Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um Stellungnahme zur HiJackThis Log-File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.06.2007, 16:56   #1
holpreiss
 
Bitte um Stellungnahme zur HiJackThis Log-File - Standard

Bitte um Stellungnahme zur HiJackThis Log-File



Ich werde seiteinigen Tagen ständig von einem kleinen gelben blinkenden Warndreieck rechts unten gewarnt, im Moment: "System performance monitor: Warning" und dann Angaben über Spyware-Befall und "...click this baloon to download spyware tool to remove spyware/adware applications." Außer dem immer wieder popups mit Aufforderungen zum Downloaden von Software gegen Malware oder zum Mitspielen beim Poker ...


Die folgende HiJackThis-Logfile habe ich von meinem PC gemacht, ich bitte euch um eure Begutachtung. Ich gehe schon davon aus, dass ich alles neu aufsetzen muss. Das wird schwierig bei mir, ich habe Linux und Windows schön parallel auf der Festplatte und möchte das auch in Zukunft haben.

Hier die HiJackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 02:03:26, on 24.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Kalenderchen\Kalenderchen.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Google\Gmail Notifier\gnotify.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Quicknote\Quicknote.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Windows XP Home\Lokale Einstellungen\Temp\wze253\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R3 - URLSearchHook: (no name) - {8B24DABA-7E1E-A751-2DEF-87A48B755255} - bhoserv.dll (file missing)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\oleln.dll (file missing)
O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\oleln.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TemplateDongle] StartCpl.exe
O4 - HKLM\..\Run: [KeywordFinder] sbin.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [dmedl.exe] C:\WINDOWS\system32\dmedl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UnSpyPC] C:\Programme\UnSpyPC\UnSpyPC.exe
O4 - HKCU\..\Run: [SYSTRAV] 34763.exe
O4 - HKCU\..\Run: [runload32] porka_.exe
O4 - HKCU\..\Run: [SpyElim] StartCpl.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Quicknote] C:\Programme\Quicknote\Quicknote.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141982259875
O17 - HKLM\System\CCS\Services\Tcpip\..\{33C96E4F-A3A2-4F6D-A0CC-E01DDCF5D296}: NameServer = 85.255.113.110,85.255.112.227
O17 - HKLM\System\CCS\Services\Tcpip\..\{921C65CE-D0C5-4AC1-828E-2F0ED3AEB5A8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBE5E575-6DD5-4671-9E77-4E877325BA49}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe


Vielen Dank schon mal!

Holger Preiss

Alt 25.06.2007, 17:07   #2
Rene-gad
 
Bitte um Stellungnahme zur HiJackThis Log-File - Standard

Bitte um Stellungnahme zur HiJackThis Log-File



Entweder erlebe ich gerade ein Deja-Vu oder...
AntiVir PersonalEdition Support Forum | Viren und andere Sicherheitsrisiken | Smitfraudfix funktionieret nicht gegen Spyware/ZTrojan
Zitat:
Zitat von holpreiss Beitrag anzeigen
Ich gehe schon davon aus, dass ich alles neu aufsetzen muss. Das wird schwierig bei mir, ich habe Linux und Windows schön parallel auf der Festplatte und möchte das auch in Zukunft haben.
Dein PC hat 2 (oder mehr) Partitionen, eine davon ist die Windows-Systempartition, die unterlegt bei einem kompromittierten System der Neuformatierung. Die andere Partitionen bleiben damit unberührt. Das wurde dir schon mal im Avira-Forum erläutert.
__________________


Alt 25.06.2007, 19:51   #3
holpreiss
 
Bitte um Stellungnahme zur HiJackThis Log-File - Standard

Bitte um Stellungnahme zur HiJackThis Log-File



Ich danke für Deine Antwort, Rene-gad. Ich wurde von Euch im Avira-Forum auf dieses Forum hingewiesen, bei der Frage nach dem wie setzt man die Festplatte neu auf. Zuvor wollte ich den Zustand meines PC's hier verdeutlichen, deshalb bat ich hier noch einmal um ein Gutachten meiner HiJackThis-Logfile. Ich wußte nicht, daß Du auch hier aktiv bist, Deine (Eure) Stellungnahme(n) kenn ich ja, ich weiß auch, daß ich Linux in Ruhe auf der Festplatte lassen kann.

Meine wichtigste Frage jetzt: Wie kann ich meine Daten ohne die Malware erhalten? Ich dachte auch daran, einfach ein Image zu machen auf eine neue Festplatte. Ich habe das noch nie gemacht und versteh darunter zunächst eine Spiegelung der vorhandenen Festplatte/Partition. (Die Software dafür -Acronis True Image- hatte ich gerade zusammen mit einer externen Festplatte für Backups meiner Tochter geschenkt.) Aber sind dann nicht alle unerwünschten Trojaner usw. mit dabei?

Falls ich übrigens hier im Forum irgendwas formal falsch mache, bitte ich um Entschuldigung und Aufklärung. Ich habe kaum Fachkenntnisse und komme in die Foren, um Hilfe bei der Bewältigung des Virenbefalls zu bekommen. Ich wüßte nicht wie ich sonst damit fertig würde. Vielen Dank also für Eure Hilfsbereitschaft!

Holger Preiss
__________________

Alt 25.06.2007, 20:05   #4
irrlicht
 
Bitte um Stellungnahme zur HiJackThis Log-File - Standard

Bitte um Stellungnahme zur HiJackThis Log-File



Hallo,

deine Dateien die wichtig sind für dich,brennst du auf CD !
Dabei ist darauf zu achten ,das du keine ausführbaren Dateien "erwischst"...
Was "ausführbare Dateien " sind,kann dir Google vollständig erläutern....
Wenn ich dir die aufschrieb ,würde ich garantiert eine vergessen und ausgerechnet diese ist dann das "Böse Ding"...

Ganz generell ist gültig :
Word-Dateien sofern selbst erstellt
Works und Exel ebenso...
Bilder ,wenn selbst geknipst...
Musik >mp 3 Files

ist unbedenklich.
Alles andere soll /muß /kann in den Datenorkus..
Selbstverständlich ließen sich auch die Daten auf eine externe Festplatte laden...
Irrlicht

Alt 25.06.2007, 20:09   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Bitte um Stellungnahme zur HiJackThis Log-File - Standard

Bitte um Stellungnahme zur HiJackThis Log-File



Zitat:
Meine wichtigste Frage jetzt: Wie kann ich meine Daten ohne die Malware erhalten?
Um ganz sicher zu gehen: Nur reine Daten-Dateien sichern, keine ausführbaren Dateien wie z.B. *.com, *.exe usw. Also deine Bilder und Musik kannst du sichern.

Das Backup kannst du ja von deiner Linux-Umgebung ja durchführen, Linux bootet doch noch oder? Das Sichern sollte nämlich von einer sauberen Umgebung (nicht kompromittiertes OS) geschehen. Ansonsten besorg dir einfach ne Knoppix- oder BartPE-CD.

Wenn du Windows neu aufsetzt, kann es sein, dass damit deine bisherige Linux-install beeinträchtigt wird und es nicht mehr starten kann. Ich bin mir hier nicht sicher, was du dort vorher genau machen musst um Linux später zu reparieren, frag deswegen lieber nochmal hier im Linux-Forum nach.

__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Bitte um Stellungnahme zur HiJackThis Log-File
antivir, appinit_dlls, avg, avira, desktop, downloader, einstellungen, ellung, enigma, excel, festplatte, firefox, fritz!, google, helper, hijack, hijackthis, home, immer wieder, internet, internet explorer, malware, monitor, mozilla, mozilla firefox, neu aufsetzen, performance, rundll, skype.exe, software, spielen, system, urlsearchhook, windows, windows xp




Ähnliche Themen: Bitte um Stellungnahme zur HiJackThis Log-File


  1. hijackthis log file bitte auswerten
    Plagegeister aller Art und deren Bekämpfung - 08.09.2009 (10)
  2. bitte hijackthis kog-file prüfen!
    Log-Analyse und Auswertung - 02.05.2009 (47)
  3. Bitte HiJackThis Log-File überprüfen
    Log-Analyse und Auswertung - 23.04.2009 (26)
  4. Bitte um Auswertung von HiJackThis Log-File
    Log-Analyse und Auswertung - 01.09.2008 (12)
  5. Bitte um Auswertung von HiJackThis Log-File
    Log-Analyse und Auswertung - 01.09.2008 (4)
  6. Bitte HIJACKTHIS Log-File überprüfen
    Log-Analyse und Auswertung - 03.07.2008 (0)
  7. Bitte HiJackThis Log-File prüfen!!
    Log-Analyse und Auswertung - 03.07.2008 (5)
  8. HiJackThis Log-File bitte prüfen!!
    Log-Analyse und Auswertung - 02.07.2008 (0)
  9. HiJackThis Log-File. Bitte um Auswertung..
    Mülltonne - 06.11.2007 (1)
  10. HiJackThis Log-File auswerten bitte
    Log-Analyse und Auswertung - 06.09.2007 (22)
  11. hijackthis log-file bitte prüfen
    Mülltonne - 27.08.2007 (1)
  12. Bitte um STellungnahme zu Log-File
    Log-Analyse und Auswertung - 25.06.2007 (3)
  13. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  14. Bitte um Hilfe bei HiJackThis Log-File
    Log-Analyse und Auswertung - 06.08.2006 (1)
  15. Bitte um Hilfe bei HiJackThis Log-File
    Mülltonne - 06.08.2006 (1)
  16. Bitte um Prüfung der hijackthis-file
    Log-Analyse und Auswertung - 20.06.2006 (10)
  17. Könnte bitte mal jemand die HiJackThis Log File durchsehen bitte?!
    Log-Analyse und Auswertung - 22.03.2006 (6)

Zum Thema Bitte um Stellungnahme zur HiJackThis Log-File - Ich werde seiteinigen Tagen ständig von einem kleinen gelben blinkenden Warndreieck rechts unten gewarnt, im Moment: "System performance monitor: Warning" und dann Angaben über Spyware-Befall und "...click this baloon to - Bitte um Stellungnahme zur HiJackThis Log-File...
Archiv
Du betrachtest: Bitte um Stellungnahme zur HiJackThis Log-File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.