|
Log-Analyse und Auswertung: hijJckThis berichtWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
27.02.2009, 14:57 | #1 |
| hijJckThis bericht Hallo Leute, Ich hab wohl einige vieren auf meinem neuen laptop bekommen, allerdings besitze ich noch kein antivirusprogramm und weiss nicht wie ich das anstellen sollte, damit es wieder läuft. Windows läuft nur unter abgesicherter modus, im normalen modus wird folgenede meldung gezeigt :"Persönliche Einstellungen einrichten für...." und funktioniert kein explorer, nicht mal der taskmaneger. Ich wäre sehr dankbar wenn mir jemanden ein paar tips geben könnte Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:55:06, on 27.02.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\TEMP\423F.tmp C:\WINDOWS\system32\rundll32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\ODMZ452R\HiJackThis[1].exe C:\WINDOWS\system32\rundll32.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\nthost32.exe" F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,"C:\WINDOWS\nthost32.exe", O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\fccbXrSl.dll O2 - BHO: (no name) - {88F52D84-C6A7-41C8-996A-F3FB48AD1E5B} - C:\WINDOWS\system32\byXOHwWo.dll O2 - BHO: C:\WINDOWS\system32\hhs3ijndfd.dll - {c5bf49a2-94f3-42bd-f434-3604812c8955} - C:\WINDOWS\system32\hhs3ijndfd.dll O2 - BHO: {0987e674-44bc-149b-8a44-3665a4941afd} - {dfa1494a-5663-44a8-b941-cb44476e7890} - C:\WINDOWS\system32\mabyru.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ACU] "C:\Programme\Atheros WLAN Client\ACU.exe" -nogui O4 - HKLM\..\Run: [jsf8uiw3jnjgffght] C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\winlognn.exe O4 - HKLM\..\Run: [00928a36] rundll32.exe "C:\WINDOWS\system32\lfsojgsg.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [settings] C:\WINDOWS\nthost32.exe O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16 O4 - HKCU\..\Policies\Explorer\Run: [settings] C:\WINDOWS\nthost32.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: VPN Client.lnk = ? O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = rz.uni-karlsruhe.de O20 - AppInit_DLLs: mabyru.dll O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll O20 - Winlogon Notify: fccbxrsl - C:\WINDOWS\SYSTEM32\fccbXrSl.dll O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hhs3ijndfd.dll O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- End of file - 4174 bytes |
27.02.2009, 15:44 | #2 |
| hijJckThis bericht Hallo und
__________________Du hast da einen ganzen Zoo an Schädlingen, deshalb lasse ich dich auch nicht unsere Liste abarbeiten. Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\nthost32.exe C:\WINDOWS\SYSTEM32\crypts.dll C:\WINDOWS\SYSTEM32\fccbXrSl.dll C:\WINDOWS\system32\hhs3ijndfd.dll C:\WINDOWS\system32\mabyru.dll C:\WINDOWS\xccdf16_090131a.dll C:\WINDOWS\system32\lfsojgsg.dll C:\DOKUME~1\XXXXX~1\LOKALE~1\Temp\winlognn.exe C:\WINDOWS\system32\byXOHwWo.dll Vielleicht solltest du deine Zeit lieber sparen und hier mal vorbeischauen: http://www.trojaner-board.de/51262-a...sicherung.html ciao, andreas |
27.02.2009, 16:22 | #3 |
| hijJckThis bericht hallo andreas,
__________________vielen dank für die tips. Ich würde schon gerne ein systemwiederherstellung mchn, da der laptop gerade 1 tag alt ist und es sogut wie ichts drauf gibt, allerdings ist so, dass ich ein samsung nc10 habe und er hat kein laufwerk um von der cd zu booten. Ich werde noch probieren die datein system cd auf ein usb stick zu packn und von dort zu booten. Dazu habe ich auch noch eine frage, im abgesichertn modus ist es so dass keine usbgeräte erkannt werden, ist dies bei der systemwiredrherstellung egal, da es noch davor(vor der auswahl einer bestimmten modus) stattfindet, und wie ist es eigentlich mit einem externen laufwerk mit usb anschluss???? Die andere Altrative wäre jtzt noch zu versucen ein externer laufwerk zu besorgen. Wieso soll es einfach sein, wenn es auch viel komplizierter gehet Lg illy |
27.02.2009, 20:25 | #5 |
| hijJckThis bericht hi, Es hat geklappt Zwar habe ich dafür ein dvd laufwerk gekauft, den bringe ich aber morgen wieder zurück. Jetzt habe ich sogar antivieren program in keine vieren mehr hura kann mich mcafee auch beim instalieren vom gekrackten software vor vieren schützen, was muss man dabei beachten? Danke für die hilfe |
27.02.2009, 20:30 | #6 | ||
Administrator > Competence Manager | hijJckThis berichtZitat:
Das wundert mich dann auch nicht: Zitat:
EOD,
__________________ --> hijJckThis bericht |
Themen zu hijJckThis bericht |
adobe, bho, content.ie5, crypt, dll, einstellungen, explorer, hijack, hijackthis, hkus\s-1-5-18, ics, internet, internet explorer, kein explorer, laptop, messenger, micro, microsoft, neue, programme, rundll, software, sp3, system, system32, temp, userinit.exe, windows xp, windows\temp, wlan |