|
Log-Analyse und Auswertung: Aktuelles Log...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.12.2006, 23:48 | #1 |
| Aktuelles Log... Hallo Ihr lieben im WWW Da hab ich von einem guten Freund ein Laptop "geerbt"- einige kennen mich vielleicht noch von einem früheren Riesenproblem. Also hab ich dann erstmal brav und artig, wie ich es gelernt habe, hijack draufgepackt und ein Log gemacht..... Ich setze es mal hier hinein- und ich würde mich freuen, wenn mal einer seine Expertennase hineinstecken könnte.(mit der automatischen Auswertung komme ich- blond wie ich bin, nämlich mal wieder nicht so recht weiter- bzw. trau ich mich nicht so recht....) Danke Euch schon mal.... Eure Schneeflocke Logfile of HijackThis v1.99.1 Scan saved at 23:20:55, on 08.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\System32\snmp.exe C:\WINDOWS\Explorer.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Hbtools\HBTV\HBTV.exe C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\AOL\1156444977\ee\AOLSoftware.exe C:\Programme\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe C:\Programme\PC-TV\WinManager\WinManager.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla1.7.13\mozilla.exe C:\Programme\HbTools\Bin\4.8.2.0\HbtSrv.exe C:\DOKUME~1\Schneeflocke\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.*****.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.DLL O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499803B2A2303766A - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\programme\hbtools\hbtv\hbtvhelper.dll O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.2.0\HbtHostIE.dll O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.2.0\HbtHostIE.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe O4 - HKLM\..\Run: [fcvaxbbw] C:\WINDOWS\system32\isimkess.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1156444977\ee\AOLSoftware.exe O4 - HKLM\..\Run: [IPHSend] C:\Programme\Gemeinsame Dateien\AOL\IPHSend\IPHSend.exe O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\HbTools\Bin\4.8.2.0\HbtWeatherOnTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\5.bin\mwsoemon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe O4 - Global Startup: WinManager.lnk = C:\Programme\PC-TV\WinManager\WinManager.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Automatic Update-Agent.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O18 - Protocol: t-mobile - {C6D89159-3467-4C2F-9918-3362DA57BCD2} - C:\PROGRA~1\T-Mobile\HOTSPO~1\TMOBIL~1.DLL O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
__________________ Schlau ist, wenn man weiß, wie es geht.... noch schlauer ist, zu lernen, was man noch nicht kann... |
09.12.2006, 09:01 | #2 |
| Aktuelles Log... mOIn auch
__________________glückwunsch erstmal zu deiner Erbschaft . Auf dem Rechner tummelt sich ne ganze Menge an Schadsoftware und unbekannte Einträge. Lasse dir bitte alle Dateien und Ordner anzeigen : Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht --> häkchen raus bei - Geschützte Systemdateien ausblenden - anhaken - Inhalte von Systemordnern anzeigen - bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen - --> Übernehmen anschließend lasse bitte folgende Datei C:\WINDOWS\system32\isimkess.exe hier Virustotal oder hier Jotti überprüfen (kann bisschen dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, auch wenn nichts gefunden wurde. MFG |
17.12.2006, 17:47 | #3 |
| Aktuelles Log... Huhu, am dritten Advent- die dritte Kerze brennt.
__________________Wündsche Euch einen schönen desselben. Habe die isimkess.exe, wie empfohlen bei Jotti scannen lassen. ich kopier mal das Ergebnis hier hinein: AntiVir ADSPY/Hotbar.Q adware gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic.SHB gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Adware.Hotbar gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Adware/HotBar gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 probably a variant of Win32/Adware.HotBar application gefunden (mögliche Variante) Norman Virus Control Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden ................................... so, das hätt ich dann schon mal gemacht. Nun wurde ja noch nach anderen Dingen gefragt: Also- laut den Eigenschaften der Datei hat sie 248 KB... und was mit "MD5 und SHA1 Angaben" gemeint ist...ich muss zugeben- das hab ich leider nicht verstehen können und kann es somit auch nicht beantworten. ....Lächel....vorsichtig wie ich bin, hab ich nochmal bei Virustotal scannen lassen- da kamen dann die gewünschten Angaben...lächel: File size: 253952 bytes MD5: 2b1c6ee08e77a1bb817d120f6109f7a3 SHA1: 2ebc6dd902c408b296d3d6039a64f6f89aad4743 Hier der Scan bei Virustotal VirusTotal VirusTotal is a free file analisys service that works using several antivirus engines. Select file : Distribute SSL Enter your email, choose the file to be scanned with multiple antivirus engines and click Send. Menu: * News Hot news in the virus/antivirus sector. * Estadisticas Statistics of VirusTotal procesing. * Virustotal More info about Virustotal. STATUS: FINISHED Complete scanning result of "isimkess.exe", received in VirusTotal at 12.17.2006, 17:34:30 (CET). Antivirus Version Update Result AntiVir 7.3.0.19 12.15.2006 ADSPY/Hotbar.Q Authentium 4.93.8 12.15.2006 no virus found Avast 4.7.892.0 12.16.2006 no virus found AVG 386 12.17.2006 Adware Generic.SHB BitDefender 7.2 12.17.2006 no virus found CAT-QuickHeal 8.00 12.17.2006 no virus found ClamAV devel-20060426 12.17.2006 no virus found DrWeb 4.33 12.17.2006 no virus found eSafe 7.0.14.0 12.17.2006 no virus found eTrust-InoculateIT 23.73.87 12.16.2006 no virus found eTrust-Vet 30.3.3254 12.15.2006 no virus found Ewido 4.0 12.17.2006 Adware.HotBar Fortinet 2.82.0.0 12.17.2006 Adware/HotBar F-Prot 3.16f 12.15.2006 no virus found F-Prot4 4.2.1.29 12.15.2006 no virus found Ikarus T3.1.0.26 12.17.2006 no virus found Kaspersky 4.0.2.24 12.17.2006 no virus found McAfee 4920 12.15.2006 potentially unwanted program Adware-HotBar Microsoft 1.1804 12.15.2006 Hotbar (threat-c) NOD32v2 1924 12.15.2006 probably a variant of Win32/Adware.HotBar Norman 5.80.02 12.15.2006 no virus found Panda 9.0.0.4 12.17.2006 no virus found Prevx1 V2 12.17.2006 Adware.Hotbar Sophos 4.12.0 12.17.2006 no virus found Sunbelt 2.2.907.0 11.30.2006 Hotbar TheHacker 6.0.3.133 12.16.2006 no virus found UNA 1.83 12.15.2006 no virus found VBA32 3.11.1 12.16.2006 no virus found VirusBuster 4.3.19:9 12.17.2006 no virus found Aditional Information File size: 253952 bytes MD5: 2b1c6ee08e77a1bb817d120f6109f7a3 SHA1: 2ebc6dd902c408b296d3d6039a64f6f89aad4743 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=5cb845782620 Sunbelt info: Hotbar Web Tools is a collection of browser and system enhancements. The primary application is the Hotbar toolbar, a which is a "skinable" browser toolbar for Internet Explorer. ........................................................ Nun, das war es. Artig wie ich bin, habe ich mir gerade überlegt, zunächst auch mal ein eingeschränktes Nutzerkonto einzurichten (ich habe ja aus alten Erfahrungen gelernt- und meine Systeme seitdem recht sauberhalten können......dank Euch Lieben hier allen) Nun wäre es klasse, mir zu sagen: was nun zu tun? Liebe Grüsse in das WWW, von der Schneeflocke
__________________ |
17.12.2006, 19:17 | #4 | |
| Aktuelles Log... mOIn auch Zitat:
bitte deinstalliere folgende Programme über Start -> Einstellungen -> Systemsteuerung -> Software : MyWebSearch ShopperReports HbTools anschließend fixe mit HijackThis : R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.D LL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\5.bin\MWSSRCAS.D LL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\5.bin\MWSBAR.DLL O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll O2 - BHO: TVEngine Helper /fleok=1D8A83A5C2E6107C91A475760EA83FA5EF80752B9499 803B2A2303766A - {4B18DD50-C996-44fc-AC52-0FECFF82ED58} - c:\programme\hbtools\hbtv\hbtvhelper.dll O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.2.0\HbtHostIE.dll O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.8.2.0\HbtHostIE.dll O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Programme\ShopperReports\Bin\2.0.0\ShprRprt.dll erstelle bitte ein neues Log von HijackThis und poste es, erstell aber bitte vorher einen Ordner für HijackThis und entpacke die *.zip dort hinnein, dann erst Hijack laufen lassen. MFG |
18.12.2006, 00:53 | #5 |
| Aktuelles Log... Ich danke Dir...das werde ich dann mal in Ruhe machen. Allerdings noch eine Frage habe.....es kann sein, dass eine TV-Karte auf dem LT installiert ist- die hat aber nichts mit den gelöschten Dateien zu tun? Und Hijack- hab ich ja schon drauf udn hab im eigenen Ordner...das kann ich ja dann einfach wohl nutzen, oder? Liebe Grüsse, und einen guten Start in die neue Woche wünscht Dir das Schneeflöckchen
__________________ Schlau ist, wenn man weiß, wie es geht.... noch schlauer ist, zu lernen, was man noch nicht kann... |
18.12.2006, 18:49 | #6 | |
| Aktuelles Log... Hallo schneeflocke37, Zitat:
MFG |
Themen zu Aktuelles Log... |
adapter, antivir, auswertung, avira, bho, compare, dateien, dsl, email, excel, explorer, helper, hijack, hijackthis, icqtoolbar, internet, internet explorer, log, messenger, microsoft, mozilla, programme, system, t-mobile, temp, unknown file in winsock lsp, urlsearchhook, windows, windows xp, wireless |