Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


Log-Analyse und Auswertung: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 09.02.2008, 17:10   #1
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


Hallo Chris,

folgend die Posts lt. deiner Anleitung. Am Ende habe ich zusätzlich den aktuellen HJT log gepostet. Bitte lass mich wissen ob weitere Massnahmen notwendig sind (Danke schon mal im voraus):

C:\WINDOWS\system32\ntfsloc.exe

Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 Win32/IRCBot.worm.variant
AntiVir 7.6.0.62 2008.02.08 HEUR/Crypted
Authentium 4.93.8 2008.02.08 Possibly a new variant of W32/Backdoor-based
Avast 4.7.1098.0 2008.02.08 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.02.09 BackDoor.Generic3.RNN
BitDefender 7.2 2008.02.09 DeepScan:Generic.Sdbot.966B164F
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 Trojan.Vanbot-51
DrWeb 4.44.0.09170 2008.02.09 BackDoor.IRC.Sdbot.965
eSafe 7.0.15.0 2008.01.28 Win32.VanBot.ad
eTrust-Vet 31.3.5522 2008.02.08 Win32/Rbot.GGV
Ewido 4.0 2008.02.08 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.09 -
F-Prot 4.4.2.54 2008.02.08 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.09 W32/Smalldoor.KBO
Ikarus T3.1.1.20 2008.02.09 Backdoor.Win32.VanBot.ad
Kaspersky 7.0.0.125 2008.02.09 Backdoor.Win32.VanBot.ad
McAfee 5226 2008.02.08 W32/Sdbot.worm.gen.n
Microsoft 1.3204 2008.02.09 Worm:Win32/Agent
NOD32v2 2861 2008.02.09 probably a variant of Win32/Genetik
Norman 5.80.02 2008.02.08 W32/Smalldoor.KBO
Panda 9.0.0.4 2008.02.09 -
Rising 20.29.22.00 2008.01.30 Backdoor.SdBot.wix
Sophos 4.26.0 2008.02.09 W32/Sdbot-DAL
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.09 W32.Spybot.Worm
TheHacker 6.2.9.213 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 Backdoor.Win32.VanBot.ad
VirusBuster 4.3.26:9 2008.02.09 Backdoor.VanBot.AD
Webwasher-Gateway 6.6.2 2008.02.09 Heuristic.Crypted
weitere Informationen
File size: 187828 bytes
MD5: a36bdf9f87f3586f9ce72edcc795dbc8
SHA1: 400f448fcb32160fcec81980ce10def9e8fd816d
PEiD: ASProtect v1.23 RC1
packers: PE_Patch, Aspack
packers: PE_Patch

____________________________________________

C:\WINDOWS\System32\win32bootcfg.exe
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\System32\taskmngr32.exe
C:\WINDOWS\System32\mstskmgr.exe
C:\WINDOWS\System32\winhelp32.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\spoollv.exe
C:\WINDOWS\win32host.exe

=> Datei konnte auf Rechner nicht gefunden werden
____________________________________________

ComboFix 08-02.05.3 - Mama 2008-02-09 16:57:20.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.105 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mama\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-06 20:59 . 2008-02-06 20:59 <DIR> d-------- C:\Programme\Trend Micro
2008-02-06 20:18 . 2008-02-06 20:18 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-02-06 20:17 . 2008-02-06 20:17 <DIR> d-------- C:\Programme\Lavasoft
2008-02-06 20:17 . 2008-02-06 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-06 18:37 . 2008-02-06 18:38 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-06 18:37 . 2008-02-06 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-06 18:22 . 2005-11-15 03:07 131,072 --a------ C:\WINDOWS\_detmp.2
2008-02-06 18:22 . 2008-02-03 14:56 76,102 --a------ C:\WINDOWS\_detmp.1
2008-02-06 18:21 . 2008-02-06 20:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-03 15:59 . 2008-02-03 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Panasonic
2008-02-03 15:55 . 2005-03-07 19:44 45,056 --a------ C:\WINDOWS\system32\PhDi2.sys
2008-02-03 15:53 . 2008-02-03 15:55 <DIR> d-------- C:\Programme\Panasonic
2008-02-03 15:52 . 2008-02-03 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\InstallShield
2008-02-03 14:48 . 2008-02-06 18:23 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-02-03 14:48 . 2008-02-03 14:48 <DIR> d-------- C:\Programme\FRITZ!Box
2008-02-03 14:48 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-02-03 14:48 . 2006-01-20 13:43 55,808 -ra------ C:\WINDOWS\system32\avmadd32.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-02-06 19:22 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-02-03 14:55 --------- d--h--w C:\Programme\InstallShield Installation Information
1997-09-03 23:00 311,296 ----a-w C:\Programme\Gemeinsame Dateien\msacc8.olb
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 10:24 145920]
"SMSERIAL"="sm56hlpr.exe" [2004-06-29 17:42 569344 C:\WINDOWS\sm56hlpr.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-09 14:04 98304]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 20:19 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
LUMIX Simple Viewer.lnk - C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-02-03 15:53:00 57344]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-02-06 20:19]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-02-06 20:19]
S2 dllmgr64;dllmgr64;"C:\WINDOWS\dllmgr64.exe" []
S2 NTFSFLS;NTFS File Location Service;"C:\WINDOWS\system32\ntfsloc.exe" []
S2 PDM;Windows Protocol Deployment Manager;C:\WINDOWS\system32\1.tmp []
S2 Rpcmon;Remote Procedure Call (RPC) Monitoring;C:\WINDOWS\System32\Rpcmon.exe []
S2 Win32Kernel;Win32 Kernel Update;"C:\WINDOWS\win32host.exe" []
S4 spool;spool;"C:\WINDOWS\spoollv.exe" []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 16:58:03
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 16:58:32
ComboFix-quarantined-files.txt 2008-02-09 15:58:24
ComboFix2.txt 2008-02-09 15:54:55
___________________________________________________________
Aktueller HJT log 09Feb2008 (nach Ausführung deiner empfohlenen Aktionen):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:55, on 09.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: NTFS File Location Service (NTFSFLS) - Unknown owner - C:\WINDOWS\system32\ntfsloc.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1.tmp (file missing)
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

--
End of file - 4579 bytes

Alt 09.02.2008, 17:44   #2
undoreal
/// AVZ-Toolkit Guru
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


Halli hallo.

Du hast leider den Jackpot gewonnen..

Bei dir läuft dieser nette Besucher und hat bestimmt schon einigen Blödsinn veranstalltet sodass dein System leider nichtmehr sciher zu bereinigen ist..

Setzte es nach Anleitung aus meiner Signatur neu auf und ändere danach alle Zugangsdaten und Passwörter..
__________________

__________________
Alt 11.02.2008, 09:50   #3
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


Danke an undoreal und Chris4you für die Unterstützung. Werde das System der Anleitung entsprechend neu Aufsetzen.

THX
__________________
Antwort

Themen zu Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen
1.tmp, ad-aware, adobe, antivir, auswerten, avg, avira, bho, entfernen, explorer, fehlermeldung, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, keine fehlermeldung, log, log auswerten, messenger, micro, microsoft, nicht gefunden, programme, s-1-5-18, schutz, software, system, windows, windows xp


« IE7 schließt sofrt nach start wieder | BRAUCHE DRINGEND EXPERTENHILFE MIT TR/Vundo.Gen Logfile »


Ähnliche Themen: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


  1. Surfen kann mir bitte jeman das auswerten Danke !
    Log-Analyse und Auswertung - 14.07.2009 (1)
  2. kann malware nicht entfernen. bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 20.04.2009 (1)
  3. Kann das mal jemand auswerten bitte hab da was gefunden
    Mülltonne - 18.12.2008 (0)
  4. Kann mir mal bitte jemand das auswerten?
    Mülltonne - 28.07.2008 (1)
  5. kann mir den bitte jemand auswerten
    Mülltonne - 06.04.2008 (0)
  6. Kann den HiJackThis Log-File bitte jemand auswerten?
    Log-Analyse und Auswertung - 19.02.2008 (7)
  7. Kann mir jemand bitte diesen hjt Bericht auswerten???
    Mülltonne - 18.02.2008 (0)
  8. kann jem. bitte mein Log-file auswerten?
    Log-Analyse und Auswertung - 23.01.2008 (0)
  9. Kann mir jemand bitte meinen HiJackThis-Bericht auswerten?
    Mülltonne - 06.09.2007 (0)
  10. Kann bitte jemand mein logfile auswerten?
    Mülltonne - 06.04.2007 (1)
  11. Kann mal bitte wer das Log-File auswerten???
    Mülltonne - 31.12.2006 (1)
  12. Hallo-Kann sich das mal bitte jemand anschauen und auswerten.Danke!
    Mülltonne - 16.10.2006 (1)
  13. Kann bitte jemand meinen Logfile auswerten !
    Log-Analyse und Auswertung - 02.02.2006 (7)
  14. Kann das bitte jemand auswerten
    Log-Analyse und Auswertung - 17.01.2006 (3)
  15. kann mir bitte jemand mein logfile auswerten?
    Log-Analyse und Auswertung - 24.08.2005 (1)
  16. wer kann bitte logfile auswerten ?
    Log-Analyse und Auswertung - 10.04.2005 (2)
  17. kann bitte mal jemand auswerten??
    Log-Analyse und Auswertung - 02.03.2005 (6)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Hallo Chris, folgend die Posts lt. deiner Anleitung. Am Ende habe ich zusätzlich den aktuellen HJT log gepostet. Bitte lass mich wissen ob weitere Massnahmen notwendig sind (Danke schon mal - Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen...
Archiv
Du betrachtest: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131