Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups

HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups


Log-Analyse und Auswertung: HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 21.05.2008, 12:07   #4
myrtille
/// TB-Ausbilder
 
HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups - Standard

HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups


Hi,
Da gibt es glaub ich ein wenig Klärungsbedarf.
(siehe dazu auch unsere Anleitung zu Hijackthis )


Das Hijackthislog teilt sich in 2 große Blöcke:
Die laufenden Prozesse:
Zitat:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
D:\VMware\VMware Server\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Tools\SysinternalsSuite0408\procexp.exe
D:\Tools\SysinternalsSuite0408\Tcpview.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
und Informationen zu Startups etc:
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdoclc.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O15 - ESC Trusted Zone: h**p://notifier.antivir-pe.de
O15 - ESC Trusted Zone: h**p://ftp-mozilla.netscape.com
O15 - ESC Trusted Zone: h**p://germany.real.com
O15 - ESC Trusted Zone: h**p://www.real.com
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com
O15 - ESC Trusted Zone: h**p://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203957080953
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1203957221856
O17 - HKLM\System\CCS\Services\Tcpip\..\{B17D798B-607C-4378-9CFC-8285CD05C0A5}: NameServer = 10.3.2.254,10.3.3.34
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - D:\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
Die in der startups-Liste vertretetenen Einträge von bleepingcomputer sind dabei die fettmarkierten.
Deine Liste enthält also eigentlich nur 3 Dateien die Startupitems entspricht:
Zitat:
smss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
spoolsv.exe
avguard.exe
vmnat.exe
vmnetdhcp.exe
Explorer.EXE
realsched.exe
jusched.exe
ctfmon.exe
firefox.exe
Schauen wir uns also die 3 Einträge näher an.
  • realsched.exe
    Zitat:
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    Wenn du jetzt bei startups guckst, wirst du für realsched.exe schädliche und unnötige Einträge finden.
    Also gilt es zu identifizieren, welche Sorte von Eintrag das ist.
    Dabei hilft dir vor allem (der fettmarkierte) Name.
    ->Alle Einträge mit dem Namen TkBEllExe und dem Dateinamen realsched.exe werden als unnötig, also nicht als schädlich eingestellt.
    Die Datei ist der Updater vom Realplayer
  • jusched.exe
    Zitat:
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe "
    Hier gilt dasselbe Name SunJavaUpdateSched & Dateiname jusched.exe werden als unnötig, aber nicht als schädlich eingestuft.
    Die Datei ist der Updater von Java
  • ctfmon.exe
    Zitat:
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    Hier ist es schon schwerer: Es gibt 2 identische Einträge mit Namen ctfmon.exe & Dateinamen ctfmon.exe ein gutartiger und ein bösartiger.
    Wie unterscheidet man das jetzt?
    Als erstes kann man mal schauen in welchem Ordner die gutartige und die bösartige Datei liegen, normalerweise sind die nicht identisch. Wenn die Datei nicht im richtigen Ordner liegt ist eigentlich immer was faul.
    Hier liegen jedoch beide im selben Ordner (C:\windows\system32). Also kann man auch nicht am Ort festmachen ob der Eintrag gut oder böse ist.

    Wenn man also nicht auf herkömmliche Art&Weise den Eintrag identifizieren kann, muss man sich den Befall, der den Eintrag erstellt genauer anschauen: link
    Zitat:
    Adds the value:

    "ctfmon.exe" = "%System%\ctfmon.exe"

    to the registry subkey:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    so that it's executed every time Windows starts:
    Es nutzt also nicht die schon vorhandenen Einträge der legitimen ctfmon.exe, sondern erstellt einen weiteren eigenen Eintrag in HKLM.
    Der ist in deinem Log aber nicht zu sehen, daher kann man auch hier davon ausgehen, dass der Eintrag gut ist.

Wenn du einzelne Dateien überprüfen willst, dann empfehle ich dir eher die filedatabase zu nutzen.

War das soweit verständlich?
lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!

Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!
 

Themen zu HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups
adobe, antivir, avira, bho, defender, download, exe, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, log-datei, mozilla, mozilla firefox, pdf, programme, seiten, server, software, system, temp, trojaner, ups, viren, windows, windows defender


« Habe Trojaner und kann ihn nicht entfernen! | TR/Crypt.XPACK.Gen - Internetnutzung kaum möglich »


Ähnliche Themen: HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups


  1. 5. win 10 clean install, anfangs alles ok, nach einiger zeit ruckelt alles bei zirka 50 % aller startups
    Log-Analyse und Auswertung - 17.09.2015 (3)
  2. HiJackthis log
    Log-Analyse und Auswertung - 27.02.2010 (3)
  3. # C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.e
    Mülltonne - 01.12.2009 (2)
  4. hijackthis file-yieldmanager-hijackthis.de geblockt
    Log-Analyse und Auswertung - 08.07.2009 (1)
  5. bloodhound.expoit.196 & O4 Startups von internetseiten
    Plagegeister aller Art und deren Bekämpfung - 12.04.2009 (37)
  6. hijackthis
    Mülltonne - 01.11.2008 (0)
  7. HiJackThis
    Mülltonne - 26.08.2008 (0)
  8. Bitte wer hilft beim auswertenLogfile of HijackThis v1.99.1Logfile of HijackThis v1.9
    Log-Analyse und Auswertung - 23.02.2007 (1)
  9. w*w.hijackthis.de down?
    Log-Analyse und Auswertung - 06.08.2006 (2)
  10. a2 hijackfree - tricky startups
    Antiviren-, Firewall- und andere Schutzprogramme - 29.04.2006 (6)
  11. !! Hijackthis Log !! help plz =) !!
    Log-Analyse und Auswertung - 26.12.2005 (1)
  12. HiJackThis log
    Log-Analyse und Auswertung - 22.12.2005 (10)
  13. hijackthis log
    Log-Analyse und Auswertung - 03.04.2005 (3)
  14. Hijackthis LOG
    Log-Analyse und Auswertung - 24.10.2004 (4)
  15. HiJackThis
    Log-Analyse und Auswertung - 24.10.2004 (13)
  16. HijackThis ???
    Log-Analyse und Auswertung - 23.10.2004 (1)
  17. Hijackthis ??
    Log-Analyse und Auswertung - 07.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups - Hi, Da gibt es glaub ich ein wenig Klärungsbedarf. (siehe dazu auch unsere Anleitung zu Hijackthis ) Das Hijackthislog teilt sich in 2 große Blöcke: Die laufenden Prozesse: Zitat: Running - HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups...
Archiv
Du betrachtest: HIJackThis Auswertungsproblem Sysinfo.org/bleepingcomputer.com/startups auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19