|
Log-Analyse und Auswertung: HJT-File alles OK?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.02.2007, 00:37 | #1 |
| HJT-File alles OK? Hallo miteinander! Ich hatte vor kurzem 3 Trojaner an Bord: Crypt.FKM.Gen Crypt.F.Gen Click.Small.JS.8 Ich habe sie bei der Erkennung durch Antivir gleich gelöscht. Meine Fragen: 1. Kann man aufgrund eines HJT-Files beurteilen, ob ein System frei von Trojanern ist? 2. Wie sieht es bei meinem HJT-File aus? 3. Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen? 4. Und noch eine Frage, die evtl. nicht hierher gehört: Ich habe inzwischen parallel zu XP Ubuntu installiert und bin damit im Netz unterwegs, und hoffe, dadurch besser geschützt zu sein. Trügt diese Hoffnung, da ich ja noch möglicherweise Trojaner auf der Festplatte habe, wenn auch auf einer anderen Partition? Jetzt ist es doch mehr geworden als ich am Anfang schreiben wollte. Falls sich jemand die Mühe macht, mir zu antworten: Vielen Dank schon mal im Vorraus! Grüße! smojo Hier mein HJT-File: Logfile of HijackThis v1.99.1 Scan saved at 23:06:17, on 17.02.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\CloneCD\CloneCDTray.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\WinTV\Ir.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\msiexec.exe J:\Hijackthis\HijackThis.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing) O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: WISO Urteilsmonitor.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing) O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe |
18.02.2007, 10:10 | #2 | ||||||
Administrator > Competence Manager | HJT-File alles OK?Zitat:
Wo wurden die Schädlinge gefunden? Bitte genaue Pfadangabe posten. (im letzten Report von Antivir sollte das noch vermerkt sein!) Zitat:
Das Hijacklog gibt nur einen groben Überblick des Systems bzw der laufenden Programme. Zitat:
Zitat:
Zitat:
Zitat:
Abgesehen davon: Viren/Trojaner/Malware welche für Windows-System programmiert wurden, sind auch ausschließlich nur für diese. D.h. Ubuntu wäre davon nicht betroffen! (genauso ist es dann natürlich umgekehrt. Arbeiten mit MWAV (eScan) * Lies dir folgende Anleitung genau durch und arbeite sie ab: -> Anleitung eScan * Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”. (steht alles ganz genau in der Anleitung.) F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit Blacklight- * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Gruß Sunny
__________________ |
18.02.2007, 22:25 | #3 |
| HJT-File alles OK? Hallo Sunny!
__________________Vielen Dank erst Mal für Deine Antworten! Ich hab ja jetzt ein paar Dinge zu tun... Ich melde mich dann wieder! Danke, smojo |
19.02.2007, 11:20 | #4 | ||||||
| HJT-File alles OK? Hallo Sunny! Zum Scannen mit Blacklight bin ich noch nicht gekommen. Die übrigen Ergebnisse sind wie folgt: Zitat:
Datei wurde gelöscht. TR/Crypt.F.Gen wurde gefunden in C:\WINDOWS\system32\keoodwks.exe. Datei wurde gelöscht. TR/Click.Small.JS.8 wurde gefunden in C:\ukwxbvix.pop. Datei wurde gelöscht. Zitat:
Zitat:
Zitat:
Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Microsoft Windows XP [Version 5.1.2600] Sun Feb 18 22:53:52 2007 => Version 9.1.4 Sun Feb 18 22:51:04 2007 => Virus-Datenbank Datum: 2/16/2007 Sun Feb 18 22:53:28 2007 => Virus-Datenbank Datum: 2/17/2007 Mon Feb 19 00:40:06 2007 => Virus-Datenbank Datum: 2/17/2007 Mon Feb 19 01:35:45 2007 => Virus-Datenbank Datum: 2/17/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun Feb 18 22:54:30 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Mon Feb 19 00:30:56 2007 => Datei D:\Dokumentenmappe\noch aufräumen oder installieren\Quatsch\BEBEN.EXE markiert als not-virus:BadJoke.Win16.Aloap. Keine Aktion vorgenommen. Mon Feb 19 00:37:02 2007 => Datei F:\Nicht installierte Software\DAEMON Tools\SetupDTSB.exe markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Sun Feb 18 22:54:30 2007 => Offending file found: C:\Dokumente und Einstellungen\Admin\Favoriten\lesezeichen-symbolleiste\ebay.url ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Mon Feb 19 00:40:06 2007 => Gefundene Viren: 3 Mon Feb 19 00:40:06 2007 => Anzahl Fehler: 61 Mon Feb 19 00:40:06 2007 => Dauer des Scans bisher: 01:46:04 Mon Feb 19 00:40:06 2007 => Gescannte Dateien: 146475 Sun Feb 18 22:53:52 2007 => Specherüberprüfung: Aktiviert Sun Feb 18 22:53:52 2007 => Registry Überprüfung: Aktiviert Sun Feb 18 22:53:52 2007 => System-Ordner Überprüfung: Deaktiviert Sun Feb 18 22:53:52 2007 => Überprüfung der Systembereiche: Deaktiviert Sun Feb 18 22:53:52 2007 => Überprüfung der Dienste: Aktiviert Sun Feb 18 22:53:52 2007 => Überprüfung der Festplatten: Deaktiviert Sun Feb 18 22:53:52 2007 => Überprüfung aller Festplatten :Aktiviert Vielen Dank für Deine und Eure Hilfe! Gruß smojo |
19.02.2007, 20:21 | #5 |
| HJT-File alles OK? Hallo! Hier ist noch das Ergebnis vom Blacklight-Scan: 02/19/07 19:58:28 [Info]: BlackLight Engine 1.0.55 initialized 02/19/07 19:58:28 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/19/07 19:58:30 [Note]: 7019 4 02/19/07 19:58:30 [Note]: 7005 0 02/19/07 19:58:35 [Note]: 7006 0 02/19/07 19:58:35 [Note]: 7011 2620 02/19/07 19:58:35 [Note]: 7026 0 02/19/07 19:58:35 [Note]: 7026 0 02/19/07 19:58:42 [Note]: FSRAW library version 1.7.1021 02/19/07 20:01:53 [Note]: 2000 1012 02/19/07 20:01:53 [Note]: 2000 1012 02/19/07 20:01:53 [Note]: 2000 1012 02/19/07 20:02:56 [Note]: 7007 0 Danke und Gruß smojo |
19.02.2007, 21:15 | #6 |
| HJT-File alles OK? Hallo, du siehst die beiden "tagged files" ? Folge dem angegebenen Pfad zur angemeckerten Datei und lösche sie. Soweit ist dann alles in Ordnung Irrlicht |
20.02.2007, 11:46 | #7 |
| HJT-File alles OK? Das hört sich ja prima an! Danke! Eine Frage noch: Wie bekomme ich meinen AntivirGuard wieder aktiviert. Das Programm selbst gibt keinen Tipp dazu. De- und wieder installieren? Gruß smojo |
Themen zu HJT-File alles OK? |
adobe, anfang, antivir, avg, avira, bho, computer, dll, dsl, excel, explorer, festplatte, frage, hijack, hijackthis, internet, internet explorer, lan-verbindung, microsoft, programme, rundll, sparbuch, system, trojaner, trojaner auf der festplatte, unknown file in winsock lsp, vielen dank, windows, windows xp, wiso |