|
Log-Analyse und Auswertung: Kann bitte jemand mal schauen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
06.02.2007, 10:00 | #1 |
| Kann bitte jemand mal schauen? Hallo, ich bin ganz neu hier und ein PC-Laie. Ich hoffe, dass ich alles richtig gemacht habe. Ein bestimmter Account ist mehrfach gehackt worden, nun möchte ich sicher gehen, dass ich mir keinen Trojaner o.ä. gefangen habe. Hier mein Log: Logfile of HijackThis v1.99.1 Scan saved at 09:51:07, on 06.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\Programme\Haufe\iDesk\iDeskService\python.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\TEMP\JYBEA0.EXE C:\WINDOWS\system32\Launcher.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Duden\Duden Korrektor\dktray.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HT\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\pchealth\helpctr\System\panels\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 84.244.86.42:8080 F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe,Launcher.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file) O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\dktray.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.local O17 - HKLM\Software\..\Telephony: DomainName = xxx.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Ich würde mich sehr freuen, wenn sich jemand von Euch freundlicherweise die Mühe machen würde und sich das Log-File mal ansehen würde. |
06.02.2007, 11:01 | #2 | ||||
| Kann bitte jemand mal schauen? Hi,
__________________lade diese beiden Dateien mal bitte bei Virustotal (Link in meiner sig) Zitat:
Hier... Zitat:
die tschechische Republik. Sagt dir das was! Folgende würde ich gleich mal fixen: Zitat:
Zitat:
|
06.02.2007, 11:43 | #3 | |
| Kann bitte jemand mal schauen?Zitat:
Zunächst einmal vielen Dank für Deine Mühe!!! - von dir genannte Einträge sind gefixt - mit den Tschechen habe ich nix zu tun Hier die Ergebnisse von Virustotal: JYBEA0.EXE AntiVir 7.3.1.34 02.06.2007 no virus found Authentium 4.93.8 02.06.2007 no virus found Avast 4.7.936.0 02.06.2007 no virus found AVG 386 02.05.2007 no virus found BitDefender 7.2 02.05.2007 no virus found CAT-QuickHeal 9.00 02.05.2007 no virus found ClamAV devel-20060426 02.06.2007 no virus found DrWeb 4.33 02.06.2007 BACKDOOR.Trojan eSafe 7.0.14.0 02.06.2007 no virus found eTrust-InoculateIT 30.4.3372 02.06.2007 no virus found eTrust-Vet 30.4.3372 02.06.2007 no virus found Ewido 4.0 02.05.2007 no virus found Fortinet 2.85.0.0 02.06.2007 no virus found F-Prot 4.2.1.29 02.05.2007 no virus found Ikarus T3.1.0.31 02.06.2007 no virus found Kaspersky 4.0.2.24 02.06.2007 no virus found McAfee 4956 02.05.2007 no virus found Microsoft 1.2101 02.06.2007 no virus found NOD32v2 2039 02.06.2007 no virus found Norman 5.80.02 02.05.2007 no virus found Panda 9.0.0.4 02.06.2007 no virus found Prevx1 V2 02.06.2007 no virus found Sophos 4.13.0 02.05.2007 no virus found Sunbelt 2.2.907.0 02.02.2007 no virus found Symantec 10 02.06.2007 no virus found TheHacker 6.1.6.052 02.05.2007 no virus found UNA 1.83 02.06.2007 no virus found VBA32 3.11.2 02.05.2007 no virus found LAUNCHER.EXE AntiVir 7.3.1.34 02.06.2007 no virus found Authentium 4.93.8 02.06.2007 no virus found Avast 4.7.936.0 02.06.2007 no virus found AVG 386 02.05.2007 no virus found BitDefender 7.2 02.05.2007 no virus found CAT-QuickHeal 9.00 02.05.2007 no virus found ClamAV devel-20060426 02.06.2007 no virus found DrWeb 4.33 02.06.2007 no virus found eSafe 7.0.14.0 02.06.2007 no virus found eTrust-InoculateIT 30.4.3372 02.06.2007 no virus found eTrust-Vet 30.4.3372 02.06.2007 no virus found Ewido 4.0 02.05.2007 no virus found Fortinet 2.85.0.0 02.06.2007 no virus found F-Prot 4.2.1.29 02.05.2007 no virus found Ikarus T3.1.0.31 02.06.2007 no virus found Kaspersky 4.0.2.24 02.06.2007 no virus found McAfee 4956 02.05.2007 no virus found Microsoft 1.2101 02.06.2007 no virus found NOD32v2 2039 02.06.2007 no virus found Norman 5.80.02 02.05.2007 no virus found Panda 9.0.0.4 02.06.2007 no virus found Prevx1 V2 02.06.2007 no virus found Sophos 4.13.0 02.05.2007 no virus found Sunbelt 2.2.907.0 02.02.2007 no virus found Symantec 10 02.06.2007 no virus found TheHacker 6.1.6.052 02.05.2007 no virus found UNA 1.83 02.06.2007 no virus found VBA32 3.11.2 02.05.2007 no virus found |
06.02.2007, 12:20 | #4 | |
| Kann bitte jemand mal schauen? Hi nochmal... Zitat:
nicht mehr zu kümmern. Setze dein System nach der Anleitung in meiner Sig neu auf und ändere alle Passwörter auf deinem neuen System für alle Konten. Cleriker |
06.02.2007, 13:01 | #5 |
| Kann bitte jemand mal schauen? so - jetzt habe ich ein Problem und mehrere Fragen. Es handelt sich hierbei um meinen Firmen-PC - wenn der neu aufgesetzt werden muss, wirft das bei meinem Arbeitgeber sicherlich einige Fragen auf. Das möchte ich lieber umgehen. Kann ich den Trojaner nicht löschen? Über den Task-Manager habe ich den Prozess beendet, doch nun finde ich diese Datei nicht, um sie zu löschen. Muss ich auf sämtlichen Internet-Seiten, auf denen ich mich herumtreibe, die Passwörter ändern? Kann ich das von diesem Rechner aus machen? ich lade gerade Drweb herunter - der hat ja den Trojaner identifiziert - vielleicht kann ich Ihn damit beseitigen... Geändert von Adrianisback (06.02.2007 um 13:07 Uhr) |
06.02.2007, 13:45 | #6 |
| Kann bitte jemand mal schauen? Mmmhh.. Firmen-PC's bekommen eigentlich keinen Support. Dafür sind die verantwortlichen Administratoren zuständig. Ob du die Backdoor[Funktion] des Trojaners wegbekommst? Klar...das schaffst du vielleicht. Aber du weißt nicht, wie sehr dein System zu deinen Ungunsten modifiziert wurde. Außerdem hast du immer noch die Verbindung mit den Tschechen und andere Einträge, die ich nicht kenne (was nichts heißen muss *g*) Vorschlag: Erzähl deinem Chef die Wahrheit und beschäftige dich ein bisschen mit Sicherheit, nach dem du dein System neu aufgesetzt hast. mfg Cleriker |
08.02.2007, 13:59 | #7 |
| Kann bitte jemand mal schauen? Ich habe jetzt nochmal ein neues Log gemacht - ist das jetzt ok oder sind hier noch immer Trojaner am Werk??? Logfile of HijackThis v1.99.1 Scan saved at 13:53:36, on 08.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Spyware Doctor\sdhelp.exe C:\Programme\Haufe\iDesk\iDeskService\python.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\system32\Launcher.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\TEMP\HX967C.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Duden\Duden Korrektor\dktray.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Trend Micro\OfficeScan Client\pccntupd.exe C:\Programme\HT\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe,Launcher.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\dktray.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ragdom.local O17 - HKLM\Software\..\Telephony: DomainName = ragdom.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ragdom.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ragdom.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Vielen Dank vorab für die Mühe |
08.02.2007, 15:23 | #8 |
| Kann bitte jemand mal schauen? sorry - leztes Post nicht beachten - da stecken auch noch Trojaner drin. |
08.02.2007, 15:29 | #9 |
| Kann bitte jemand mal schauen? Komisch...Komisch Warum habe ich das Gefühl, dass du meinen Vorschlag nicht in Betracht ziehen wolltest, sondern einfach die Funde gelöscht hast? Sorry, aber an ein System, dass Freundschaft mit einem Backdoortrojaner gemacht hatte, traue ich mich nicht herran. (außer a mein eigenes) -> Setze neu auf oder wünsche dir Glück mfg Cleriker |
13.02.2007, 13:04 | #10 | |
| Kann bitte jemand mal schauen?Zitat:
Ich habe den PC von unserer EDV-Service-Abteilung checken lassen - und die haben herausgefunden, dass es sich nicht um einen Backdoor-Trojaner handelt!!! Ich bin, wie gesagt, nur ein PC-Laie, doch in etwa sagten sie, dass es sich hierbei um eine Datei unseres Trend-Micro-Virenscanners handelt. Diese Datei erstellt sich bei jedem Systemstart mit neuem Namen neu und soll wohl verhindern, dass ein Virus den Virenscanner lahmlegt. Daher möchte ich nun nochmals freundlichst bitten, das folgende neu erstellte Log zu prüfen: Logfile of HijackThis v1.99.1 Scan saved at 13:00:38, on 13.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Haufe\iDesk\iDeskService\python.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe C:\WINDOWS\system32\Launcher.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Duden\Duden Korrektor\dktray.exe C:\Programme\Duden\Duden Korrektor\DKCore.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\Citrix\icaweb32\wfica32.exe C:\Dokumente und Einstellungen\ragniebu\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe,Launcher.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v3] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis3a.exe" /source=HKLM O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\dktray.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\WINDOWS\$hf_mig$\KB887472\SP2QFE\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ragdom.local O17 - HKLM\Software\..\Telephony: DomainName = ragdom.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ragdom.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ragdom.local O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Vielen Dank für die Bemühungen!!!!! |
13.02.2007, 16:55 | #11 | |||
| Kann bitte jemand mal schauen? mOIn Zitat:
Zitat:
Zitat:
Und was ist an dem Satz : "Für Produktivsysteme gibt es kein Support" nicht verständlich ? MFG |
Themen zu Kann bitte jemand mal schauen? |
adobe, bho, browser, drivers, excel, explorer, firewall, helper, hijack, hijackthis, internet, internet explorer, konvertieren, log, log-file, mein log, monitor, neu, officescan, pc tools spyware doctor, pdf, pdf-datei, programme, software, spyware, suche, system, systray, temp, trend micro, trojaner, windows, windows xp, windows\temp |