.0 07.24.2006 Trojan.Mezzia VirusBuster 4.3.7:9 07.23.2006 no virus found ------------------------------- bei der winlogon.exe bei jotti status ok bei virustotal ok aber ich bekomme von meiner firewall die meldung Eindringungsversuch Blockiert Technische Details für den Eindringversuch: Injektoranwendung: \??\C:\WINDOWS\system32\winlogon.exe Beschreibung: winlogon Dateiversion: Produktname: Produktversion: Erstellt: N/A Geändert: N/A Zugegriffen: N/A Zielanwendung: C:\Programme\Mozilla Firefox\firefox.exe Beschreibung: Firefox Dateiversion: 1.8.0.4: 2006050817 Produktname: Firefox Produktversion: 1.5.0.4 Erstellt: 2006/7/22, 17:30:35 Geändert: 2006/7/22, 17:30:35 Zugegriffen: 2006/7/24, 10:35:35 Adresse der Injektion: 0x7FFA0065 ___ die anderen dateien sind ok |
|
24.07.2006, 14:22
| #4 |
| /// Helfer-Team    | hallo bitte um auswertung meiner hijack logfile Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis. Danach spiele SP2 auf und update das Betriebssystem. Wenn Du mit allem fertig bist, erstelle ein Log-File mit HJT und poste es.
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
24.07.2006, 14:26
| #5 |
| | hallo bitte um auswertung meiner hijack logfile ok mach ich aber das updaten könnte ein problem werden da ich das schon einmal versucht hab und überhaupt nicht ging da hb ich einfach alle einzelne updatens gezogen und eingespielt kann man auch ein nicht so ganz orginales win xp updaten auf sp 2 ? (nur mein cd key benutzen warscheinlich mehrere leute ^^ also dieses blacklight findet nichts ewido anti-spyware findet nur paar tracking.cookies Geändert von biervampier (24.07.2006 um 15:00 Uhr) |
|
24.07.2006, 15:05
| #6 | |
| | hallo bitte um auswertung meiner hijack logfileZitat:
Bist heut schon der zweite oder dritte. Klar gibts ne möglichkeit: In Laden gehen und ne Original XP Lizens Erwerben. Wieso habt Ihr alle keine Orioginal Windows auf dem Rechner? XP ist doch net Teuer....und man hat keine Probleme........ 
__________________ --> hallo bitte um auswertung meiner hijack logfile |
|
24.07.2006, 15:09
| #7 |
| | hallo bitte um auswertung meiner hijack logfile kein bock den orginal crap zu kaufen 50 eu oder so für windows ? hallo ? auserdem gehts auch klasse so hatte noch nie richtige probleme mit meinem windows wie werd ich die windtj32.dll nu los brauch man die für windows ? |
|
24.07.2006, 17:22
| #8 | |||
| Administrator > Competence Manager  | hallo bitte um auswertung meiner hijack logfileZitat:
Außerdem höre ich da eine Gewisse Ignoranz aus deinem Beitrag heraus..  Zitat:
 Zitat:
Nicht wirklich, oder hast du dir die Auswertung von "virustotal" nicht angesehen? Es handelt sich dabei um einen Schädling, und nicht um eine Windows interne Datei 
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
|
| Themen zu hallo bitte um auswertung meiner hijack logfile |
| adobe, bho, desktop, dll, download, drivers, dsl, explorer, firewall, gebraucht, helfen, hijack, hijackthis, internet, internet explorer, logfile, logon.exe, microsoft, monitor, nvidia, programme, rundll, software, symantec, system, urlsearchhook, windows, windows xp, windows\system32\drivers, winlogon.exe |
Linear-Darstellung
