|
Log-Analyse und Auswertung: Security System HJT Log-File -> Was soll ich fixen?!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.02.2009, 23:07 | #1 |
| Security System HJT Log-File -> Was soll ich fixen?! Hallo! Seit 2 Stunden versuche ich dieses Programm loszuwerden und bin bereits mit den Nerven am Ende! Ich hoffe mir kann hier jemand schnell weiter helfen?! Was soll ich hiervon alles fixen?! Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:23:57, on 13.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Programme\system\smss.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\All Users\Application Data\1973870039\764753028.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Google\Update\GoogleUpdate.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=localhost:7070 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\csrs.exe O4 - HKLM\..\Run: [764753028] "C:\Dokumente und Einstellungen\All Users\Application Data\1973870039\764753028.exe" O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227107924843 O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227109145328 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: Google Update Service (gupdate1c95ca35e1846e6) (gupdate1c95ca35e1846e6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NFAgent - Unknown owner - C:\Programme\system\smss.exe -- End of file - 8559 bytes |
14.02.2009, 00:01 | #2 |
| Security System HJT Log-File -> Was soll ich fixen?! Das Problem ist gelöst!!!
__________________Das Programm "Spybot - Search & Destroy" hat es sofort aufgespürt und gelöscht! |
14.02.2009, 00:25 | #3 |
/// Selecta Jahrusso | Security System HJT Log-File -> Was soll ich fixen?! war das dieses Fake Security System von windows?
__________________wenn ja ist es mit Spybot wahrscheinlich nicht getan Lade dir Malwarebytes herunter updaten-->im abgesicherten Modus laufen lassen und Ergebniss posten es ist nicht gesagt das dein system sauber ist weil die Symptome verschwunden sind!!!!! |
16.02.2009, 00:15 | #4 |
| Security System HJT Log-File -> Was soll ich fixen?! Hallo... soll ich einfach alles enfernen??? Ich warte lieber mal auf eine Antwort von euch...zum Glück hab ich noch einen Laptop mit dem ich arbeiten kann. Aber vorerst mal vielen Dank für den Hinweis @Gentlman!!! hier meine weiteren infizierten Orte von Malewarebytes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1761 Windows 5.1.2600 Service Pack 3 16.02.2009 00:06:36 mbam-log-2009-02-16 (00-05-57).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 421966 Laufzeit: 8 hour(s), 2 minute(s), 19 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nfr.sys (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nfr.sys (Trojan.Agent) -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\nfr.sys (Trojan.Agent) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Process (Backdoor.Bot) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> No action taken. Infizierte Dateien: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> No action taken. C:\WINDOWS\system32\drivers\nfr.sys (Trojan.Agent) -> No action taken. |
16.02.2009, 00:30 | #5 |
Gast | Security System HJT Log-File -> Was soll ich fixen?! Hallo Dunnerkeil, Du hast ein Backdoor-Virus auf Deinem Computer. Damit können andere mit Benutzerrechten auf Deinem Computer arbeiten. Selbst wenn alle Viren auf Deinem Computer entfernt werden können, kannst Du Deinem System nicht mehr vertrauen. Eine Neuinstallation wäre sinnvoll, außer es sprechen gute Gründe deinerseits dagegen. Grüße 45cl3p1u5 |
16.02.2009, 10:31 | #6 |
| Security System HJT Log-File -> Was soll ich fixen?! verdammte sch...!! Ok...ich werd sehn das ich am Wochenende alles neu mache. Gibt es wirklich keine andere Möglichkeit mehr?! Ich habe jetzt noch zusätzlich Zone-Alarm auf meinem PC..darüber werden ja auch alle Internetaktionen überwacht..wird dadurch eventuell auch ein Zugriff durch andere verweigert? bei den infizierten Dateien steht ja auch (no action taken), heißt doch das da gerade nix passiert bzw nix festgestellt worden ist?!?! soll ich die trotzdem vorsichtshalber mit malewarebytes löschen (alle 8 infizierten Objekte)? Edit: Wenn ich alles neu mache muss ich vorher noch einige wichtige Dokumente und Bilder auf meine externe Festplatte übertragen...besteht keine Gefahr das diese dann auch infiziert wird??? sonst bin ich am Ende! Geändert von Dunnerkeil (16.02.2009 um 10:52 Uhr) Grund: noch ne Frage: |
16.02.2009, 14:14 | #7 |
| Security System HJT Log-File -> Was soll ich fixen?! ...also das mit dem "no action taken" bezieht sich wohl doch nur auf das Programm Malewarebytes, dass es noch nix vorgenommen hat... Ich habe auf meinem Laptop ebenfalls Malewarebytes drüber laufen lassen -> keine infizierten Objekte! Ich bin im Moment Backups am machen und dann formatiere ich alles. Ich lasse dann nochmal meine externe Festplatte mit diversen Programmen(antivir,antispy, maleware) checken bevor ich alles neu mache. die gefundenen infizierten Objekte von Malewarebytes lass ich vorerst drauf...nicht das wichtige Registrierungsschlüssel gelöscht werden(kenn mich auch nicht damit aus) Wenn sowieso gleich alles formatiert wird dürfte das ja egal sein?! Ich hoffe das reicht soweit?! Geändert von Dunnerkeil (16.02.2009 um 14:20 Uhr) Grund: mit der Forumanzeige war ein Irrtum! |
16.02.2009, 14:34 | #8 |
Gast | Security System HJT Log-File -> Was soll ich fixen?! die Funde von Maleware kannst Du ruhig entfernen lassen, ist besser so. |
16.02.2009, 14:56 | #9 |
| Security System HJT Log-File -> Was soll ich fixen?! alles klar...dann noch eine allerletzte Frage Ich habe 2 Partitionen... es reicht doch wenn ich die Partition C, wo auch das Betriebssystem drauf ist formatiere oder soll ich alles neu machen? |
16.02.2009, 14:58 | #10 |
Gast | Security System HJT Log-File -> Was soll ich fixen?! Partition C reicht aus, solange Partition D nur Daten enthält und Du dort keine Programme installiert hast. |
16.02.2009, 15:15 | #11 |
| Security System HJT Log-File -> Was soll ich fixen?! das ist mir schon mal viel Wert... Vielen lieben Dank für die schnelle Hilfe!!!! Ich hoffe so schnell passiert mir das nicht nochmal wieder. |
Themen zu Security System HJT Log-File -> Was soll ich fixen?! |
adobe, antivir, antivirus, avg, avira, bho, dll, einstellungen, enigma, excel, explorer, google, gupdate, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, konvertieren, log-file, logfile, object, pdf-datei, programm, rundll, security, security suite, software, system, windows, windows xp |