|
Log-Analyse und Auswertung: Bitte euch alle um Auswertung von HiJackThis.logWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.08.2004, 20:18 | #1 |
| Bitte euch alle um Auswertung von HiJackThis.log hi leute, ich hat ja schon mal ein problem mit sonem scheiss aber jetzt ist wieder so ein arsch drauf, ich poste nun das HijackThis log und hoffe das ihr mir sagen könnt was ich zu tun habe... danke im vorraus Gruss Lichtgestalt Logfile of HijackThis v1.98.2 Scan saved at 21:08:11, on 24.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Dokumente und Einstellungen\Lautner\Anwendungsdaten\lora.exe C:\WINDOWS\System32\fxeqfo.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Lautner\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {47F27E10-9091-A3F2-DAA4-8EB80D3B89DA} - C:\WINDOWS\iegg.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [Eerh] C:\Dokumente und Einstellungen\Lautner\Anwendungsdaten\lora.exe O4 - HKCU\..\Run: [Vsy] C:\WINDOWS\System32\fxeqfo.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{39355591-6F85-4CD7-A73A-4EE143368F7A}: NameServer = 192.168.120.252,192.168.120.253 |
24.08.2004, 23:55 | #2 |
| Bitte euch alle um Auswertung von HiJackThis.log Hallo Lichtgestalt,
__________________weisst Du um welche Programme es sich bei diesen beiden Einträgen handelt: C:\Dokumente und Einstellungen\Lautner\Anwendungsdaten\lora.exe C:\WINDOWS\System32\fxeqfo.exe Wenn Du es nicht weisst, überprüfe bitte beide Dateien beim Online-Scan von Kaspersky. Bitte mit HijackThis fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\hayrx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {47F27E10-9091-A3F2-DAA4-8EB80D3B89DA} - C:\WINDOWS\iegg.dll So Du diese Programme nicht kennen solltest (siehe oben) - bitte fixen: O4 - HKCU\..\Run: [Eerh] C:\Dokumente und Einstellungen\Lautner\Anwendungsdaten\lora.exe O4 - HKCU\..\Run: [Vsy] C:\WINDOWS\System32\fxeqfo.exe Bitte fixen: O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) Wenn Du die hier aufgeführten Internet-Seiten nicht wissentlich den vertrauenswürdigen Seiten hinzugefügt hast, solltest Du sie mit HijackThis fixen: O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.xxxtoolbar.com Bitte fixen: O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab Solltest Du den eScan noch nicht auf Deiner Festplatte ausgeführt haben, sei bitte so nett und hole dieses nach. Du findest den eScan in meiner Signatur unter TI Hijacker-Rubrik direkt verlinkt, zusammen mit der Anweisung, wie Du mit diesem Programm verfahren musst. Der eScan muss online geupdatet werden und im abgesicherten Modus offline ausgeführt werden. Teile uns bitte mit, welche Dateien durch den eScan gelöscht bzw, umbenannt worden sind. Bitte poste nach dem Durchführen des eScan nochmals ein weiteres Logfile, damit wir erkennen können, ob Dein System nun ok ist. Um weiteren Problemen und Neu-Infektionen vorzubeugen, empfehle ich Dir einen Browserwechsel. Näheres hierzu bitte ich Dich ebenfalls meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung zu entnehmen. Sollte es Dir nicht möglich sein, den IE zu wechseln, informiere Dich bitte auf der gleichen Seite, was Du tun kannst, um sicher zu surfen. Mit freundlichen Grüßen SD |
25.08.2004, 00:41 | #3 |
| Bitte euch alle um Auswertung von HiJackThis.log Ich habe noch mal deinen anderen Thread angesehen, leider ist uns der wohl zum Abschluss allen etwas durch die Lappen gegangen. Du hattest damals ja schon Trojaner und Backdoors gefunden und wie es aussieht, ist auch nach wie vor entsprechendes auf deinem System. Wenn du wirklich sicher sein möchtest und dich dazu in der Lage fühlst, solltest du dies befolgen:
__________________1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen Ansonsten hat SD ja schon das Wichtigste gesagt. Tip: Hijackthis lieber in ein eigenes Verzeichnis entpacken und von da ausführen, wegen der Backups. |
25.08.2004, 19:24 | #4 |
Gast | Bitte euch alle um Auswertung von HiJackThis.log Anmerkung: Auch diese Adware sollte gefixt werden: O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab Aber formatier ruhig. Dies ist das gescheiteste. |
25.08.2004, 21:33 | #5 |
| Bitte euch alle um Auswertung von HiJackThis.log hi danke für die schnelle antwort... ich hab all das was ihr gesagt habt was ich fixieren soll fixiert und hier ist das aktuelle log: Logfile of HijackThis v1.98.2 Scan saved at 22:30:36, on 25.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\system32\wincq.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\crru32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\Lautner\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {0457FD01-986E-30AD-B14B-249C17748A75} - C:\WINDOWS\system32\appqh.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [wincq.exe] C:\WINDOWS\system32\wincq.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093375350562 O17 - HKLM\System\CCS\Services\Tcpip\..\{39355591-6F85-4CD7-A73A-4EE143368F7A}: NameServer = 192.168.120.252,192.168.120.253 |
26.08.2004, 07:05 | #6 |
| Bitte euch alle um Auswertung von HiJackThis.log Hallo Lichtgestalt, fixe bitte die folgenden Einträge mit Hijack This im abgesicherten Modus offline: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\tjkyr.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {0457FD01-986E-30AD-B14B-249C17748A75} - C:\WINDOWS\system32\appqh.dll O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab Überprüfe diese beiden Dateien bitte mit dem Online-Scan von Kaspersky C:\WINDOWS\system32\wincq.exe C:\WINDOWS\crru32.exe Ergebnis ? Vorbeugung gegen Browser-Hijacking: der Browserwechsel: Sicherere Alternativen zum Internet Explorer sind beispielsweise: Mozilla Mozilla Firefox Opera SD Geändert von Shadowdance (26.08.2004 um 07:38 Uhr) |
29.08.2004, 16:11 | #7 |
| Bitte euch alle um Auswertung von HiJackThis.log hi leutz, ich hab mit einem freund das ganze system neu installiert, hat ca. 4 stunden gedauert, somit hat sich das problem erledigt, ich bedanke mich aber trotzdem für jegliche anstrenung.... gruss Lichtgestalt |
Themen zu Bitte euch alle um Auswertung von HiJackThis.log |
adobe, antivirus, auswertung, bho, dll, einstellungen, excel, explorer, file missing, hijack, hijackthis, hijackthis log, internet, internet explorer, log, microsoft, monitor, problem, programme, rundll, security, security center, software, symantec, system, tcpip, temp, urlsearchhook, windows, windows xp |