Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
HijackThis log

HijackThis log


Log-Analyse und Auswertung: HijackThis log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 10.11.2004, 17:07   #1
botzele
 
HijackThis log - Standard

HijackThis log


Hallo zusammen,

mein IE 5 geht auf die Seite HomeSearch . Ich habe HJ schon oefters ausgefuehrt und alles gekillt, was ich mich getraut habe, nuetzt aber nix. Nach HJ hab ich den CWShredder genommen, der aber nach einigen Sekunden abbricht mit der Meldung "Could not read referenced memory blablabla", Deswegen hier das log.
Anmerkung: Ich habe ein VPN installiert zwecks Zugriff auf das Intranet meiner Firma.

Logfile of HijackThis v1.98.2
Scan saved at 11:05:06 AM, on 11/10/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\Program Files\Connected\CBRegCap.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\NOVELL\ZENRC\wuser32.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\ltmsg.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Program Files\ThinkPad\Utilities\Pdtray.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\sdklr.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\ralph\seti\SETI@home.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\atliz.dll:shdvo
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.110.199.14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {FB1C2A6B-2314-4C64-2632-BC1976290647} - C:\WINNT\system32\winph32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PDTray] C:\Program Files\ThinkPad\Utilities\Pdtray.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Copy 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P32 "EPSON Stylus C82 Series (Copy 2)" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [d3bd32.exe] C:\WINNT\system32\d3bd32.exe
O4 - HKLM\..\Run: [sdklr.exe] C:\WINNT\system32\sdklr.exe
O4 - HKCU\..\Run: [seticlient] c:\ralph\seti\SETI@home.exe -min
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O21 - SSODL: systemie - {65451E85-5CD1-46D5-B523-89A59487E948} - systemie.dll (file missing)

Alt 10.11.2004, 18:07   #2
steveman
 
HijackThis log - Standard

HijackThis log


Hallo,

du solltest www.windowsupdate.com besuchen und dein System updaten.

Dann noch dies fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049

R3 - Default URLSearchHook is missing

O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
__________________
Alt 10.11.2004, 18:27   #3
botzele
 
HijackThis log - Standard

HijackThis log


Erstmal Danke fuer die Antwort. Ich hab ein Problem mit dem fixen von
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe

Wie schon gesagt hab ich VPN installiert, auch wenn ich nicht weiss was ipsecdialer.exe ist oder macht. Ich habe Angst, dass dann das VPN nicht mehr funktioniert. Hast Du eine Idee, ob ich das wirklich loeschen soll?

Update isnich, weil ist ein Firmenrechner, darf ich also nicht tun.

Achja, ich habe gestern Firefox installiert und werde, so weit es geht, die Finger vom IE lassen.
__________________
Alt 10.11.2004, 18:49   #4
steveman
 
HijackThis log - Standard

HijackThis log


Das weiß ich leider nicht genau, aber kann sein.
Warte mal mit dem fixen und schau was die anderen sagen.

Alt 10.11.2004, 20:44   #5
botzele
 
HijackThis log - Standard

HijackThis log


Ich hab jetzt (im abgesicherten Modus) alles ausser diesem O4 Eintrag gefixt. Allerdings ohne Resultat, der IE geht immer noch auf diese HomeSearch Seite, obwohl in der Adressleiste about:blank abgezeigt wird. Hab ich was uebersehen?


Alt 10.11.2004, 21:46   #6
chaosman
 
HijackThis log - Standard

HijackThis log


@botzele
dieser nicht löschen!
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe

du hast einer aus der Coolwebsearchfamilie auf dem system
lade dir adaware, spybot, CWShredder und clearprog
www.clearprog.de
www.lavasoft.de
http://www.safer-networking.org/en/download/
http://filepony.de/download-cwshredder/
programme updaten und alle(nicht gleichzeitig) laufen lassen.
fange mit CWShredder an, clearprog kommt als letztes.
mit clearprog Verlauf, Cookies, und Temporary Internet Files löschen.
danach neu starten, und hier ein neues HJT logfile posten

chaosman
__________________
--> HijackThis log

Alt 10.11.2004, 23:59   #7
*Christian*
Gast
 
HijackThis log - Standard

HijackThis log


Die Datei C:\WINNT\system32\winph32.dll im abg. Modus löschen.



Fixe noch zusätzlich dies:

O2 - BHO: (no name) - {FB1C2A6B-2314-4C64-2632-BC1976290647} - C:\WINNT\system32\winph32.dll
O21 - SSODL: systemie - {65451E85-5CD1-46D5-B523-89A59487E948} - systemie.dll (file missing)

Alt 11.11.2004, 19:22   #8
botzele
 
HijackThis log - Standard

HijackThis log


@chaosman

Habs gemacht wie Du gesagt hast. Das Problem: Der CWShredder startet mit der Meldung"You have a variant of the Coolwebsearch trojan (CWS.Smartsearch.2) that has attempted to close CWShredder. To counter this, CWShredder is now starting with a random string of text in the tilte bar..."

Wenn ich auf OK klicke, startet CWS, bricht aber mit Fehlermeldung "Could not read referenced memory blablabla" ab, sobald er nach smartsearch sucht.

Hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 11:28:55 AM, on 11/11/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.110.199.14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PDTray] C:\Program Files\ThinkPad\Utilities\Pdtray.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Copy 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P32 "EPSON Stylus C82 Series (Copy 2)" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sdklr.exe] C:\WINNT\system32\sdklr.exe
O4 - HKLM\..\RunOnce: [netwd.exe] C:\WINNT\netwd.exe
O4 - HKLM\..\RunOnce: [sdkjd32.exe] C:\WINNT\system32\sdkjd32.exe
O4 - HKCU\..\Run: [seticlient] c:\ralph\seti\SETI@home.exe -min
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com

Alt 11.11.2004, 19:37   #9
Cidre
Administrator, a.D.
 
HijackThis log - Standard

HijackThis log


@ botzele

Grundvoraussetzung für ein sicheres System sind Updates und Patches. Also dringendst http://v5.windowsupdate.microsoft.co...r/default.aspx besuchen und das SP4, sowie den IE 6 SP1 http://www.microsoft.com/downloads/d...displaylang=de installieren.

Poste zuerst ein aktuelles Log-File im normalen Modus.
__________________
Gruß, Cidre


Alt 12.11.2004, 13:22   #10
botzele
 
HijackThis log - Standard

HijackThis log


@Cidre

Zitat:
Zitat von Cidre
Grundvoraussetzung für ein sicheres System sind Updates und Patches.
Poste zuerst ein aktuelles Log-File im normalen Modus.
Kein Widerspruch! Beides ist aber von meiner Firma noch nicht freigegeben, deswegen kann ich es nicht installieren.

Hier das log:

Logfile of HijackThis v1.98.2
Scan saved at 7:21:27 AM, on 11/12/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\Program Files\Connected\CBRegCap.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\NOVELL\ZENRC\wuser32.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\ltmsg.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Program Files\ThinkPad\Utilities\Pdtray.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\ralph\seti\SETI@home.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Program Files\Lotus\Notes\NLNOTES.EXE
C:\Program Files\Lotus\Notes\naldaemn.EXE
C:\Program Files\Lotus\Notes\nwrdaemn.EXE
C:\Program Files\Lotus\Notes\nupdate.EXE
C:\Program Files\Lotus\Notes\nhldaemn.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\jhwhs.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.110.199.14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PDTray] C:\Program Files\ThinkPad\Utilities\Pdtray.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Copy 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P32 "EPSON Stylus C82 Series (Copy 2)" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sdklr.exe] C:\WINNT\system32\sdklr.exe
O4 - HKCU\..\Run: [seticlient] c:\ralph\seti\SETI@home.exe -min
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com

Alt 12.11.2004, 15:49   #11
*Christian*
Gast
 
HijackThis log - Standard

HijackThis log


Fixe nochmal dies, was dir gesagt wurde.
Da hat anscheinend einiges nicht geklappt ...

Alt 12.11.2004, 17:54   #12
botzele
 
HijackThis log - Icon19

HijackThis log


So jetzt, hab alles getan wie Ihr gesagt habt. Der IE ist wieder auf einer blank-Seite, wie sich das gehoert. Es sieht also so aus, als waere ich das Biest los.

Hier das log nochmal.

Logfile of HijackThis v1.98.2
Scan saved at 11:51:33 AM, on 11/12/2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Network Associates\VirusScan\Avsynmgr.exe
C:\Program Files\Connected\CBRegCap.EXE
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\Program Files\Network Associates\VirusScan\VsStat.exe
C:\Program Files\Network Associates\VirusScan\Vshwin32.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Network Associates\VirusScan\Avconsol.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\system32\svchost.exe
C:\NOVELL\ZENRC\wuser32.exe
C:\NOVELL\ZENRC\WUOLService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\ltmsg.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Program Files\ThinkPad\Utilities\Pdtray.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\ralph\seti\SETI@home.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
C:\unzipped\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.110.199.14:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [PDTray] C:\Program Files\ThinkPad\Utilities\Pdtray.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series (Copy 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P32 "EPSON Stylus C82 Series (Copy 2)" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [sdklr.exe] C:\WINNT\system32\sdklr.exe
O4 - HKCU\..\Run: [seticlient] c:\ralph\seti\SETI@home.exe -min
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com

Ich hoffe, dass wirklich alles klar ist. Tausend Dank an alle.

glueckliche Gruesse

botzele

Alt 12.11.2004, 19:18   #13
*Christian*
Gast
 
HijackThis log - Standard

HijackThis log


C:\WINNT\system32\sdklr.exe hier überprüfen: http://virusscan.jotti.org/de
Geändert von *Christian* (13.11.2004 um 14:57 Uhr)

Alt 13.11.2004, 09:37   #14
chaosman
 
HijackThis log - Standard

HijackThis log


@*Christian*

"Fixe dies:O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
Lösche die Datei C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
im abg. Modus."
die dateien sind von seinen arbeitgeber.

grüßle
chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu HijackThis log
.inf, adobe, bho, cs3, drivers, explorer, file missing, firefox, hijack, hijackthis, hijackthis log, hotkey, icon, internet, internet explorer, intranet, log, microsoft, mozilla, mozilla firefox, security, seite, sekunden, software, sp3, system, system32, tcpip, update, urlsearchhook, usb, virusscan, windows


« Probleme mit Internetverbindung über DSL-Router | Bitte um Hilfe bei Problem mit IE! »


Ähnliche Themen: HijackThis log


  1. # C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\hijackthis\HijackThis.e
    Mülltonne - 01.12.2009 (2)
  2. HiJackThis Log
    Log-Analyse und Auswertung - 20.07.2009 (0)
  3. hijackthis file-yieldmanager-hijackthis.de geblockt
    Log-Analyse und Auswertung - 08.07.2009 (1)
  4. HijackThis Log
    Mülltonne - 08.11.2008 (0)
  5. hijackthis
    Mülltonne - 01.11.2008 (0)
  6. HiJackThis Log
    Mülltonne - 19.03.2008 (0)
  7. Bitte wer hilft beim auswertenLogfile of HijackThis v1.99.1Logfile of HijackThis v1.9
    Log-Analyse und Auswertung - 23.02.2007 (1)
  8. hijackthis -->und nu?
    Mülltonne - 26.08.2006 (3)
  9. w*w.hijackthis.de down?
    Log-Analyse und Auswertung - 06.08.2006 (2)
  10. HijackThis
    Antiviren-, Firewall- und andere Schutzprogramme - 27.07.2006 (2)
  11. HijackThis-Log
    Log-Analyse und Auswertung - 03.05.2005 (0)
  12. hijackthis
    Plagegeister aller Art und deren Bekämpfung - 28.04.2005 (2)
  13. Was ist HiJackThis
    Log-Analyse und Auswertung - 01.11.2004 (9)
  14. HijackThis Log
    Log-Analyse und Auswertung - 27.10.2004 (21)
  15. Hijackthis LOG
    Log-Analyse und Auswertung - 24.10.2004 (4)
  16. HiJackThis
    Log-Analyse und Auswertung - 24.10.2004 (13)
  17. Hijackthis ??
    Log-Analyse und Auswertung - 07.10.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema HijackThis log - Hallo zusammen, mein IE 5 geht auf die Seite HomeSearch . Ich habe HJ schon oefters ausgefuehrt und alles gekillt, was ich mich getraut habe, nuetzt aber nix. Nach HJ - HijackThis log...
Archiv
Du betrachtest: HijackThis log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55