| |
| |||||||
Log-Analyse und Auswertung: Hijack-Logfile nach Rootkit Attacke.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
05.01.2007, 04:42
| #1 |
 |  Hijack-Logfile nach Rootkit Attacke. Moinsen liebes Board. Meine Wenigkeit hat sich nun auch hier eingefunden und möchte beim Viren & Co-Bashing mitmischen  .Vor kurzem hatte ich eine Rootkit Attacke, die aus einer exe kam, die ich jedoch vorher gescannt hatte. Die exe war in einer Mail enthalten, die vom Absender her einer mir bekannten Adresse täuschend ähnlich war, sich aber als Spam entpuppte, allerdings erst danach. Spybot meldete ständige Versuche die Reg zu ändern, Avast killte ein paar Trojaner; aber die Attacken gingen weiter. Also habe ich die Systemwiederherstellung genutzt und seit dem ist Ruhe, aber ich weiß nicht, ob mein Rechner wirklich sauber ist. Darum bitte ich Euch ganz nett um die Auswertung meines Log-Files vom Hijackthis. Habe persönliche Merkmale sowie Hyperlinks entfernt, bzw. verfremdet. Besonders die XOSTQ.exe kommt mir spanisch vor.... Mir geht es präzise ausgedrückt darum, zu wissen, ob die Systemwiederherstellung mein Problem beseitigt hat (alle Anzeichen deuten darauf hin, weil sich der PC ganz normal verhält und nichts auf Manipulation/ Sabotage/ Datenstrom hindeutet, bzw. der Spybot meldet keine Angriffe gegen die Registry und auch der Avast meldet nichts, ebensowenig der AdAware). Habe mehrer Antirootkit Proggys laufen, die zwar versteckte Prozesse melden, die aber nach Google-Nachforschung harmlos zu sein scheinen. Habe deswegen auf Nennung dieser Ergebnisse verzichtet. Logfile of HijackThis v1.99.1 Scan saved at 04:15:52, on 05.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\Avast4\aswUpdSv.exe d:\Avast4\ashServ.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe D:\Avast4\ashDisp.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Microsoft IntelliType Pro\type32.exe D:\ZoneAlarm\zlclient.exe D:\PestPatrol\caissdt.exe D:\PestPatrol\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe C:\WINDOWS\VM305_STI.EXE D:\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE C:\WINDOWS\system32\ctfmon.exe d:\Avast4\ashMaiSv.exe d:\Avast4\ashWebSv.exe D:\FREEDO~1\fdm.exe D:\FIREFOX2\FIREFOX.EXE D:\Download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing) O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [avast!] d:\Avast4\ashDisp.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [Ad-aware] "D:\Ad-aware 6\Ad-aware.exe" +c O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [CaISSDT] "D:\PestPatrol\caissdt.exe" O4 - HKLM\..\Run: [eTrustPPAP] "D:\PestPatrol\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe" O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305) O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Free Download Manager] D:\Free Download Manager\fdm.exe -autorun O4 - HKCU\..\Run: [Vidalia] "D:\Internet Privacy\Vidalia\vidalia.exe" O4 - Startup: Mein-DSL.lnk = ? O4 - Global Startup: Privoxy.lnk = D:\Internet Privacy\Privoxy\privoxy.exe O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Free Download Manager\dlselected.htm O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Free Download Manager\dllink.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167206951625 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4A3B17-73CB-4783-B3DF-D9203E328FD0}: NameServer = 210.172.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F9EBA1CC-678D-4611-953A-E771AE22DB4B}: NameServer = 217.237.150.115 217.237.149.142 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - d:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - d:\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - d:\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: XOSTQ - Unknown owner - C:\DOKUME~1\XXXXXX\LOKALE~1\Temp\XOSTQ.exe (file missing) Hab vorhin erst die Datei bar888.dll und den uninstall.exe sowie ein ewig langes aus Zahlen bestehendes Verzeichnis platt gemacht. Hoffe Ihr könnt mir helfen, habe echt null Peilung.... Hab die auffälligen Sachen mal fett markiert, nämlich die komischen IP-Adressen und diese XOblablablubb.exe (die aber offenbar das Weite gesucht hat...). Also ich möchte einfach nur wissen, ob mein Rechner Schnupfen hat, sprich: ob da was faul ist, ob da umgeleitet wird über Russland oder sonstwo, ob Spione mitstarten bzw. ob da halt was mitläuft, was es nicht sollte. Vielen Dank und Gruß Ich-mag-keine-Viren P.S.: Falls die Darstellung nicht reicht, bitte melden, ich kann ja noch ggf. nötige Infos nachreichen. Geändert von Ich-mag-keine-Viren (05.01.2007 um 04:50 Uhr) |
| Themen zu Hijack-Logfile nach Rootkit Attacke. |
| ad-aware, adobe, antivirus, avast!, bho, drivers, ellung, exe, firefox, free download, helfen, helper, hijack, install.exe, internet, internet explorer, ip-adresse, log-files, logfile, monitor, problem, prozesse, präzise, registry, rootkit, rundll, software, spam, starten, trojaner, urlsearchhook, usb, viren, windows, windows xp, ändern |
Baum-Darstellung