|
Log-Analyse und Auswertung: Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.07.2007, 08:57 | #1 |
| Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hallo zusammen! Da ich seit geraumer Zeit über Google auf falsche Seiten verlinkt werde, bin ich auf dieses Forum hier gestoßen und habe bereits diverse Beiträge zu diesem Thema gelesen. Mein Virenscanner findet keinen Virus, auch nach einem CleanUp bleibt das Problem weiterhin bestehen. Deshalb habe ich mir ein HijackThis Log-File erstellen lassen, das ich aber leider nicht auswerten kann. Wäre nett, wenn ihr mir dabei helfen könnten. Hier das File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:52:22, on 10.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Dell Network Assistant\hnm_svc.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\WINDOWS\stsystra.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Dell\QuickSet\quickset.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe C:\Programme\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Brother\ControlCenter2\brctrcen.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Pinnacle Systems\Shared Files\Programs\USBTip\USBTip.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\NetWaiting\netwaiting.exe C:\WINDOWS\system32\clipboard.exe C:\Programme\Dell Network Assistant\ezi_hnm2.exe C:\Programme\Digital Line Detect\DLG.exe C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe C:\Programme\Brother\Brmfcmon\BrMfimon.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.de/hws/sb/dell-row/de/side.html?channel=de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.de/hws/sb/dell-row/de/side.html?channel=de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dasrotepferd.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.de/hws/sb/dell-row/de/side.html?channel=de R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.google.de/ig/dell?hl=de&client=dell-row&channel=de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll O2 - BHO: (no name) - {E15F1863-1DDC-419C-AF31-A05957BB2577} - C:\WINDOWS\system32\kbdbened.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~2\Pinnacle\PPE\PPE.EXE O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle Systems\Shared Files\Programs\USBTip\USBTip.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [clipboard.exe] C:\WINDOWS\system32\clipboard.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Dell Network Assistant.lnk = ? O4 - Global Startup: Digital Line Detect.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154459783375 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 9511 bytes Vielen Dank im Voraus für Eure Hilfe! Ich hoffe, das Problem lässt sich auch ohne Neuaufsetzung lösen! Gruß Marc |
11.07.2007, 09:19 | #2 |
/// AVZ-Toolkit Guru | Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hallöle Marc.
__________________Lasse bitte folgende Dateien auf VT überprüfen und poste die Ergebnisse: " C:\WINDOWS\system32\clipboard.exe " " C:\WINDOWS\system32\kbdbened.dll " lg Undoreal
__________________ |
11.07.2007, 22:06 | #3 |
| Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hier die Ergebnisse für die erste Datei:
__________________AhnLab-V3 2007.7.11.1 20070711 Win-AppCare/Xema.98304.D AntiVir 7.4.0.39 20070711 Worm/VB.DY.9 Authentium 4.93.8 20070711 no virus found Avast 4.7.997.0 20070711 Win32:VB-CNY AVG 7.5.0.476 20070711 BackDoor.Generic3.ZII BitDefender 7.2 20070711 Win32.Worm.VB.J CAT-QuickHeal 9.00 20070711 Worm.VB.dy ClamAV devel-20070416 20070711 Worm.VB-292 DrWeb 4.33 20070711 Trojan.Click.1763 eSafe 7.0.15.0 20070710 no virus found eTrust-Vet 30.8.3780 20070711 no virus found Ewido 4.0 20070711 Worm.VB.dy FileAdvisor 1 20070711 no virus found Fortinet 2.91.0.0 20070711 BackDoor.B!tr F-Prot 4.3.2.48 20070711 W32/TrojanX.OEP Ikarus T3.1.1.8 20070711 not-a-virus:AdTool.Win32.VB.c Kaspersky 4.0.2.24 20070711 not-a-virus:AdTool.Win32.VB.c McAfee 5072 20070711 Generic BackDoor.b Microsoft 1.2704 20070711 Backdoor:Win32/VB.LR NOD32v2 2394 20070711 Win32/VB.ATE Norman 5.80.02 20070711 W32/Smalldoor.NAC Panda 9.0.0.4 20070711 Trj/Downloader.MDW Sophos 4.19.0 20070706 W32/VB-CXO Sunbelt 2.2.907.0 20070711 Worm.Win32.VB.dy Symantec 10 20070711 Trojan Horse TheHacker 6.1.6.144 20070709 no virus found VBA32 3.12.0.2 20070710 Trojan.Win32.VB.ATE VirusBuster 4.3.23:9 20070711 Worm.VB.YWF Webwasher-Gateway 6.0.1 20070711 Worm.VB.DY.9 Aditional information File size: 98304 bytes MD5: 1f4eef5168fde447fa6f05c6629a42d1 SHA1: 71170a6169ded966d13c0187e715ce2da99c9281 Und für die Zweite: AhnLab-V3 2007.7.11.1 20070711 no virus found AntiVir 7.4.0.39 20070711 ADSPY/BHO.aa.1 Authentium 4.93.8 20070711 W32/Downloader.MNI Avast 4.7.997.0 20070711 Win32:Trojano-3384 AVG 7.5.0.476 20070711 Collected.11.AD BitDefender 7.2 20070711 Trojan.BHO.WebPrefix.A CAT-QuickHeal 9.00 20070711 no virus found ClamAV devel-20070416 20070711 AdWare.BHO-2 DrWeb 4.33 20070711 no virus found eSafe 7.0.15.0 20070710 no virus found eTrust-Vet 30.8.3780 20070711 no virus found Ewido 4.0 20070711 Trojan.BHO.b FileAdvisor 1 20070711 no virus found Fortinet 2.91.0.0 20070711 Adware/KeenValue F-Prot 4.3.2.48 20070711 W32/Downloader.MNI Ikarus T3.1.1.8 20070711 AdWare.Win32.BHO.aa Kaspersky 4.0.2.24 20070711 not-a-virus:AdWare.Win32.BHO.aa McAfee 5072 20070711 potentially unwanted program Adware-KeenValue Microsoft 1.2704 20070711 BrowserModifier:Win32/KeenValuePerfectNav NOD32v2 2394 20070711 a variant of Win32/Adware.BHO.AA Norman 5.80.02 20070711 W32/BHO.X Panda 9.0.0.4 20070711 Adware/KeenValue Sophos 4.19.0 20070706 Mapkon Sunbelt 2.2.907.0 20070711 no virus found Symantec 10 20070711 Adware.Webprefix TheHacker 6.1.6.144 20070709 Adware/BHO.aa VBA32 3.12.0.2 20070710 suspected of Trojan-Downloader.Agent.49 VirusBuster 4.3.23:9 20070711 no virus found Webwasher-Gateway 6.0.1 20070711 Ad-Spyware.BHO.aa.1 Aditional information File size: 14529 bytes MD5: d63ef7361e4f87e3242d8e4b3e4f4800 SHA1: 6f3f318470461c146c438d4f84e24628795297a4 Das sieht nicht so gut aus, oder? |
11.07.2007, 22:17 | #4 |
/// AVZ-Toolkit Guru | Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hallöle. Sowas hab' ich mir schon fast gedacht. Du solltest eine scan mit Silentrunners machen und danach nach Rootkits scannen.. Poste alle evtl. erstellten logs und lies dich vorher ein bischen rein.. Gruß Undoreal
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
12.07.2007, 14:48 | #5 |
| Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Kurze Frage, bevor ich die nächsten Logs erstelle und poste: Kann ich die beiden Dateien, die offenbar schädlich sind, nicht einfach löschen? Oder ist das Problem damit nicht gelöst? |
12.07.2007, 14:53 | #6 | |
Gast | Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hallo, Wenn die Auswertung bei den Online-Virenscannern Die Ergebnisse als schädlich einstufen, ja, doch diese Anleitung solltest du befolgen: Zitat:
|
13.07.2007, 21:06 | #7 |
| Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! OK, hier der Scan von Silentrunners: "Silent Runners.vbs", revision R50, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "ModemOnHold" = "C:\Programme\NetWaiting\netwaiting.exe" [null data] "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] "clipboard.exe" = "C:\WINDOWS\system32\clipboard.exe" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" ["Sun Microsystems, Inc."] "SigmatelSysTrayApp" = "stsystra.exe" ["SigmaTel, Inc."] "SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."] "Dell QuickSet" = "C:\Programme\Dell\QuickSet\quickset.exe" ["Dell Inc"] "ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data] "IntelZeroConfig" = ""C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"" ["Intel Corporation"] "IntelWireless" = ""C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless" ["Intel Corporation"] "DVDLauncher" = ""C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"" ["CyberLink Corp."] "DMXLauncher" = "C:\Programme\Dell\Media Experience\DMXLauncher.exe" [null data] "dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"] "ISUSPM Startup" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup" ["InstallShield Software Corporation"] "ISUSScheduler" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start" ["InstallShield Software Corporation"] "AnyDVD" = "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" ["SlySoft, Inc."] "ControlCenter2.0" = "C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun" ["Brother Industries, Ltd."] "NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"] "Realtime Monitor" = "C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s" ["Computer Associates International, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] "PCLEPCI" = "C:\PROGRA~2\Pinnacle\PPE\PPE.EXE" ["Pinnacle Systems GmbH"] "USB2Check" = "RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController" [MS] "USBToolTip" = ""C:\Programme\Pinnacle Systems\Shared Files\Programs\USBTip\USBTip.exe"" ["Pinnacle Systems"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "AcroIEHlprObj Class" \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = "*Z*a*****" (unwritable string) -> {HKLM...CLSID} = "DriveLetterAccess" \InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"] {CA6319C0-31B7-401E-A518-A07C3DB8F777}\(Default) = "Browser Address Error Redirector" -> {HKLM...CLSID} = "CBrowserHelperObject Object" \InProcServer32\(Default) = "C:\Programme\BAE\BAE.dll" ["Dell Inc."] {E15F1863-1DDC-419C-AF31-A05957BB2577}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\WINDOWS\system32\kbdbened.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."] "{5CA3D70E-1895-11CF-8E15-001234567890}" = "DriveLetterAccess" -> {HKLM...CLSID} = "DriveLetterAccess" \InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" = "InoShell" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler" -> {HKLM...CLSID} = "NeroDigitalIconHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler" -> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler" -> {HKLM...CLSID} = "NeroDigitalColumnHandler Class" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ InoShell\(Default) = "{DCED20BE-3645-11D4-BC95-00C04F0E0588}" -> {HKLM...CLSID} = "InoShell" \InProcServer32\(Default) = "C:\Programme\CA\eTrust Antivirus\InoShell.dll" ["Computer Associates International, Inc."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Group Policies {policy setting}: -------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ "NoCDBurning" = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001 {Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) hex:0x00000001 {Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Kristina und Marc\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp" Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS] Startup items in "xxx" & "All Users" startup folders: ------------------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Dell Network Assistant" -> shortcut to: "C:\WINDOWS\Installer\{0240BDFB-2995-4A3F-8C96-18D41282B716}\Icon0240BDFB3.exe -systray" [null data] "Digital Line Detect" -> shortcut to: "C:\Programme\Digital Line Detect\DLG.exe" ["BVRP Software"] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] "Status Monitor" -> shortcut to: "C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe Brother MFC-5440CN /STARTUP" ["Brother Industries, Ltd."] Enabled Scheduled Tasks: ------------------------ "ISP-Anmeldungserinnerung 1" -> launches: "C:\WINDOWS\system32\OOBE\oobebaln.exe /sys /i /n:1" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}" {E2E2DD38-D088-4134-82B7-F2BA38496583}\ "MenuText" = "@xpsp3res.dll,-20001" "Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Advanced Networking Service, hnmsvc, ""C:\Programme\Dell Network Assistant\hnm_svc.exe"" ["SingleClick Systems"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] eTrust Antivirus-Echtzeitserver, InoRT, ""C:\Programme\CA\eTrust Antivirus\InoRT.exe"" ["Computer Associates International, Inc."] eTrust Antivirus-Jobserver, InoTask, ""C:\Programme\CA\eTrust Antivirus\InoTask.exe"" ["Computer Associates International, Inc."] eTrust Antivirus-RPC-Server, InoRPC, ""C:\Programme\CA\eTrust Antivirus\InoRpc.exe"" ["Computer Associates International, Inc."] Intel(R) PROSet/Wireless Event Log, EvtEng, "C:\Programme\Intel\Wireless\Bin\EvtEng.exe" ["Intel Corporation"] Intel(R) PROSet/Wireless Registry Service, RegSrvc, "C:\Programme\Intel\Wireless\Bin\RegSrvc.exe" ["Intel Corporation"] Intel(R) PROSet/Wireless Service, S24EventMonitor, "C:\Programme\Intel\Wireless\Bin\S24EvMon.exe" ["Intel Corporation "] Intel(R) PROSet/Wireless SSO Service, WLANKEEPER, "C:\Programme\Intel\Wireless\Bin\WLKeeper.exe" ["Intel(R) Corporation"] NICCONFIGSVC, NICCONFIGSVC, "C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe" ["Dell Inc."] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS] Win2PDF Port\Driver = "win2pdfm.dll" [null data] ---------- <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 67 seconds. ---------- (total run time: 107 seconds) Der Log von Blacklight: 07/13/07 21:21:46 [Info]: BlackLight Engine 1.0.64 initialized 07/13/07 21:21:46 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/13/07 21:21:47 [Note]: 7019 4 07/13/07 21:21:47 [Note]: 7005 0 07/13/07 21:21:56 [Note]: 7006 0 07/13/07 21:21:56 [Note]: 7011 504 07/13/07 21:21:56 [Note]: 7026 0 07/13/07 21:21:56 [Note]: 7026 0 07/13/07 21:21:58 [Note]: FSRAW library version 1.7.1022 07/13/07 21:27:21 [Note]: 2000 1012 07/13/07 21:34:45 [Note]: 7007 0 Der Scan mit AVG Antirootkir lieferte keine Ergebnisse. So, und nun? Offenbar habe ich keinen Rootkit, oder? Die beiden oben genannten Dateien, die schädlich sind, kann ich nicht löschen (Zugriffsverletzung). Wie werde ich das Problem nun los? Danke für Eure Hilfe! |
15.07.2007, 10:50 | #8 |
| Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! Hey! Wäre nett, wenn sich jemand meines Problems annehmen würde. Noch mal zur Zusammenfassung: Wenn ich Links bei Google anklicke, dann erscheinen falsche Seiten. Meistens genealogie.de, ebay oder 1&1. Ich habe daraufhin eine HijackThis LOg-File erstellt und hier gepostet, dabei sind die beiden Dateien "C:\WINDOWS\system32\clipboard.exe" und "C:\WINDOWS\system32\kbdbened.dll" aufgefallen, die ich mit Virustotal gescannt habe. Es handelt sich offenbar um Würmer. Mir wurde empfohlen, noch einen Scan mit Silentrunners durchzuführen und nach Rootkits zu scannen. Auch dies habe ich getan und die Log-Files hier gepostet. Leider weiß ich immer noch nicht, wie ich diesem Problem Herr werden kann. Ich hoffe einfach, dass ich um eine Neuaufsetzung herum komme. Wäre also klasse, wenn ihr mir kurz sagen könntet, was genau ich nun tun soll. Danke! |
Themen zu Ich bitte um Hilfe bei der Auswertung meines HiJackThis Log-Files! |
antivirus, auswerten, bho, bitte um hilfe, browser, computer, controlcenter, cyberlink, error, excel, falsche seite, google, helfen, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-files, magix, monitor, problem, registry, rundll, s-1-5-18, scan, server, software, system, trend micro, usb, virus, windows, windows xp |