![]() |
|
Log-Analyse und Auswertung: HiJackThis LogfileWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
|
![]() | #1 |
| ![]() HiJackThis Logfile Hallo Leute, ich bin neu hier und zwar weil ich nicht mehr weiss, wo ich schnelle Hilfe für meinen Pc bekommen kann. Ich habe folgende Symptome auf meinem System festgestellt: Wenn ich im Netz unterwegs bin bekomme ich immer 10 unbekannte Favoriten zu meinen schon bestehenden hinzugefügt, meine Startseit wird einfach auf about blank gesetzt, obwohl ich immer wieder die gewünschte einstelle, beim Klick auf Links innerhalb einer Seite werde ich plötzlich auf irgendwelche dubiosen Sites geleitet, obwohl ich die Adressen schon zur Webwasher- Zugriffskontrolle hinzugefügt habe, das Häkchen in der WW-Zugriffskontrolle wird automatisch entfernt und die Adressen welche ich blockieren wollte sind ebenfalls gelöscht. Da für mich die Symptome nach Trojanern aussehen habe ich auch schon HighJackThis installiert und mit der automatischen Logfileauswertung alles ungewöhnliche gefixt, aber ich weiss nicht ob das schon reicht um die Plagegeister zu vernichten. Also ihr seht, ich habe eine ganze Hand voller immer wiederkehrender Probleme und nicht eine gute Idee, wie ich der Sache Herr werden könnte. Es wäre sehr Nett, wenn jemand mit ein par entscheidenten Tipps weiterhelfen könnte. Mein Dank schon jetzt, an den- oder diejenigen, der sich die Mühe macht meinen langen Text bis zu Ende zu lesen. MfG jannsen :headbang |
![]() | #3 |
| ![]() HiJackThis Logfile Also das Programm habe ich schon auf dem Pc gehabt und das erstellte Log-File sieht so aus. Aber wie verfahre ich damit?
__________________Danke erstmal und bis bald Jannsen Logfile of HijackThis v1.98.2 Scan saved at 11:30:09, on 13.11.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\Explorer.EXE C:\WINNT\system32\starter.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\WebWasher\wwasher.exe F:\programme\oleco\_oleco.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\System32\service.exe F:\Dokumente\Tools\antivirspam\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\System32\msacmx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\system32\starter.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O15 - Trusted Zone: http://*.63.219.181.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C0BAE5-925A-4972-B6A7-8CB59B69CFE5}: NameServer = 81.209.208.13 83.133.0.13 O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll |
![]() | #4 |
![]() ![]() ![]() | ![]() HiJackThis Logfile @ jannsen, Platform: Windows 2000 SP3 (WinNT 5.00.2195): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können. Überprüfe mit virusscan.jotti.dhs.org: C:\WINNT\System32\rpcnt4.dll --> Ergebnis? Lade Dir SpHjfix.exe runter für diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated) O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll Boote in den VGA Modus, fixe dann mit Hijack This R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O15 - Trusted Zone: h**p://*.63.219.181.7 O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll beende: service.exe lösche: C:\WINNT\System32\service.exe boote in den normalen Modus. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
![]() | #5 |
| ![]() HiJackThis Logfile![]() Danke für die Tipps, aber ich habe keine rechte Ahnung. Ich habe die dll überprüfen lassen mit folgendem Ergebniss: Service load: 0% 100% File: rpcnt4.dll Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir No viruses found (0.45 seconds taken) Avast No viruses found (1.65 seconds taken) BitDefender Trojan.StartPage.FW (0.30 seconds taken) ClamAV No viruses found (0.28 seconds taken) Dr.Web Trojan.StartPage.192 (0.43 seconds taken) F-Prot Antivirus W32/Startpage.EV (0.05 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.fw (0.55 seconds taken) mks_vir No viruses found (0.18 seconds taken) NOD32 No viruses found (0.33 seconds taken) Norman Virus Control No viruses found (0.12 seconds taken) danach habe ich versucht mit dem Tool SpHjfix.exe zu arbeiten, aber ohne Erfolg. Wenn ich auf desinfizieren geklickt habe hat er gemeldet, dass nix infiziert wäre, komisch oder? Im VGA modus habe ich die service.exe gelöscht ich brauchte den Prozess aber nicht beenden, da er nicht aktiv war. den eScan habe ich noch nicht durchgeführt, weil ich die ersten Probleme mit HijackThis noch nicht gelöst habe. Erstmal wieder was zum angucken für euch. Danke das ihr euch die Zeit nehmt für meine Probleme. Gruß jannsen |
![]() | #6 |
![]() ![]() ![]() | ![]() HiJackThis Logfile Hallo jannsen, dann fixe bitte die oben angegebenen Dateien im abgesicherten Modus/VGA modus mit Hijack This und lösche die Datei: C:\WINNT\System32\rpcnt4.dll ebenfalls im abgesicherten Modus. Teile uns dann bitte das Ergebnis des eScan mit. SD |
![]() |
Themen zu HiJackThis Logfile |
about, about blank, automatisch, automatische, bla, blank, festgestellt, folge, highjack, highjackthis, hijack, hijackthis, hijackthis logfile, hilfe, immer wieder, klick, links, logfile, meinem, neu, nicht mehr, plagegeister, probleme, schnelle hilfe, seite, system, tipps, trojaner |