| |
| |||||||
Log-Analyse und Auswertung: HijackThis AuswertungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
14.06.2004, 12:19
| #1 |
| |  HijackThis Auswertung Hi Jack! [img]graemlins/lach.gif[/img] Weil ich seit einiger Zeit ständig umgeleitet werde (z.B. Während ich über Netscape online bin lädt sich IE, diverse Suchmaschinen...) habe ich mir HijackThis heruntergeladen. Kann mir jemand bei der Auswertung helfen oder zumindest mailen, ob da was faul ist?! Wäre äußerst dankbar! Mein Logfile: Logfile of HijackThis v1.97.7 Scan saved at 13:14:32, on 14.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\MOUSE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\DLA\TFSWCTRL.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\WUPDMGR.EXE C:\WINDOWS\SYSTEM\WININET.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NSCHED32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\NETSCAPE\NETSCAPE\NETSCP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.com"); (F:\Netscape\Users\thomas_schreck\prefs.js) O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\PROGRAMME\E2G\IEBHOS.DLL O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system\dla\tfswshx.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [dla] C:\WINDOWS\system\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wupdmgr.exe O4 - HKCU\..\Run: [System Update4] c:\windows\system\wininet.exe O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Danke & Gruß Tom |
|
14.06.2004, 14:28
| #2 |
 | HijackThis Auswertung Hi,
__________________1) alle Windowsupdates machen 2) Virenscanner installieren, aktualisieren, scannen, bzw Online mit Trend & RAV prüfen (s.u.; IE benutzen) 3) mit aktualisiertem SPYBOT & Ad-Aware prüfen & fixen 4) neues Log posten 5) Forensuche s.o. |
|
14.06.2004, 17:23
| #3 |
| | HijackThis Auswertung Hi!
__________________Hab alles wie oben gemacht, trotzdem kommt beim Scan immer noch folgendes raus: wininet.exe Infiziert: Trojan.Win32.Dialer.am wupdmgr.exe Infiziert:TrojanClicker.Win32.Small.j Löschen u.a. geht nicht... *ahnungslos* Tom |
|
14.06.2004, 18:31
| #4 |
  | HijackThis Auswertung Hallo Nils, versuch mal folgendes: 1.) Löschen der genannten Dateien im abgesicherten Modus. 2.) Ein Scan (ebenfalls im abgesicherten Modus) mit dem Free eScan Antivirus Toolkit Utility.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
15.06.2004, 14:07
| #5 |
| | HijackThis Auswertung @ Lutz: Danke! So hat's geklappt! Jesus, das war aber auch echt nötig, die zwei waren nicht die einzigen... Welches Virenschutzprogramm kannst du empfehlen?! Sieht das Logfile jetzt besser aus? (Ist das immer so viel...?!) Logfile of HijackThis v1.97.7 Scan saved at 14:54:03, on 15.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.com"); (F:\Netscape\Users\thomas_schreck\prefs.js) O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system\dla\tfswshx.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] c:\mouse\system\em_exec.exe O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [CheckMedi8or] C:\Programme\Mediator6\CheckNewUser.exe O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [dla] C:\WINDOWS\system\dla\tfswctrl.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunServices: [ctfmon.exe] ctfmon.exe O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Norton AntiVirus\NSCHED32.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...152.3587037037 Gruß Tom |
|
| Themen zu HijackThis Auswertung |
| adobe, antivirus, auswertung, bho, canon, dateien, diverse, excel, explorer, helfen, hijack, hijackthis, http://www.google.com, internet, internet explorer, logfile, lädt, microsoft, msn, object, programme, realplayer, registry, rundll, shockwave, software, suchmaschine, system, thomas, windows |
Linear-Darstellung
