| |
| |||||||
Log-Analyse und Auswertung: Hilfe bei HijackingWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
09.11.2004, 14:20
| #1 |
| |  Hilfe bei Hijacking Hallo erstmal Habe Probleme mit einem gejacktem Rechner. Hab die Logdatei schon automatisch auswerten lassen, bekomme aber einige unbekannte Einträge. Vielleicht könnt ihr was damit anfangen. Ich poste mal die Log und hoffe ihr könnt was damit anfangen. Ich habe die unbekannten Einträge mit drei Fragezeichen versehen (???). Vielen Dank im Vorraus!!! Logfile of HijackThis v1.98.2 Scan saved at 09:47:02, on 09.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINNT\System32\svchost.exe C:\WINNT\d3zl32.exe <--- ??? C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Programme\McAfee\McAfee VirusScan\Webscanx.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\McAfee\McAfee VirusScan\alogserv.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\system32\ntsj.exe <---??? C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\STB\PowerArchiver\POWERARC.EXE <---??? C:\DOKUME~1\LOCALS~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von ETL R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.63.152.1:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local> R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {5AEAA1A1-E1A4-6D25-2CDA-9CC2EFBD74E1} - C:\WINNT\system32\javazd32.dll <--- ??? O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ntsj.exe] C:\WINNT\system32\ntsj.exe <---??? O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O14 - IERESET.INF: START_PAGE_URL=http://www.etlnet.de O15 - Trusted Zone: *.etl.de O15 - Trusted Zone: *.etlnet.de O15 - Trusted Zone: *.eurodata.de O15 - Trusted Zone: *.office-online.redmark.de Die Einträge unten fixe ich (da bin ich mir sicher) aber bei denen mit <--- weiß ich net ganz genau: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://npchj.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://npchj.dll/index.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\npchj.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.etlnet.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.63.152.1;<local> muss ich noch überprüfen die IP-Adresse veilleicht könnt ihr mit dem Rest was anfangen??? |
|
09.11.2004, 17:20
| #2 |
| | Hilfe bei Hijacking ????
__________________ ????? |
|
09.11.2004, 21:33
| #3 |
| | Hilfe bei Hijacking Keiner ne Ahnung, ob diese beiden Prozesse böse sind?
__________________C:\WINNT\d3zl32.exe C:\WINNT\system32\ntsj.exe |
|
09.11.2004, 21:37
| #4 |
  | Hilfe bei Hijacking @tobis72 lasse diese online überprüfen C:\WINNT\d3zl32.exe C:\WINNT\system32\ntsj.exe C:\WINNT\system32\javazd32.dll und zwar hier http://virusscan.jotti.org/de poste bitte das ergebnis chaosman
__________________ Bonus vir semper tiro |
|
09.11.2004, 21:38
| #5 |
 | Hilfe bei Hijacking Hast du irgendein Spiel drauf? Die C:\WINNT\system32\ntsj.exe könnte dazu gehören, bin mir aber nicht sicher. Deshalb: folge chaosman
__________________ Der Mensch sollte eine Hundeseele haben Geändert von cacatoa (09.11.2004 um 21:39 Uhr) Grund: chaosman zu spät gesehen |
|
09.11.2004, 21:41
| #6 |
| | Hilfe bei Hijacking Hm leider ist der Rechner nicht von mir und ich versuche das Problem per Telefondiagnose zu lösen, aber ich versuche trotzdem die dateien scannen zu lassen. Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder? |
|
09.11.2004, 21:43
| #7 |
| | Hilfe bei Hijacking ...und noch ne Frage, muß ich zum fixen in den abgesicherten Modus ? |
|
09.11.2004, 21:46
| #8 |
| | Hilfe bei Hijacking @tobis72 normal findest du viel über dateien in google, über diese dateien ist jedoch nichts zu finden. deswegen online überprüfen lassen, um sicher zu gehen. Aber so aus dem Stehgreif kommt sie euch auch nicht bekannt vor, oder? nee chaosman
__________________ Bonus vir semper tiro |
|
09.11.2004, 22:08
| #9 | ||
| Administrator, a.D. | Hilfe bei Hijacking @ tobis72 Zitat:
Zitat:
Quelle: http://www.trendmicro.com/vinfo/viru...HOW.AB&VSect=T Letztendlich wird nur die Überprüfung dieser Dateien uns Gewissheit darüber verschaffen. |
|
| Themen zu Hilfe bei Hijacking |
| .inf, auswerten, automatisch, bho, dateien, explorer, hijack, hijackthis, hilfe, internet, internet explorer, ip-adresse, logdatei, logitech, mcafee, microsoft, office, probleme, programme, software, start, system, system32, temp, update, urlsearchhook, vielen dank, virusscan, windows |
Linear-Darstellung
