Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hijack this log file

Hijack this log file


Log-Analyse und Auswertung: Hijack this log file

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.12.2007, 04:05   #1
kati309
 
Hijack this log file - Standard

Hijack this log file


habe schon mal ein log file erstellt, mit der bitte um auswertung, mein problem ist im "plagegeister..." forum ausführlich beschrieben. vielen dank für eure hilfe!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:03:55, on 06.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Kati\Startmenü\Programme\Autostart\ctfmon.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Kati\Desktop\hjt.com

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E0C199E-9F52-4EA9-A69E-81978931783E} - C:\WINDOWS\system32\credui32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75 DriveMapper] C:\Programme\Samsung\AVStation Premium 3.75\DriveMapper.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] "C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" /start
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SamsungWInClon] C:\Programme\Samsung\Samsung Recovery Solution II\WCScheduler
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5531 bytes

Alt 06.12.2007, 11:47   #2
Chris4You
 
Hijack this log file - Standard

Hijack this log file


Hi,

zuerst müssen wir die "falsche" ctfmon.exe finden, Sicherheitshalber prüfen wir mal die normalerweise richtige:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:
C:\WINDOWS\system32\CTFMON.EXE
Poste das Ergebnis...

Das "Viecherl" dürfte hier gestartet werden:
O4 - Startup: ctfmon.exe (das kann dann z.B. im Windowsverzeichnis liegen)

Führe bitte Datfind aus und poste die Ergebnisse:
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
Datfindbat

Alle Dateien anzeigen:
http://www.trojaner-board.de/59624-a...-sichtbar.html
Dann Explorer öffnen, auf C: rechte Maustaste, suchen in Feld "Gesamter Teil ..." reinkopieren: ctfmon.exe.
Poste das Ergebnis...

Es müsste auch noch eine autorun.inf-Datei irgendwo (Rootverzeichnis, Memorystick) etc. geben, die der Virus dazu nutzt sich immer selbst zu starten (wenn es das Exemplar ist, was ich vermute).

Chris
__________________

__________________
Alt 06.12.2007, 14:44   #3
kati309
 
Hijack this log file - Standard

Hijack this log file


hi CHris,

sweit erstmal danke und cih habe alles nach Anleitung ausgeführt:

(ich weiss übrigens schon dass die ctf.exe Datei imAutostart Ordner unter Dokumente/Einstellungen -> Startmenü ist, aber ich kann Sie nicht löschen....)

VirusTotal:

MD5: 7ce20569925df6789c31799f0c538f29
Datum 2006.07.10 23:06:09 (CET) [>513D]
Ergebnisse 1/28
Permalink: resultado.html?5350179d36194ad09be8a853df3f9f3c

File CTFMON.EXE received on 07.10.2006 23:06:09 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/28 (3.58%)
Loading server information...
Your file is queued in position: ___.
Estimated start time is between ___ and ___ .
Do not close the window until scan is complete.
The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.
If you are waiting for more than five minutes you have to resend your file.
Your file is being scanned by VirusTotal in this moment,
results will be shown as they're generated.
Compact Compact
Print results Print results
Your file has expired or does not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AVG - - -
AntiVir - - -
Antivir7 - - -
Authentium - - -
Avast - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
Ewido - - suspicious
F-Prot - - -
F-Prot4 - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Sophos - - -
Symantec - - -
TheHacker - - -
UNA - - -
VBA32 - - -
VirusBuster - - -
eTrust-InoculateIT - - -
eTrust-Vet - - -
Additional information

DatFindBat:

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\WINDOWS\system32

06.12.2007 13:39 55.081 vsconfig.xml
06.12.2007 03:39 1.158 wpa.dbl
26.11.2007 05:38 118 MRT.INI
25.11.2007 17:10 185.944 rmoc3260.dll
25.11.2007 17:10 5.632 pndx5032.dll
25.11.2007 17:10 6.656 pndx5016.dll
25.11.2007 17:10 348.160 msvcr71.dll
25.11.2007 17:10 499.712 msvcp71.dll
25.11.2007 17:10 278.528 pncrt.dll
24.11.2007 18:40 442.242 perfh009.dat
24.11.2007 18:40 77.296 perfc009.dat
24.11.2007 18:40 466.172 perfh007.dat
24.11.2007 18:40 95.512 perfc007.dat
24.11.2007 18:40 1.088.304 PerfStringBackup.INI
24.11.2007 03:37 263.024 FNTCACHE.DAT
24.11.2007 03:01 233.618 TZLog.log
24.11.2007 02:35 4.212 zllictbl.dat
23.11.2007 20:00 1.520 Kati_KBD.ini
23.11.2007 18:57 38.024 credui32.dll
05.11.2007 11:22 333 $ncsp$.inf
02.11.2007 00:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
20.09.2007 14:24 96.514 SNADMINISTRATOR10.xml
20.09.2007 14:23 96.514 SingleBom.xml
20.09.2007 13:00 0 h323log.txt
20.09.2007 12:46 146.650 BuzzingBee.wav
20.09.2007 12:46 940.794 LoopyMusic.wav
20.09.2007 12:44 423 mapisvc.inf
20.09.2007 12:22 1.520 Besitzer_KBD.ini
20.09.2007 12:08 23.392 nscompat.tlb
20.09.2007 12:08 16.832 amcompat.tlb
20.09.2007 12:07 49.262 jpicpl32.cpl
20.09.2007 12:07 127.075 javaws.exe
20.09.2007 12:07 49.247 javaw.exe
20.09.2007 12:07 49.245 java.exe
20.09.2007 12:04 2.951 CONFIG.NT
20.09.2007 12:03 488 WindowsLogon.manifest
20.09.2007 12:03 488 logonui.exe.manifest
20.09.2007 12:03 749 sapi.cpl.manifest
20.09.2007 12:03 749 cdplayer.exe.manifest
20.09.2007 12:03 749 wuaucpl.cpl.manifest
20.09.2007 12:03 749 nwc.cpl.manifest
20.09.2007 12:03 749 ncpa.cpl.manifest
20.09.2007 12:02 21.740 emptyregdb.dat
27.08.2007 17:01 1.550.208 ativvaxx.dll

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\DOKUME~1\Kati\LOKALE~1\Temp

06.12.2007 14:17 289 datFind-1.zip
06.12.2007 14:04 8.382.026 fla16.tmp
06.12.2007 14:02 289 datFind.zip
06.12.2007 13:40 16.384 ~DF9656.tmp
06.12.2007 13:39 16.384 ~DFEEB8.tmp
06.12.2007 13:39 6.977 jusched.log
06.12.2007 03:40 16.384 ~DFEB7A.tmp
27.11.2007 05:05 16.384 ~DFE5DE.tmp
27.11.2007 03:28 16.384 ~DF5AB7.tmp
27.11.2007 03:27 978 TempICQMagicNumber_9317590014895.html
27.11.2007 03:24 970 TempICQCLImage9316998027771.html
27.11.2007 03:24 16.384 ~DF3E70.tmp
27.11.2007 03:21 16.384 ~DFBCC.tmp
26.11.2007 22:41 16.384 ~DFF15C.tmp
26.11.2007 22:02 16.384 ~DFF13D.tmp
26.11.2007 17:41 16.384 ~DF317D.tmp
26.11.2007 17:40 16.384 ~DFC5F8.tmp
26.11.2007 14:29 16.384 ~DF48A0.tmp
26.11.2007 14:14 52.084 ef16_appcompat.txt
26.11.2007 13:59 16.384 ~DFFB63.tmp
26.11.2007 13:52 16.384 ~DFC32.tmp
26.11.2007 04:16 16.384 ~DF86EF.tmp
26.11.2007 03:58 16.384 ~DFD17.tmp
25.11.2007 23:29 16.384 ~DF3817.tmp
25.11.2007 20:40 7.879.337 fla13F.tmp
25.11.2007 17:11 16.384 ~DFF99D.tmp
25.11.2007 17:03 36 tmp-2.xpi
25.11.2007 17:02 36 tmp-1.xpi
25.11.2007 17:02 36 tmp.xpi
25.11.2007 16:00 16.384 ~DF6FAE.tmp
25.11.2007 16:00 512 ~DF6FC8.tmp
25.11.2007 16:00 16.384 ~DF453C.tmp
25.11.2007 15:59 512 ~DF40D9.tmp
25.11.2007 15:59 16.384 ~DF40C8.tmp
25.11.2007 15:58 16.384 ~DFEC98.tmp
25.11.2007 14:03 16.384 ~DF6CD4.tmp
25.11.2007 13:40 16.384 ~DF4715.tmp
25.11.2007 13:31 16.384 ~DF3AE5.tmp
25.11.2007 13:30 16.384 ~DFD425.tmp
25.11.2007 13:29 16.384 ~DF73DF.tmp
25.11.2007 02:27 0 t38cs49a.lnk
25.11.2007 01:39 16.384 ~DFDFE4.tmp
24.11.2007 23:03 16.384 ~DFD859.tmp
24.11.2007 19:18 16.384 ~DFECAD.tmp
24.11.2007 18:51 16.384 ~DF272F.tmp
24.11.2007 18:47 5.268 ea1f_appcompat.txt
24.11.2007 18:40 17.812 UserInfoSetup(200711241840141DC).log
24.11.2007 18:40 3.846 SetupExe(200711241840131DC).log
24.11.2007 18:25 16.384 ~DF18CD.tmp
24.11.2007 18:07 16.384 ~DF84D.tmp
24.11.2007 16:23 0 NEW35.html
24.11.2007 16:23 0 NEW35.tmp
24.11.2007 16:08 8.454.584 jdoggksp.exe
24.11.2007 16:02 16.384 ~DFEF6C.tmp
24.11.2007 05:46 4.448.788 2n9xqvnb.exe
24.11.2007 03:44 16.384 ~DF2644.tmp
24.11.2007 03:36 5.252 62e8_appcompat.txt
24.11.2007 02:49 16.384 ~DF6BF4.tmp
24.11.2007 02:37 16.384 ~DFED72.tmp
24.11.2007 02:32 71.680 GLB6.tmp
24.11.2007 02:30 16.384 ~DFDC4.tmp
24.11.2007 01:37 16.384 ~DF6569.tmp
24.11.2007 01:34 16.384 ~DFD282.tmp
24.11.2007 00:08 16.384 ~DFE6E2.tmp
23.11.2007 22:39 13.930 SetupExe(20071123223923940).log
23.11.2007 22:39 2.415 SetupExe(200711232239231B0).log
23.11.2007 22:39 63.509 SetupExe(20071123223432648).log
23.11.2007 22:34 63.838 SetupExe(20071123223126860).log
23.11.2007 22:31 63.456 SetupExe(2007112322281457C).log
23.11.2007 22:14 13.930 SetupExe(200711232211081AC).log
23.11.2007 22:14 2.415 SetupExe(20071123221423F7C).log
23.11.2007 20:14 16.384 ~DFB580.tmp
23.11.2007 20:00 21.964 Norwegian.bin
23.11.2007 20:00 19.553 Hebrew.bin
23.11.2007 20:00 26.080 Hungarian.bin
23.11.2007 20:00 22.857 Finnish.bin
23.11.2007 20:00 22.253 Turkish.bin
23.11.2007 20:00 24.221 Polish.bin
23.11.2007 20:00 25.071 Portuguese(Brazil).bin
23.11.2007 20:00 24.312 Czech.bin
23.11.2007 20:00 25.082 Greek.bin
23.11.2007 20:00 20.972 Arabic.bin
23.11.2007 20:00 21.976 Thai.bin
23.11.2007 20:00 26.260 Portuguese.bin
23.11.2007 20:00 24.082 SWEDISH.bin
23.11.2007 20:00 27.753 Spanish.bin
23.11.2007 20:00 16.408 SimChin.bin
23.11.2007 20:00 21.933 English.bin
23.11.2007 20:00 25.753 German.bin
23.11.2007 20:00 27.235 French.bin
23.11.2007 20:00 26.126 Russian.bin
23.11.2007 20:00 27.410 Italian.bin
23.11.2007 20:00 16.949 TradChin.bin
23.11.2007 20:00 25.747 Dutch.bin
23.11.2007 20:00 22.783 Danish.bin
23.11.2007 20:00 20.135 Korean.bin
23.11.2007 20:00 24.297 Japanese.bin
23.11.2007 19:29 16.384 ~DFAA54.tmp
23.11.2007 19:27 14.739 SetupExe(20071123192514D2C).log
23.11.2007 19:21 13.930 SetupExe(200711231921209C4).log
23.11.2007 19:21 13.930 SetupExe(20071123192046EB4).log
23.11.2007 19:21 2.415 SetupExe(200711231921097C0).log
23.11.2007 18:59 71.680 GLBB.tmp
23.11.2007 18:51 16.384 ~DF9035.tmp
23.11.2007 16:47 16.384 ~DF6F4F.tmp
105 Datei(en) 30.995.991 Bytes
0 Verzeichnis(se), 15.475.896.320 Bytes frei

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\WINDOWS

06.12.2007 13:40 1.372.183 WindowsUpdate.log
06.12.2007 13:39 0 0.log
06.12.2007 13:39 2.048 bootstat.dat
06.12.2007 04:06 10.070 SchedLgU.Txt
06.12.2007 03:42 29.229 KB932168.log
06.12.2007 03:42 674.141 setupapi.log
26.11.2007 05:40 69 NeroDigital.ini
26.11.2007 03:58 3.230 AdobeR.exe.log
24.11.2007 03:37 2.181 spupdsvc.log
24.11.2007 03:37 42.687 wmsetup.log
24.11.2007 03:08 241.286 tsoc.log
24.11.2007 03:08 128.381 ntdtcsetup.log
24.11.2007 03:08 214.104 comsetup.log
24.11.2007 03:08 34.401 ocmsn.log
24.11.2007 03:08 1.393 imsins.log
24.11.2007 03:08 98.302 iis6.log
24.11.2007 03:08 44.589 KB899587.log
24.11.2007 03:08 300.453 ocgen.log
24.11.2007 03:08 31.153 msgsocm.log
24.11.2007 03:08 617.508 FaxSetup.log
24.11.2007 03:08 29.765 updspapi.log
24.11.2007 03:08 1.393 imsins.BAK
24.11.2007 03:08 44.018 KB927779.log
24.11.2007 03:08 40.704 KB927802.log
24.11.2007 03:08 32.173 KB943460.log
24.11.2007 03:08 41.121 KB922819.log
24.11.2007 03:08 38.362 KB885836.log
24.11.2007 03:08 40.095 KB928255.log
24.11.2007 03:08 40.458 KB931784.log
24.11.2007 03:07 29.686 KB935448.log
24.11.2007 03:07 38.776 KB911927.log
24.11.2007 03:07 38.271 KB901017.log
24.11.2007 03:07 38.589 KB899591.log
24.11.2007 03:07 28.967 KB933729.log
24.11.2007 03:07 37.039 KB920685.log
24.11.2007 03:07 37.673 KB893756.log
24.11.2007 03:07 36.875 KB923980.log
24.11.2007 03:07 36.637 KB911280.log
24.11.2007 03:07 36.133 KB936021.log
24.11.2007 03:07 35.639 KB938828.log
24.11.2007 03:07 39.682 KB939653.log
24.11.2007 03:06 30.000 KB924667.log
24.11.2007 03:06 32.403 KB900485.log
24.11.2007 03:06 31.143 KB931261.log
24.11.2007 03:06 30.701 KB873339.log
24.11.2007 03:06 23.544 KB927891.log
24.11.2007 03:06 31.143 KB936357.log
24.11.2007 03:06 30.891 KB921503.log
24.11.2007 03:06 29.546 KB887472.log
24.11.2007 03:06 30.774 KB938829.log
24.11.2007 03:06 29.789 KB896358.log
24.11.2007 03:05 22.135 KB925398.log
24.11.2007 03:05 22.787 KB910437.log
24.11.2007 03:05 525.010 msxml6-KB933579-deu-x86.LOG
24.11.2007 03:05 20.207 KB911564.log
24.11.2007 03:05 29.709 KB925902.log
24.11.2007 03:05 28.527 KB929123.log
24.11.2007 03:05 26.280 KB891781.log
24.11.2007 03:05 28.691 KB918439.log
24.11.2007 03:04 29.699 KB926436.log
24.11.2007 03:04 29.362 KB920872.log
24.11.2007 03:04 30.269 KB930178.log
24.11.2007 03:04 27.625 KB919007.log
24.11.2007 03:04 29.756 KB917344.log
24.11.2007 03:04 27.516 KB905414.log
24.11.2007 03:04 28.302 KB917953.log
24.11.2007 03:02 18.094 KB922582.log
24.11.2007 03:02 22.499 KB941202.log
24.11.2007 03:02 23.593 KB918118.log
24.11.2007 03:02 22.901 KB926255.log
24.11.2007 03:02 20.551 KB888302.log
24.11.2007 03:01 23.212 KB900725.log
24.11.2007 03:01 22.383 KB938127.log
24.11.2007 03:01 31.816 KB933360.log
24.11.2007 03:01 21.157 KB935840.log
24.11.2007 03:01 14.093 KB886185.log
24.11.2007 03:01 21.627 KB916595.log
24.11.2007 03:01 21.083 KB930916.log
24.11.2007 03:01 22.973 KB908531.log
24.11.2007 03:01 23.704 KB913580.log
24.11.2007 03:01 19.433 KB896428.log
24.11.2007 03:01 283.872 msxml4-KB936181-enu.LOG
24.11.2007 03:01 25.861 KB935839.log
24.11.2007 03:00 20.571 KB890859.log
24.11.2007 03:00 8.246 KB936782.log
24.11.2007 03:00 17.535 KB928843.log
24.11.2007 01:12 8.208 KB898461.log
23.11.2007 23:00 806 wiadebug.log
23.11.2007 22:40 50 wiaservc.log
23.11.2007 20:23 461 wmsetup10.log
23.11.2007 20:00 1.456 COM+.log
23.11.2007 20:00 1.174 OEWABLog.txt
23.11.2007 20:00 1.121.601 setuplog.txt
23.11.2007 19:59 225.497 setupact.log
23.11.2007 19:47 5.578 regopt.log
23.11.2007 19:35 2.741 sessmgr.setup.log
23.11.2007 19:35 641 DtcInstall.log
23.11.2007 19:30 246 setuperr.log
23.11.2007 19:04 1.140 mozver.dat
23.11.2007 19:01 0 nsreg.dat
05.11.2007 11:37 8.192 REGLOCS.OLD
05.11.2007 11:23 61 smscfg.ini
04.11.2007 19:23 6.480 ModemLog_Agere Systems HDA Modem.txt
20.09.2007 13:21 1.360 MSI30-KB884016.log
20.09.2007 13:00 0 Sti_Trace.log
20.09.2007 12:57 231 system.ini
20.09.2007 12:55 41 Sigverif.log
20.09.2007 12:55 669.224 SIGVERIF.TXT
20.09.2007 12:36 30.074 KB893803v2.log
20.09.2007 12:31 552 win.ini
20.09.2007 12:29 27.883 KB899271.log
20.09.2007 12:29 36.641 KB928388.log
20.09.2007 12:29 29.155 KB929969.log
20.09.2007 12:28 30.349 KB923689.log
20.09.2007 12:28 33.017 KB925454.log
20.09.2007 12:28 26.171 KB924270.log
20.09.2007 12:27 25.375 KB920213.log
20.09.2007 12:27 21.873 KB924867.log
20.09.2007 12:27 23.681 KB923414.log
20.09.2007 12:27 21.718 KB923191.log
20.09.2007 12:27 21.427 KB830092.log
20.09.2007 12:26 22.495 KB920670.log
20.09.2007 12:26 22.624 KB917422.log
20.09.2007 12:26 22.279 KB922616.log
20.09.2007 12:26 23.288 KB920683.log
20.09.2007 12:26 22.446 KB914389.log
20.09.2007 12:26 22.142 KB914388.log
20.09.2007 12:25 19.660 KB917734.log
20.09.2007 12:25 20.507 KB911562.log
20.09.2007 12:25 19.772 KB908519.log
20.09.2007 12:25 20.381 KB912919.log
20.09.2007 12:24 20.199 KB905749.log
20.09.2007 12:24 22.988 KB902400.log
20.09.2007 12:24 14.035 KB896424.log
20.09.2007 12:24 12.634 KB904706.log
20.09.2007 12:24 12.975 KB901214.log
20.09.2007 12:24 12.560 KB896423.log
20.09.2007 12:23 11.626 KB885835.log
20.09.2007 12:23 9.583 KB917332.log
20.09.2007 12:23 9.964 KB935192.log
20.09.2007 12:23 13.263 KB896256.log
20.09.2007 12:17 439 SynInst.log
20.09.2007 12:16 19.754 KB888111.log
20.09.2007 12:16 171 SamsungInstaller.log
20.09.2007 12:14 315.392 HideWin.exe
20.09.2007 12:08 316.640 WMSysPr9.prx
20.09.2007 12:04 0 control.ini
20.09.2007 12:04 4.161 ODBCINST.INI
20.09.2007 12:03 749 WindowsShell.Manifest
20.09.2007 12:02 36 vb.ini
20.09.2007 12:02 37 vbaddin.ini
20.09.2007 12:01 200 cmsetacl.log
18.09.2007 14:32 512 RHDSetup.log
18.09.2007 14:32 206 setup.log
27.08.2007 16:58 11.557 atiogl.xml

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\WINDOWS\Temp

06.12.2007 13:39 256 ZLT04dae.TMP
06.12.2007 13:39 256 ZLT04dab.TMP
27.11.2007 03:20 256 ZLT03509.TMP
27.11.2007 03:20 256 ZLT03506.TMP
26.11.2007 22:01 256 ZLT040dc.TMP
26.11.2007 22:01 256 ZLT040d8.TMP
26.11.2007 13:58 256 ZLT04f22.TMP
26.11.2007 13:58 256 ZLT04f1c.TMP
26.11.2007 03:57 256 ZLT002a9.TMP
26.11.2007 03:57 256 ZLT002a6.TMP
25.11.2007 23:28 256 ZLT0353c.TMP
25.11.2007 23:28 256 ZLT03539.TMP
25.11.2007 15:58 256 ZLT05c7a.TMP
25.11.2007 15:58 256 ZLT05c76.TMP
25.11.2007 13:28 256 ZLT069a8.TMP
25.11.2007 13:28 256 ZLT069a5.TMP
24.11.2007 19:17 256 ZLT0270c.TMP
24.11.2007 19:17 256 ZLT02709.TMP
24.11.2007 03:04 5.012 ASPNETSetup_00000.log
20.09.2007 12:55 207.932 Pass.gif
20.09.2007 12:55 9.573 DisplayReport.xslt
20.09.2007 12:55 282 btnPlus.gif
20.09.2007 12:55 281 btnMinus.gif
20.09.2007 12:55 640 Arrow.gif
20.09.2007 12:55 127.228 Fail.gif
20.09.2007 12:55 99.498 CWSNADMINISTRATOR10.XML
20.09.2007 12:29 181 setup.log
27 Datei(en) 455.235 Bytes
0 Verzeichnis(se), 15.475.826.688 Bytes frei

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.09.2007 12:03 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 15.475.826.688 Bytes frei

Datentr„ger in Laufwerk C: ist System Windows XP home
Volumeseriennummer: 1823-A8CE

Verzeichnis von C:\

06.12.2007 14:20 0 sys.txt
06.12.2007 14:20 305 down.txt
06.12.2007 14:19 1.597 tmp.txt
06.12.2007 14:19 10.337 system.txt
06.12.2007 14:18 5.713 systemtemp.txt
06.12.2007 14:17 95.134 system32.txt
06.12.2007 13:39 473 cj.ini
06.12.2007 13:39 1.877.127.168 hiberfil.sys
06.12.2007 13:39 2.145.386.496 pagefile.sys
23.11.2007 19:59 211 boot.ini
23.11.2007 15:59 123 autorun.inf
20.09.2007 12:23 173 Setup.log
20.09.2007 12:04 0 CONFIG.SYS
20.09.2007 12:04 0 MSDOS.SYS
20.09.2007 12:04 0 IO.SYS
20.09.2007 12:04 0 AUTOEXEC.BAT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
04.08.2004 13:00 251.184 ntldr
19 Datei(en) 4.022.931.430 Bytes
0 Verzeichnis(se), 15.475.818.496 Bytes frei


die Suche gab folgendes Ergebnis:


C:\WINDOWS\Prefetch\CTFMON.EXE-1C523BD2.pf

C:\WINDOWS\system32\ctfmon.exe

C:\Dokumente und Einstellungen\Kati\Startmenü\Programme\Autostart\ctfmon.exe


...so jetzt hab ich hoffentlich alles, danke und grüße
__________________
Alt 06.12.2007, 17:31   #4
Chris4You
 
Hijack this log file - Standard

Hijack this log file


Hi,

da nehmen wir doch mal die Killbox:
(Ist da wirklich ein Leerzeichen im Namen nach dem c? Wichtig sonst findet die Killbox das Teil nicht!)

http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\Dokumente und Einstellungen\Kati\Startmenü\Programme\Autostart\c tfmon.exe
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
PC neustarten

Prüfe dann ob Sie weg ist, bzw. Poste das Log von der Killbox!
So, was sind das für Programme:
24.11.2007 16:08 8.454.584 jdoggksp.exe
24.11.2007 05:46 4.448.788 2n9xqvnb.exe

Lösche am besten alle temporären Verzeichnis und leer danach den Papierkorb! (oder hiermit: http://www.ccleaner.com/ccleaner-20)

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 06.12.2007, 19:56   #5
kati309
 
Hijack this log file - Standard

Hijack this log file


oh sorry, da habe ich mich beim letzten eintrag vertan, nein es ist kein leerzeichen hinter dem c....

was soll ich jetzt tun?

danke


Alt 07.12.2007, 07:05   #6
Chris4You
 
Hijack this log file - Standard

Hijack this log file


Hi,

wichtig ist nur, dass Du die "richtige" angibst!:
C:\Dokumente und Einstellungen\Kati\Startmenü\Programme\Autostart\c tfmon.exe

Die Killbox wird beim Hochfahren des Rechners versuchen die Datei zu löschen...

chris
__________________
--> Hijack this log file

Alt 08.12.2007, 02:27   #7
kati309
 
Hijack this log file - Standard

virus - noch immer da


hallo,

ich habe die killbox benutzt und den unten angegeben thread benutzt. danach habe ich noch den ccleaner.com angewendet. danach habe ich nochmal antivir drüber laufen lassen, dabei haebn sich leider immer noch funde ergeben:

TR/VB.aqt.2

in

C:\Recycled\ctfmon.exe
C:\Recycled\Recycled\ctfmon.exe
C:\System Volume Information\_restore{2D1BC6FF-348C-4E7C-8E89-0E460F94A4B2}\RP10\A0003768.exe
C:\System Volume Information\_restore{2D1BC6FF-348C-4E7C-8E89-0E460F94A4B2}\RP13\A0003935.exe
C:\System Volume Information\_restore{2D1BC6FF-348C-4E7C-8E89-0E460F94A4B2}\RP13\A0003939.exe
C:\System Volume Information\_restore{2D1BC6FF-348C-4E7C-8E89-0E460F94A4B2}\RP13\A0003940.exe

und WORM/RJUMP.D in

C:\System Volume Information\_restore{2D1BC6FF-348C-4E7C-8E89-0E460F94A4B2}\RP9\A0003335.exe

ich habe alles erstmal in Quarantäne verschoben, aber was soll ich tun um den Plagegeist endgültig loszuwerden?

Hier nochmal ein aktuelles log.file:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:26:16, on 08.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Samsung\Samsung Recovery Solution II\WCScheduler.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Kati\Desktop\hjt.com

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E0C199E-9F52-4EA9-A69E-81978931783E} - C:\WINDOWS\system32\credui32.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75 DriveMapper] C:\Programme\Samsung\AVStation Premium 3.75\DriveMapper.exe
O4 - HKLM\..\Run: [AVStation Premium 3.75] "C:\Programme\Samsung\AVStation Premium 3.75\AVSAgent.exe" /start
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SamsungWInClon] C:\Programme\Samsung\Samsung Recovery Solution II\WCScheduler
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6657 bytes


danke!

Alt 10.12.2007, 07:50   #8
Chris4You
 
Hijack this log file - Standard

Hijack this log file


Hi,

lass noch einmal antivir laufen, werden die Dateien (im recycled) noch gefunden?
Wenn ja, noch mal melden, wenn nein, bitte wie folgt weiter machen:

1. Auf jedem Deiner Laufwerke müsste eine autorun.inf zu finden sein,
und zwar im Rootverzeichnis, z. B. c:\autorun.inf.
Klicke mit der Mouse RECHTE TASTE drauf und wähle "öffnen", keinesfalls "installieren". Poste mir dann den Inhalt. Wenn das drin steht was ich denke,
dann müssen wir alle Laufwerke nach den Dateien absuchen und diese Datei löschen. Über diese Datei wird bei jedem Systemstart der Virus ausgeführt. Prüfe auch alle USB-Sticks, USB-Festplatten etc. nach dem Verzeichnis (siehe 2.) und lösche das dann (ebenfalls 2.Punkte). Ansonsten bekommt jeder (und auch Du) wieder den Trojaner, wenn eine so verseuchte USB-Platte/Stick an einen Rechner angeschlossen wird!

2. Faked Recycled
Das ist nicht der richtige Papiereimer, sondern ein gefakter. Der richtige heisst "RECYCLER" und nicht Recycled. In ihm versteckt sich der Virus. In diesem Verzeichnis liegt eine versteckte Systemdatei "desktop.ini". Die zuerst löschen und dann das ganze Verzeichnis löschen.
Da diese Dateien unsichtbare Systemdateien sind, musst Du sie zuerst sichtbar machen:
Alle Dateien anzeigen:
http://www.trojaner-board.de/59624-a...-sichtbar.html
Und pass bitte auf die Namen auf, den richtigen löschen "Recycled"!

3. Systemwiederherstellung löschen
Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

4. Dein Java ist total veraltet:
Deine Javasoftware ist veraltet,
Download jre-6u2-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u2
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u2-windows-i586-p.exe”
Java Runtime Environment deinstallieren - 1.5.0, 6.0

Das HJ-Log sieht unverdächtig aus...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Hijack this log file
adobe, bho, cyberlink, desktop, einstellungen, explorer, file, firefox, helper, hijack, hijack this, hijackthis, hkus\s-1-5-18, internet, internet explorer, log, log file, microsoft, monitor, mozilla, mozilla firefox, pdf, problem, programme, s-1-5-18, solution, system, trend micro, vielen dank, windows, windows xp


« 2 mal iexplorer.exe | errorSafe und CPU-Auslastung 99% »


Ähnliche Themen: Hijack this log file


  1. Hijack Log File
    Log-Analyse und Auswertung - 12.08.2009 (3)
  2. Hijack File - Need Help
    Mülltonne - 28.11.2008 (0)
  3. HiJack Log File
    Log-Analyse und Auswertung - 26.11.2008 (7)
  4. HiJack Log-File, Malwarebytes Log File und DSS, bitte um Rat!:-(
    Log-Analyse und Auswertung - 17.06.2008 (2)
  5. hijack log file
    Log-Analyse und Auswertung - 03.06.2008 (1)
  6. HiJack Log File
    Log-Analyse und Auswertung - 03.05.2008 (2)
  7. Log fIle von combofix und erneutes HiJack Log-file
    Mülltonne - 03.05.2008 (0)
  8. HIJack This Log-File
    Log-Analyse und Auswertung - 07.12.2007 (18)
  9. hijack log file
    Log-Analyse und Auswertung - 07.07.2007 (18)
  10. Hijack Log file
    Mülltonne - 18.06.2007 (0)
  11. Hijack this - log file
    Mülltonne - 19.03.2007 (1)
  12. Hijack This Log-File
    Log-Analyse und Auswertung - 27.10.2006 (1)
  13. Hijack-log file
    Log-Analyse und Auswertung - 08.09.2006 (4)
  14. Hijack Log-File
    Plagegeister aller Art und deren Bekämpfung - 24.05.2006 (2)
  15. Hijack Log-File
    Log-Analyse und Auswertung - 01.05.2006 (9)
  16. Hijack-Log File
    Log-Analyse und Auswertung - 04.04.2006 (5)
  17. Hijack Log File
    Log-Analyse und Auswertung - 07.01.2005 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hijack this log file - habe schon mal ein log file erstellt, mit der bitte um auswertung, mein problem ist im "plagegeister..." forum ausführlich beschrieben. vielen dank für eure hilfe! Logfile of Trend Micro HijackThis - Hijack this log file...
Archiv
Du betrachtest: Hijack this log file auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55