|
Log-Analyse und Auswertung: HIILLLLFEE!!!! HiJackThis???????Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.09.2004, 23:51 | #1 |
| HIILLLLFEE!!!! HiJackThis??????? Hallo, brauche dringend hilfe weil ich diesen be***issenen HijackThis nicht von meinem Rechner bekomme!!!!!!!! Schon mal danke im Vorraus!!!! Hier ist meine Logfile: Logfile of HijackThis v1.98.2 Scan saved at 00:51:03, on 25.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe F:\WINDOWS\System32\nvsvc32.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe D:\Programme\Logitech\MouseWare\system\em_exec.exe D:\PROGRA~1\Grisoft\AVG7\avgcc.exe F:\WINDOWS\System32\ctfmon.exe F:\WINDOWS\System\MSMSGSVC.exe F:\WINDOWS\System32\devldr32.exe F:\Programme\WinRAR\WinRAR.exe F:\Programme\Internet Explorer\iexplore.exe F:\DOKUME~1\DeLuXe\LOKALE~1\Temp\Rar$EX35.625\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - F:\WINDOWS\dpe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - F:\WINDOWS\System32\ADV.dll O4 - HKLM\..\Run: [NvCplDaemon] REM RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] REM nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] REM RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [mmtask] REM c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] F:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [RemoteControl] REM "D:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] REM F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] REM F:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [KernelFaultCheck] REM %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Accelerate] F:\Programme\Webroot\Accelerate\accelerate.exe /S O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [PowerBar] REM "D:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime O4 - HKCU\..\Run: [FAST Defrag] REM O4 - HKCU\..\Run: [Steam] REM d:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [Bawb] F:\Dokumente und Einstellungen\DeLuXe\Anwendungsdaten\omat.exe O4 - HKCU\..\Run: [MSMsgSvc] F:\WINDOWS\System\MSMSGSVC.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://F:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://F:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://F:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://F:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\PROGRA~1\ICQ\ICQ.exe O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/? |
25.09.2004, 00:02 | #2 | |
| HIILLLLFEE!!!! HiJackThis???????Zitat:
|
25.09.2004, 00:04 | #3 |
| HIILLLLFEE!!!! HiJackThis??????? Entpacke HijackThis zunächst mal in ein eigenes Verzeichnis und starte es von da.
__________________Diese Datei: F:\WINDOWS\System\MSMSGSVC.exe bitte hier: http://virusscan.jotti.org/de überprüfen lassen. Dürfte zumindest nichts Gutes sein, ich schreibe es auch bei den zu fixenden Sachen schon mal mit dazu, falls es Probleme gibt, kannst du es aus dem Backup wiederherstellen. E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Beende über den Taskmanager den Prozess: F:\WINDOWS\System\MSMSGSVC.exe Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): F:\WINDOWS\System\MSMSGSVC.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated) O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - F:\WINDOWS\dpe.dll O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - F:\WINDOWS\System32\ADV.dll O4 - HKCU\..\Run: [Bawb] F:\Dokumente und Einstellungen\DeLuXe\Anwendungsdaten\omat.exe O4 - HKCU\..\Run: [MSMsgSvc] F:\WINDOWS\System\MSMSGSVC.exe O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/? Boote in den abgesicherten Modus: http://www.trojaner-board.de/63335-w...s-starten.html lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
25.09.2004, 13:13 | #4 |
| HIILLLLFEE!!!! HiJackThis??????? ok, habs überprüfen lassen: Service load: 0% 100% File: MSMSGSVC.exe Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) Packers detected: UPX AntiVir No viruses found (1.30 seconds taken) Avast No viruses found (3.36 seconds taken) BitDefender No viruses found (4.76 seconds taken) ClamAV No viruses found (6.42 seconds taken) Dr.Web No viruses found (4.39 seconds taken) F-Prot Antivirus No viruses found (0.58 seconds taken) F-Secure Anti-Virus No viruses found (4.70 seconds taken) Kaspersky Anti-Virus No viruses found (5.92 seconds taken) mks_vir No viruses found (8.75 seconds taken) NOD32 No viruses found (10.10 seconds taken) Norman Virus Control No viruses found (6.04 seconds taken) |
25.09.2004, 13:31 | #5 |
| HIILLLLFEE!!!! HiJackThis??????? Schicke die Datei bitte gezipped an diese adresse: virus@av.klaffke.info mit einem Link zu diesem Thread hier. Mir kommt das nicht so ganz geheuer vor, denn es gibt dazu keinerlei Infos. Wenn du sie rechtsklickst und die Infos abfragst, steht da irgendwas (Autor, Firma usw.)? Hast du den Rest der Dinge abgearbeitet? |
26.09.2004, 12:42 | #6 |
| HIILLLLFEE!!!! HiJackThis??????? Bringt es was, wenn ich mein System neu drauf mache, ich meine es sind ja nur dateien im System befallen,oder?? Das wäre für mich einfacher als stundenlang den pc hoch und runter zu fahren, den und den scanner laufen zu lassen ..... Mit formatiern und alles neu installieren bin ich in 1er Stunde fertig!! |
26.09.2004, 12:48 | #7 |
Administrator, a.D. | HIILLLLFEE!!!! HiJackThis??????? Ja, es die ist beste und sicherste Lösung, um wieder einen sauberes und vertrauenswürdiges System zu erhalten. Allerdings solltest du dein System VOR der ersten I-net Verbindung dementsprechend absichern => Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken |
Themen zu HIILLLLFEE!!!! HiJackThis??????? |
avg, bho, boot, cyberlink, danke, dringend, einstellungen, excel, explorer, google, hijack, hijackthis, hilfe, icq, internet, internet explorer, logfile, meinem, microsoft, nvcpl.dll, obfuscated, programme, rundll, rundll32.exe, software, solution, system, system32, temp, webroot, windows, windows xp |