| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hijackthis Logfile auswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.02.2008, 12:55
| #1 |
| |  Bitte um Hijackthis Logfile auswertung Hallo habe einen Trojaner auf meinem PC könnt ihr mir vieleicht bei der Auswertung des Logfiles helfen.Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:03, on 16.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Programme\Comodo\Firewall\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Comodo\Firewall\CPF.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe E:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe E:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe D:\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrayServer] E:\PROGRA~1\TrayServer.exe O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\Common\Database\bin\fbserver.exe (file missing) O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 5293 bytes |
|
16.02.2008, 14:03
| #2 | |
| /// Helfer-Team    | Bitte um Hijackthis Logfile auswertungZitat:
__________________ |
|
16.02.2008, 17:37
| #3 |
| | Bitte um Hijackthis Logfile auswertung Hallo und danke Franz
__________________Angeblich handelt es sich um die Datei C:WINDOWS\system32\_svchost.exe soll das Trojanische Pferd TR/Dldr.Tiny.aed sein.Wenn ich HijackThis ausführe meckert mir mein AV Guard diese Datei an.Hoffe du Kannst mir da Helfen. MFG Stephan Ferreira |
|
16.02.2008, 17:50
| #4 |
| /// Helfer-Team | Bitte um Hijackthis Logfile auswertung Ist die Schreibweise der Datei korrekt? _svchost.exe mit Unterstrich vor dem "s"?
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
16.02.2008, 18:07
| #5 |
| | Bitte um Hijackthis Logfile auswertung Ja Schreibweise ist genau so |
|
16.02.2008, 18:34
| #6 |
| /// Helfer-Team | Bitte um Hijackthis Logfile auswertung Dann lade dir und entpacke die Killbox. Aktiviere die Optionen Single File und Delete on Reboot und kopiere den Pfad Code:
ATTFilter c:\windows\system32\_svchost.exe
Achtung, nicht mit c:\windows\system32\svchost.exe (ohne Unterstrich) verwechseln! Danach auf das weiße Kreuz auf rotem Grund klicken und den Rechner neu starten lassen. Im Anschluss findest du einen Ordner c:\!killbox und in ihm die gelöschte Datei _svchost.exe. Diese lädst du bei Virustotal hoch, wertest sie dort aus und postest hier die kompletten Ergebnisse.
__________________ --> Bitte um Hijackthis Logfile auswertung |
|
16.02.2008, 20:17
| #7 |
| | Bitte um Hijackthis Logfile auswertung Hallo Franz hat alles Super geklappt hier kommt noch die Auswertung von Virus Total.Hoffe ich hab alles richtig gemacht.Vielen Dank nochmal! Datei kb.log empfangen 2008.02.16 19:50:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.16.10 2008.02.15 - AntiVir 7.6.0.67 2008.02.15 - Authentium 4.93.8 2008.02.15 - Avast 4.7.1098.0 2008.02.16 - AVG 7.5.0.516 2008.02.16 - BitDefender 7.2 2008.02.16 - CAT-QuickHeal None 2008.02.16 - ClamAV 0.92.1 2008.02.16 - DrWeb 4.44.0.09170 2008.02.16 - eSafe 7.0.15.0 2008.02.14 - eTrust-Vet 31.3.5541 2008.02.15 - Ewido 4.0 2008.02.16 - FileAdvisor 1 2008.02.16 - Fortinet 3.14.0.0 2008.02.16 - F-Prot 4.4.2.54 2008.02.15 - F-Secure 6.70.13260.0 2008.02.15 - Ikarus T3.1.1.20 2008.02.16 - Kaspersky 7.0.0.125 2008.02.16 - McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.16 - NOD32v2 2880 2008.02.15 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.16 - Prevx1 V2 2008.02.16 - Rising 20.31.50.00 2008.02.16 - Sophos 4.26.0 2008.02.16 - Sunbelt 2.2.907.0 2008.02.16 - Symantec 10 2008.02.16 - TheHacker 6.2.9.222 2008.02.16 - VBA32 3.12.6.1 2008.02.14 - VirusBuster 4.3.26:9 2008.02.15 - Webwasher-Gateway 6.6.2 2008.02.15 - weitere Informationen File size: 311 bytes MD5: f9ec510428f19b79f95796ed8ba08082 SHA1: e5ee31cf8202b7b4423e961584ed0e8515c5e04a PEiD: - |
|
16.02.2008, 20:20
| #8 |
| | Bitte um Hijackthis Logfile auswertung nein du hast es leider falsch gemacht, du sollst doch die _svchost.exe hochladen.. |
|
16.02.2008, 20:24
| #9 | |
| /// Helfer-Team | Bitte um Hijackthis Logfile auswertungZitat:
Poste mal den Inhalt der kb.log. Hattest du Antivir die _svchost.exe evtl. schon löschen oder in Quarantäne stellen lassen?
__________________ Alle Tipps und Anleitungen ohne Gewähr |
|
| Themen zu Bitte um Hijackthis Logfile auswertung |
| adobe, antivir, auswertung, avira, bho, dateien, explorer, firewall, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, logfile, logfile auswertung, logfiles, magix, messenger, microsoft, pdf, programme, s-1-5-18, software, system, trojaner, windows, windows xp |
Linear-Darstellung
