|
Log-Analyse und Auswertung: Hhijackthis.log BITTE HILFEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.06.2004, 10:37 | #1 |
| Hhijackthis.log BITTE HILFE Hallo Ich habe den about:blank. Bekomme ihn nicht weg. Fast alles schon ausprobiert. Kann mir jemand bitte helfen!!! Geraldine p.s. Hier meine log: Logfile of HijackThis v1.97.7 Scan saved at 11:30:12, on 23.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\KEN!\KENSERV.EXE C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\KEN!\KENCAPI.EXE C:\Programme\KEN!\KENINET.EXE C:\Programme\KEN!\KENPROXY.EXE C:\Programme\KEN!\KENMAIL.EXE C:\Programme\KEN!\KENDNS.EXE C:\Programme\KEN!\KENSOCKS.EXE C:\Programme\KEN!\KENMAP.EXE C:\Programme\KEN!\KENFTPGW.EXE C:\Programme\KEN!\KENF4K.EXE C:\Programme\KEN!\KENCRON.EXE C:\Programme\FRITZ!\FriFax32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\KEN!\kentbsrv.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\winnt\rundll32.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\WINNT\system32\mshta.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\system32\rundll32.exe C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Dokumente und Einstellungen\Administrator.CD\Desktop\about blank\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.13:4480 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe" O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [Soundmx] \soundmx.exe O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe O4 - HKCU\..\Run: [sr64] C:\Dokumente und Einstellungen\Administrator.CD\Anwendungsdaten\Microsoft\sr64\lmkpdeaf.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=hxxp://192.168.1.26:3128/ken2000.html O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - hxxp://63.219.181.7/cax.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!hxxp://213.159.117.235/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://69.31.79.180/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11010101-1001-1111-1000-114893999762} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://lab-wire.com/pop/chm/hiruvim.chm::/d_hiruvim.exe O16 - DPF: {11010101-1001-1111-1000-115560297488} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://lab-wire.com/pop/chm/tony3.chm::/d_tony3.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://www.ruworld.com/mx/chm/files.chm::/file.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://213.159.117.131/legal/x.chm::/load.exe O16 - DPF: {11410708-1001-1111-1000-110415061728} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://lab-wire.com/pop/chm/hiruvim.chm::/d_hiruvim.exe O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - file://C:\RPC\msrdp.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - hxxp://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - hxxp://www.xpehbam.biz/exploit.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CCS\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{C84D177B-8D58-4522-BE05-2B77C84CD6CF}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F0D975B1-9038-48E7-A69B-A3FE0B116CD4}: NameServer = 192.168.114.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CS1\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CS2\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} |
23.06.2004, 14:51 | #2 |
| Hhijackthis.log BITTE HILFE Moin!
__________________Dieser Prozess hier gefällt mir nicht: C:\winnt\rundll32.exe Du nutzt zwar schon F-Secure mit KAV-Engine, aber prüf diese Datei trotzdem mal hier: http://www.kaspersky.com/de/scanforvirus Schau des Weiteren nach, ob die folgenden Dateien noch auffinbar sind: C:\WINNT\winh.exe C:\WINNT\runwin32.exe C:\WINNT\wininet32.exe Falls ja, ebenfalls prüfen. Zugehörige Registry-Einträge, welche gelöscht werden sollten: O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe Überprüfe ferner die Funktion dieser Datei: lmkpdeaf.exe Registry-Eintrag: O4 - HKCU\..\Run: [sr64] C:\Dokumente und Einstellungen\Administrator.CD\Anwendungsdaten\Microsoft\sr64\lmkpdeaf.exe Löschen: (ein Dialer O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - h+tp://63.219.181.7/cax.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11010101-1001-1111-1000-114893999762} - ms-its:mhtml:file://c:\nosuch.mht!http://lab-wire.com/pop/chm/hiruvim.chm::/d_hiruvim.exe O16 - DPF: {11010101-1001-1111-1000-115560297488} - ms-its:mhtml:file://c:\nosuch.mht!http://lab-wire.com/pop/chm/tony3.chm::/d_tony3.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/mx/chm/files.chm::/file.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/legal/x.chm::/load.exe O16 - DPF: {11410708-1001-1111-1000-110415061728} - ms-its:mhtml:file://c:\nosuch.mht!http://lab-wire.com/pop/chm/hiruvim.chm::/d_hiruvim.exe O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - file://C:\RPC\msrdp.cab Ist ne Adware: O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - h+tp://www.mt-download.com/MediaTicketsInstaller.cab Trojaner: O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - h+tp://www.xpehbam.biz/exploit.exe |
24.06.2004, 07:33 | #3 |
| Hhijackthis.log BITTE HILFE Herzlichen Dank! [img]graemlins/huepp.gif[/img] [img]graemlins/huepp.gif[/img]
__________________Bis jetzt kommt kein about blank mehr. Hier habe ich die überarbeitete Log. Ist da noch was falsch? Herzlischen Dank nochmal. Geraldine Logfile of HijackThis v1.97.7 Scan saved at 08:10:37, on 24.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\System32\svchost.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\Programme\KEN!\KENSERV.EXE C:\Programme\GFI\LANguard Network Security Scanner 3\sscansvc.exe C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\KEN!\KENCAPI.EXE C:\Programme\KEN!\KENINET.EXE C:\Programme\KEN!\KENPROXY.EXE C:\Programme\KEN!\KENMAIL.EXE C:\Programme\KEN!\KENDNS.EXE C:\Programme\KEN!\KENSOCKS.EXE C:\Programme\KEN!\KENMAP.EXE C:\Programme\KEN!\KENFTPGW.EXE C:\Programme\KEN!\KENF4K.EXE C:\Programme\KEN!\KENCRON.EXE C:\Programme\FRITZ!\FriFax32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\SCARDS32.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\Programme\KEN!\kentbsrv.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE \Cd-gb\about blank\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.13:4480 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;localhost;<local> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINNT\mxTarget.dll O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem218.dll O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINNT\system32\nohyhvwz22x.dll (file missing) O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem218.dll (file missing) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe" O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [jopa] C:\WINNT\system32\sysstartup.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [etwaqt] C:\WINNT\system32\kldanjdr.exe O4 - HKCU\..\Run: [jopa] C:\WINNT\system32\sysstartup.exe O4 - HKCU\..\Run: [sr64] C:\Dokumente und Einstellungen\Administrator.CD\Anwendungsdaten\Microsoft\sr64\bgcjibeo.exe O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=hxxp://192.168.1.26:3128/ken2000.html O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://69.31.79.180/winsearchie32.chm::/winsearchie32.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CCS\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{C84D177B-8D58-4522-BE05-2B77C84CD6CF}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{F0D975B1-9038-48E7-A69B-A3FE0B116CD4}: NameServer = 192.168.114.254 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CS1\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = CD.local O17 - HKLM\System\CS2\Services\Tcpip\..\{2F76176D-486E-402F-B20A-45B145D13BC1}: NameServer = 192.168.120.252,192.168.120.253 |
24.06.2004, 15:26 | #4 |
| Hhijackthis.log BITTE HILFE Hallo nochmals! </font><blockquote>Zitat:</font><hr />Original erstellt von Geraldine: Herzlichen Dank! [img]graemlins/huepp.gif[/img] [img]graemlins/huepp.gif[/img] Bis jetzt kommt kein about blank mehr. Hier habe ich die überarbeitete Log. Ist da noch was falsch?</font>[/QUOTE]Ja, noch einiges. MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Hm, wieso ist der IE jetzt plötzlich in Version 5.00 vorhanden? War doch vorher Version 6. Hast du evtl. über >Systemsteuerung >Software die "Reparieren-Funktion" des IE's zu nutzen? Löschen: R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINNT\mxTarget.dll O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem218.dll O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINNT\system32\nohyhvwz22x.dll (file missing) O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem218.dll (file missing) O4 - HKLM\..\Run: [jopa] C:\WINNT\system32\sysstartup.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [etwaqt] C:\WINNT\system32\kldanjdr.exe O4 - HKCU\..\Run: [jopa] C:\WINNT\system32\sysstartup.exe Diese Datei bitte mal überprüfen: C:\Dokumente und Einstellungen\Administrator.CD\Anwendungsdaten\Microsoft\sr64\bgcjibeo.exe O4 - HKCU\..\Run: [sr64] C:\Dokumente und Einstellungen\Administrator.CD\Anwendungsdaten\Microsoft\sr64\bgcjibeo.exe Löschen: O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.ch...searchie32.exe |
24.06.2004, 16:03 | #5 |
Moderator, a.D. | Hhijackthis.log BITTE HILFE Neben der Aktualisierung des IE solltest Du in Zukunft für alle Seiten außer http://www.windowsupdate.com einen anderen Browser benutzen. Browser-Hijacker nutzen Sicherheitslücken im IE aus, andere Browser sind (zurzeit noch) dagegen immun. Mein Tip: Firefox. Aktuell ist die Version 0.9, die gibts allerdings noch nicht auf Deutsch (aber vermutlich in ein paar Tagen). Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
24.06.2004, 16:09 | #6 |
| Hhijackthis.log BITTE HILFE Jo, Danke für die Ergänzung. Schließe mich dieser in vollem Umfang an. *g* |
24.06.2004, 16:20 | #7 |
Moderator, a.D. | Hhijackthis.log BITTE HILFE Ich war schon ganz verwundert, dass Du dazu nichts geschrieben hattest. Bist doch sonst nicht so vergesslich... Gruß [img]graemlins/daumenhoch.gif[/img] Yopie |
24.06.2004, 17:33 | #8 |
| Hhijackthis.log BITTE HILFE Man(n) wird halt älter. |
Themen zu Hhijackthis.log BITTE HILFE |
.inf, about blank, askbar, bho, bla, desktop, dll, einstellungen, explorer, f-secure, fritz!, gen, guard, helfen, hijack, hijackthis, internet, internet explorer, log, microsoft, object, programme, rundll, security, security scan, security scanner, shockwave, software, spybot, system, system32, tcpip, win32, windows |