|
Log-Analyse und Auswertung: Bitte um Stellungnahme zur HiJackThis Log-FileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.06.2007, 16:56 | #1 |
| Bitte um Stellungnahme zur HiJackThis Log-File Ich werde seiteinigen Tagen ständig von einem kleinen gelben blinkenden Warndreieck rechts unten gewarnt, im Moment: "System performance monitor: Warning" und dann Angaben über Spyware-Befall und "...click this baloon to download spyware tool to remove spyware/adware applications." Außer dem immer wieder popups mit Aufforderungen zum Downloaden von Software gegen Malware oder zum Mitspielen beim Poker ... Die folgende HiJackThis-Logfile habe ich von meinem PC gemacht, ich bitte euch um eure Begutachtung. Ich gehe schon davon aus, dass ich alles neu aufsetzen muss. Das wird schwierig bei mir, ich habe Linux und Windows schön parallel auf der Festplatte und möchte das auch in Zukunft haben. Hier die HiJackThis-Logfile: Logfile of HijackThis v1.99.1 Scan saved at 02:03:26, on 24.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Video ActiveX Access\iesmn.exe C:\Programme\Video ActiveX Access\imsmain.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Kalenderchen\Kalenderchen.exe C:\Programme\Video ActiveX Access\imsmn.exe C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe C:\Programme\Google\Gmail Notifier\gnotify.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Video ActiveX Access\iesmin.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Quicknote\Quicknote.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\AntiVir PersonalEdition Premium\sched.exe C:\Programme\AntiVir PersonalEdition Premium\avguard.exe C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Windows XP Home\Lokale Einstellungen\Temp\wze253\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.icq.com/start R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.de.netscape.com/de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.de.netscape.com/de/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s R3 - URLSearchHook: (no name) - {8B24DABA-7E1E-A751-2DEF-87A48B755255} - bhoserv.dll (file missing) R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O1 - Hosts: localhost 127.0.0.1 O1 - Hosts: localhost 127.0.0.1 O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\oleln.dll (file missing) O2 - BHO: (no name) - {36ADA89D-2440-4DC4-820A-3A05E8630935} - C:\Programme\Video ActiveX Access\iesplg.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: Helper Class - {850C7964-9320-4055-BE11-7D7B562A6417} - C:\WINDOWS\system32\mstrans1.dll (file missing) O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\oleln.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Programme\Video ActiveX Access\iesbpl.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TemplateDongle] StartCpl.exe O4 - HKLM\..\Run: [KeywordFinder] sbin.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [dmedl.exe] C:\WINDOWS\system32\dmedl.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun O4 - HKLM\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Google\Gmail Notifier\gnotify.exe O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UnSpyPC] C:\Programme\UnSpyPC\UnSpyPC.exe O4 - HKCU\..\Run: [SYSTRAV] 34763.exe O4 - HKCU\..\Run: [runload32] porka_.exe O4 - HKCU\..\Run: [SpyElim] StartCpl.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Quicknote] C:\Programme\Quicknote\Quicknote.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O11 - Options group: [INTERNATIONAL] International* O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1141982259875 O17 - HKLM\System\CCS\Services\Tcpip\..\{33C96E4F-A3A2-4F6D-A0CC-E01DDCF5D296}: NameServer = 85.255.113.110,85.255.112.227 O17 - HKLM\System\CCS\Services\Tcpip\..\{921C65CE-D0C5-4AC1-828E-2F0ED3AEB5A8}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{DBE5E575-6DD5-4671-9E77-4E877325BA49}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktopManager.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe Vielen Dank schon mal! Holger Preiss |
25.06.2007, 17:07 | #2 |
| Bitte um Stellungnahme zur HiJackThis Log-File Entweder erlebe ich gerade ein Deja-Vu oder...
__________________AntiVir PersonalEdition Support Forum | Viren und andere Sicherheitsrisiken | Smitfraudfix funktionieret nicht gegen Spyware/ZTrojan Dein PC hat 2 (oder mehr) Partitionen, eine davon ist die Windows-Systempartition, die unterlegt bei einem kompromittierten System der Neuformatierung. Die andere Partitionen bleiben damit unberührt. Das wurde dir schon mal im Avira-Forum erläutert. |
25.06.2007, 19:51 | #3 |
| Bitte um Stellungnahme zur HiJackThis Log-File Ich danke für Deine Antwort, Rene-gad. Ich wurde von Euch im Avira-Forum auf dieses Forum hingewiesen, bei der Frage nach dem wie setzt man die Festplatte neu auf. Zuvor wollte ich den Zustand meines PC's hier verdeutlichen, deshalb bat ich hier noch einmal um ein Gutachten meiner HiJackThis-Logfile. Ich wußte nicht, daß Du auch hier aktiv bist, Deine (Eure) Stellungnahme(n) kenn ich ja, ich weiß auch, daß ich Linux in Ruhe auf der Festplatte lassen kann.
__________________Meine wichtigste Frage jetzt: Wie kann ich meine Daten ohne die Malware erhalten? Ich dachte auch daran, einfach ein Image zu machen auf eine neue Festplatte. Ich habe das noch nie gemacht und versteh darunter zunächst eine Spiegelung der vorhandenen Festplatte/Partition. (Die Software dafür -Acronis True Image- hatte ich gerade zusammen mit einer externen Festplatte für Backups meiner Tochter geschenkt.) Aber sind dann nicht alle unerwünschten Trojaner usw. mit dabei? Falls ich übrigens hier im Forum irgendwas formal falsch mache, bitte ich um Entschuldigung und Aufklärung. Ich habe kaum Fachkenntnisse und komme in die Foren, um Hilfe bei der Bewältigung des Virenbefalls zu bekommen. Ich wüßte nicht wie ich sonst damit fertig würde. Vielen Dank also für Eure Hilfsbereitschaft! Holger Preiss |
25.06.2007, 20:05 | #4 |
| Bitte um Stellungnahme zur HiJackThis Log-File Hallo, deine Dateien die wichtig sind für dich,brennst du auf CD ! Dabei ist darauf zu achten ,das du keine ausführbaren Dateien "erwischst"... Was "ausführbare Dateien " sind,kann dir Google vollständig erläutern.... Wenn ich dir die aufschrieb ,würde ich garantiert eine vergessen und ausgerechnet diese ist dann das "Böse Ding"... Ganz generell ist gültig : Word-Dateien sofern selbst erstellt Works und Exel ebenso... Bilder ,wenn selbst geknipst... Musik >mp 3 Files ist unbedenklich. Alles andere soll /muß /kann in den Datenorkus.. Selbstverständlich ließen sich auch die Daten auf eine externe Festplatte laden... Irrlicht |
25.06.2007, 20:09 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bitte um Stellungnahme zur HiJackThis Log-FileZitat:
Das Backup kannst du ja von deiner Linux-Umgebung ja durchführen, Linux bootet doch noch oder? Das Sichern sollte nämlich von einer sauberen Umgebung (nicht kompromittiertes OS) geschehen. Ansonsten besorg dir einfach ne Knoppix- oder BartPE-CD. Wenn du Windows neu aufsetzt, kann es sein, dass damit deine bisherige Linux-install beeinträchtigt wird und es nicht mehr starten kann. Ich bin mir hier nicht sicher, was du dort vorher genau machen musst um Linux später zu reparieren, frag deswegen lieber nochmal hier im Linux-Forum nach.
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Bitte um Stellungnahme zur HiJackThis Log-File |
antivir, appinit_dlls, avg, avira, desktop, downloader, einstellungen, ellung, enigma, excel, festplatte, firefox, fritz!, google, helper, hijack, hijackthis, home, immer wieder, internet, internet explorer, malware, monitor, mozilla, mozilla firefox, neu aufsetzen, performance, rundll, skype.exe, software, spielen, system, urlsearchhook, windows, windows xp |