|
Log-Analyse und Auswertung: HiJackThis-Log bitte überprüfen.... Trojaner etc.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.10.2004, 22:13 | #1 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. Hallo... Ich hab ziemlich viele Probleme: Der Trojaner Dldr.IstBar.PT geht einfach nicht weg! Ständig bekomme ich Meldungen von meinem AntiVirus-Programm. Der Worm Sdbot.39936.B ist auch nach jedem Neustart wieder auf dem PC und einige andere auch, z.B. Rbot.SC. Im TaskManager sind auch einige merkwürdige Prozesse: zB. stach.exe oder netstar.exe, löschen bringt nichts. Ich bin am verzweifeln.. Den HiJackThis-Log hab ich schon versucht über dieses Erkennungsprogramm im Internet auswerten zu lassen, hab auch alles gefixt, aber gebracht hat das irgendwie nichts?? Kenne mich auch nichts wirklich aus.. Ich hoffe, mir kann jemand helfen. Hier ist mein Log: Logfile of HijackThis v1.98.2 Scan saved at 23:02:13, on 14.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\msmsgs.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\wvsvc.exe C:\WINDOWS\System32\winser32.exe C:\WINDOWS\System32\winser32.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\AVPersonal\INETUPD.EXE C:\WINDOWS\System32\winmon.exe c:\netstar.exe C:\WINDOWS\System32\crsss32.exe c:\netstar.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\winser32.exe C:\WINDOWS\System32\CTFMON.EXE C:\WINDOWS\System32\winmon32.exe C:\WINDOWS\System32\winser32.exe C:\WINDOWS\System32\sdin.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\IEXPLORE.EXE c:\netstar.exe c:\netstar.exe c:\netstar.exe c:\netstar.exe C:\unzipped\hijackthis1982[1]\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\xxx\LOKALE~1\Temp\5.tmp.exe O4 - HKLM\..\Run: [REGRUN] C:\arsetup.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe O4 - HKLM\..\Run: [wvsvc] wvsvc.exe O4 - HKLM\..\Run: [Windows32 Serivces] winser32.exe O4 - HKLM\..\Run: [Windows Monitor] winmon.exe O4 - HKLM\..\Run: [CRC Value Verifier] crsss32.exe O4 - HKLM\..\Run: [Window Monitor] winmon32.exe O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe O4 - HKLM\..\Run: [SDIN Adapter] sdin.exe O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe O4 - HKLM\..\RunServices: [Windows32 Serivces] winser32.exe O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss32.exe O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe O4 - HKLM\..\RunServices: [SDIN Adapter] sdin.exe O4 - HKLM\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - HKLM\..\RunOnce: [SDIN Adapter] sdin.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe O4 - HKCU\..\Run: [wvsvc] wvsvc.exe O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe O4 - HKCU\..\RunOnce: [Windows Messenger] msmsgs.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097783661809 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{35E976CA-C12F-4218-8D30-4F40ED422A15}: NameServer = 217.237.149.225 217.237.151.97 O17 - HKLM\System\CCS\Services\Tcpip\..\{525F9BA6-3B14-4DCA-BD96-561F931E4E2B}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{35E976CA-C12F-4218-8D30-4F40ED422A15}: NameServer = 217.237.149.225 217.237.151.97 |
14.10.2004, 22:31 | #2 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. hallo.
__________________erstmal hast du eine ungepatchte version von win xp, geh mal auf windows update und bring dein windows auf den neuesten stand (sicherheitslücken flicken) auch den internetexplorer würde ich mal auf updates überprüfen oder am besten auf einen sichereren alternativen browser (z.b. mozilla firefox) umsteigen. hast du schon mal versucht, die sachen im abgesicherten modus zu fixen? guck auch mal, was sich alles beim systemstart so mit läd (ausführen - msconfig). beende die laufenden prozesse im taskmanager und versuche dann das fixen. schon adaware, spybot und so versucht? |
14.10.2004, 23:07 | #3 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. danke erstmal für die schnelle antwort.
__________________also.. das update mache ich gerade. beim systemstart läd sich z.B. winmon, winmon32, msnmsng, wvsvc, winser32 mit. ich hab die jetzt deaktiviert aber das heißt ja nicht, dass die weg sind, oder?? also wie krieg ich die weg und was sind das überhaupt für dinger? ich blick nicht durch... *g* sowas wie adaware etc. hab ich noch nicht probiert... hab lediglich nen antivirenscanner, auch keine firewall oder so. kenn mich auch nicht mit sowas aus. |
14.10.2004, 23:21 | #4 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. Dein Rechner ist leider komplett verseucht mit Schädlingen, die einem Angreifer die Möglichkeit eröffnen, dein System völlig zu manipulieren und zu verändern. Kleine Auswahl: http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.RT http://www.sophos.de/virusinfo/analy...2forbotap.html http://de.trendmicro-europe.com/ente...e=WORM_RBOT.QQ Daher gilt: http://oschad.de/wiki/index.php/Kompromittierung und als einzig vernünftige Lösung: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) keine alten Passworte wiederverwenden, sondern alle neu anlegen Wie gesagt dürfte dein bisheriger Verzicht auf Updates eine der wesentlichen Ursachen sein, daher solltest du darauf achten, das regelmäßig zu tun und die Neuinstallation genau nach der Anleitung vornehmen. Weitere sehr wichtige Erkenntnisse und umzusetzende Hinweise für die Zukunft findest du leichtverständlich hier: http://www.mathematik.uni-marburg.de...ompromise.html |
14.10.2004, 23:22 | #5 |
Administrator, a.D. | HiJackThis-Log bitte überprüfen.... Trojaner etc. @ meadchen Das Update kannst du dir zum jetzigen Zeitpunkt ersparen, denn dein Rechner ist dermassen mit Backdoor Trojaner durchseucht, dass zur deiner eigenen Sicherheit nur ein Neuaufsetzen deines System in Frage kommt. Anleitung dazu findest du hier: http://www.trojaner-board.de/showpos...28&postcount=2 EDIT: MK war schneller. |
14.10.2004, 23:24 | #6 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. vielen dank für die websites. hab schon gemerkt, dass mein rechner total verseucht ist... ich wollte nur tortzdem alles versuchen, weil ich auf bestimmte dateien nicht verzichten wollte, die ich momentan auf meinem PC hab.. aber es lässt sich anscheinend nicht vermeiden =( |
14.10.2004, 23:27 | #7 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. Kannst du sie denn nicht sichern, auf CD, einer zweiten Partition o.A.? huhu Cidre |
14.10.2004, 23:28 | #8 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. also durch winmon manifestiert sich der wurm W32/Agobot-KA. msnmsng ist der wurm W32/Sdbot-PZ das andere sind auch irgendwelche würmer. formatieren ist wohl das beste/ einfachste. welchen virenscanner verwendest du? wird der auch regelmäßig geupdatet? und installiere eine firewall, wenn du dein system neu zusammengebastelt hast! guck mal hier wegen ner firewall und evetuell einem besseren virenscanner (weiß ja nicht, was du grad hast): http://www.trojaner-info.de/softwarecenter.shtml |
14.10.2004, 23:33 | #9 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. @ MountainKing: Um sie auf CD oder so zu sichern, sind es zu viele.. Naja, ich muss halt damit leben. @ Wattewuschel: Nein, ich habe die alle beim Systemstart (Ausführen - msconfig) deaktiviert. Ich verwende den Virenscanner Luke Filewalker, Version 6... irgendwas, hab ihn erst heute geupdatet und der findet ja auch alle aber kann die nur löschen, überschreiben.. in ein Quarantäneverzeichnis legen oder sowas und dann kommen sie immer wieder. |
14.10.2004, 23:51 | #10 |
| HiJackThis-Log bitte überprüfen.... Trojaner etc. dieser luke filewalker ist das Antivir PE (H+BEDV), so nennt sich die scanfunktion. prüf einfach, was von deinen liebgewordenen programm wiederbeschaffbar ist, und wenn man 3-4 cds für die sicherung nimmt, was solls. sind doch inzwischen cent-artikel. |
Themen zu HiJackThis-Log bitte überprüfen.... Trojaner etc. |
.inf, adapter, auswerten, dll, explorer, hijack, icq, internet, internet explorer, löschen, mein log, meinem, messenger, microsoft, monitor, msn, neustart, programme, prozesse, rundll, software, sun java, system, taskmanager, tcpip, temp, trojaner, windows, windows messenger, windows xp, windows32, worm |