|
Log-Analyse und Auswertung: HijackThis LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
25.10.2004, 03:35 | #16 |
| HijackThis Log Guten Morgen, Manuel_M ... ausgeschlafen? was mit dem eScan auf Deinem System passiert sein könnte, weiss ich auch nicht, denn Dein System ist verseucht. Es kann sein, dass Du einen Virus auf dem System hast, der AV-Programme zerstört. ===>Wichtig: bitte Reihenfolge beachten<=== Ich gebe Dir unter anderen eine Anleitung, was Du fixen musst, vielleicht kommen wir dann weiter. ===>1<=== Arbeite bitte zuerst das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "couldnotfind.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!) ===>2<=== Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. ===>3<=== Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit täglich - bevor Du ins Netz gehst - den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! ===>4<=== Downloade bitte entweder LSP-Fix oder WinsockFix. LSP-Fix oder WinsockFix wirst Du brauchen, wenn Du Einträge von 'NewDotNet' und 'Hijacked Internet access by New.Net' löscht. Es kann sein, dass Du dann Probleme hast, ins Netz zu kommen. Mit einem dieser Programme kannst Du diese Probleme beheben. Die zu löschenden Einträge korrumpieren die Winsock dlls, die Windows benötigt um eine Internetverbindung aufzubauen. Um die originalen Dateien wiederherzustellen WinsockFix oder LSPFix herunterladen, die Internetverbindung trennen und eines der Programme ausführen. Den Rechner neu booten. (Hinweis von Haui45 Gestern, 22:53 #4) ===>5<=== überprüfe mit dem online-scan von Kaspersky: D:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE D:\winnt\system32\rk.exe Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). ===>6<=== Boote in den abgesicherten Modus und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://www.couldnotfind.com/search_...ccount_id=78091 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://www.couldnotfind.com/search_...ccount_id=78091 R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - D:\WINNT\localNRD.dll O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - D:\WINNT\Downloaded Program Files\rundlg32.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing) O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - D:\WINNT\Downloaded Program Files\rundlg32.dll O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - D:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - ht*p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing) O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing) O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - D:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll (file missing) O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm (file missing) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_f...392b259014bd70e O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - ht*p://www.xxxtoolbar.com/ist/softw...006_regular.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - ht*p://www.jessy.nu/de/webinstall.cab Dialer bitte auf Diskette/CD vor dem fixen sichern (Dialer-Hinweis) O16 - DPF: {00000000-0000-0000-0000-000020030000} - ht*p://www.advnt01.com/dialer/ger_nopop.exe wenn Du diese Einträge nicht kennst/brauchst, bitte fixen: O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - ht*p://www.thepaymentcentre.com/build/vbiewer.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - ht*ps://img.web.de/v/mail/mms/activ...upload_1111.cab O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - ht*p://www.ipix.com/viewers/ipixx.cab O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - ht*p://www.pixaco.de/static/download/iedropupload.cab Boote in den normalen Modus. ===>7<=== Mit LSP-Fix oder WinsockFix löschen: O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - D:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net ===>8<=== Geh bitte auf diese Seite: eScan, scrolle ganz runter und schau mal nach, ob die Zusatz-Signaturen, von denen dort die Rede ist, auch für Deine Version des KAV geeignet sind. Update bitte den KAV, sonst nützt er nichts. Scanne damit Deinen Rechner. ===>9<=== Lass uns das Ergebnis der Online-Scan-Überprüfung und des Scans mit KAV wissen. (Vergiss nicht die Daten/Spybot-Report - Adressaten beachten! - abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es. SD |
25.10.2004, 08:05 | #17 |
| HijackThis Log @ Manuel_M,
__________________sollte das alles nicht funktionieren, hab ich noch eine Idee. Lade TrojanCheck runter. Führe das Programm auf Deinem Computer aus. Klicke TrojanCheck an, so dass Du das grosse Fenster des Programms vor Dir auf dem Bildschirm hast. Hier siehst Du nun oben drei Tasten, eine davon lautet "Autostarts". Wenn Du darauf klickst, erscheint ein neues Fensterchen, rechts unten im Bild siehst Du "Report". Klick auf "Report". Nun erscheint ein noch größeres Fenster mit dem Report. Du kannst ihn schließen oder speichern. Speichere ihn bitte ab, als "trojancheck_mm.txt". Gib diesen "trojancheck_mm.txt" hier ins Forum. Kann sein, dass Du dazu mehrere Postings nötig hast. Wir bekommen damit eine Einsicht in (nur als Beispiel): Registry - Standardeinträge Registry - Shell Spawning Registry - Active Setup Registry - Virtuelle Gerätetreiber (VxD) Registry - ICQ Net Autostart - Standardeinträge INI Dateien Batch und Text Dateien EXPLORER.EXE in C:\ ... auf diese Weise müßten wir eigentlich Trojaner erkennen können, wenn sie sich denn auf Deinem System befinden. MIt TrojanCheck lassen sich Registry-Einträge löschen. Das solltest Du aber besser nur auf Anweisung machen .. kann sein, dass sonst nichts mehr geht .. Lieben Gruss SD |
25.10.2004, 10:17 | #18 |
| HijackThis Log Danke für die Unterstützung .
__________________Ich bin noch auf der Arbeit aber heute Abend werde ich die Schritte ausführen und hoffentlich mein System bereinigen. |
25.10.2004, 10:31 | #19 |
| HijackThis Log @ Manuel_M ok, melde Dich wieder .. mit dem/den Befund(en). SD |
25.10.2004, 19:16 | #20 |
| HijackThis Log Habe Trojancheck ausgeführt. |
26.10.2004, 06:30 | #21 |
| HijackThis Log ---> BITTE an die Kollegen, schaut Euch das mal an. Könnt Ihr etwas erkennen? Wenn ich es mache, dauert es Stunden, dazu bin ich darin zu ungeübt. SD |
27.10.2004, 17:13 | #22 |
| HijackThis Log Hallo ich habe euch den Spybot-Report zugeschickt. Was soll ich nun machen? |
Themen zu HijackThis Log |
.pdf, avg, bho, dll, drivers, ebay, einstellungen, excel, explorer, festplatte, file missing, helfen, hijack, hijackthis, hijackthis log, hilfe, homepage, internet, internet explorer, kaspersky, log, manuel, nvcpl.dll, programme, rundll, software, sun java, system, temp, urlsearchhook, viren, virus, windows |