|
Log-Analyse und Auswertung: Hijack-LogWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.11.2004, 10:31 | #1 |
| Hijack-Log Hallo! Hab ein Problem mit meinem PC, da bin ich auf dieses Forum gestoßen. Bei mir ist es so, dass sich jetzt immer öfter die Atartleiste aufhängt und ich fast nichts mehr machen kann. Es geht tlw. noch, dass ich mit alt+tab zwischen den programmen wechsle, aber meistens kann ich die Kiste dann nur noch ausschalten, Taskmanager lässt sich auch nicht aufrufen. Norton hat neulich die vpc32.exe gefunden, hab dann alles - wie auf der Symantec-Seite beschrieben - gemacht um das Problem zu lösen... kanns vielleicht noch daran liegen? Ad-aware läuft gerade und den Hijack-Log häng ich an. Wär froh, wenn mir wer helfen kann. Bin mit meinem Latein am Ende... Verwende übrigens Winxp Professional Bitte - danke! h.b. |
13.11.2004, 10:58 | #2 |
| Hijack-Log Hallo ramshackle,
__________________lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Erstelle ein neues Hijack This Logfile und poste es mittels copy&paste hier ins Forum, bitte nicht anhängen. SD |
13.11.2004, 12:46 | #3 |
| Hijack-Log Mahlzeit Shadowdance!
__________________Danke erst mal für deine Hilfe. Bin gerade dabei den eScan downzuloaden. Werd das dann alles machen und den Log einfügen! Vielen Dank! h.b. |
13.11.2004, 15:31 | #4 |
| Hijack-Log Hallo, hab jetzt alles lt. Instruktion gemacht. eScan hat weit mehr gefunden, als Norton... eScan-Log: Sat Nov 13 14:15:33 2004 => File C:\WINDOWS\96wu19rd.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: No Action Taken. Sat Nov 13 14:15:41 2004 => File C:\WINDOWS\setupod.exe infected by "TrojanDropper.Win32.Agent.av" Virus. Action Taken: No Action Taken. Sat Nov 13 14:15:49 2004 => File C:\WINDOWS\System32\ATPartners.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken. Sat Nov 13 14:17:08 2004 => File C:\WINDOWS\System32\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. Sat Nov 13 14:17:11 2004 => File C:\WINDOWS\System32\mseggo.gif infected by "TrojanSpy.Win32.Delf.dx" Virus. Action Taken: No Action Taken. Sat Nov 13 14:19:01 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00CC0000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sat Nov 13 14:19:01 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\01180000.VBN infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken. Sat Nov 13 14:19:02 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\01500000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sat Nov 13 14:19:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A80000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sat Nov 13 14:19:03 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04A40001.VBN infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken. Sat Nov 13 14:23:30 2004 => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken. Sat Nov 13 14:23:46 2004 => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. Sat Nov 13 14:23:56 2004 => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Sat Nov 13 14:29:17 2004 => File C:\Programme\Common Files\updater\delupdat.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken. Sat Nov 13 14:29:17 2004 => File C:\Programme\Common Files\updater\sui.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken. Sat Nov 13 14:55:31 2004 => File C:\Programme\Windows Media Player\wmplayer.exe infected by "TrojanDownloader.Win32.VB.dj" Virus. Action Taken: No Action Taken. Sat Nov 13 14:56:14 2004 => File C:\WINDOWS\96wu19rd.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: No Action Taken. Sat Nov 13 15:07:55 2004 => File C:\WINDOWS\setupod.exe infected by "TrojanDropper.Win32.Agent.av" Virus. Action Taken: No Action Taken. Sat Nov 13 15:08:08 2004 => File C:\WINDOWS\system32\ATPartners.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken. Sat Nov 13 15:08:28 2004 => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LMBG56B\WksPatch[9].exe infected by "Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken. Sat Nov 13 15:12:03 2004 => File C:\WINDOWS\system32\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. Sat Nov 13 15:12:07 2004 => File C:\WINDOWS\system32\mseggo.gif infected by "TrojanSpy.Win32.Delf.dx" Virus. Action Taken: No Action Taken. Wow... lange Liste. Hier noch das neue Hijack This Logfile: Logfile of HijackThis v1.98.2 Scan saved at 15:29:30, on 13.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.at/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\Run: [omsvcsc] C:\WINDOWS\System32\omsvcsc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\Heidi\PROGRA~1\ICQLite\icq\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\DOKUME~1\Heidi\PROGRA~1\ICQLite\icq\ICQ.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Heidi\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Heidi\Programme\ICQLite\ICQLite.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/game...ploader_v5.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6D06943E-0F4F-48D7-8A30-1767FE2A6F53}: NameServer = 195.3.96.67 195.3.96.68 Ich habe jetzt noch gar nichts gelöscht. Kann ich all die infizierten Datein so löschen? Vielen Dank für deine Hilfe!! h.b. |
13.11.2004, 16:12 | #5 |
| Hijack-Log Hallo ramshackle, 1. Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. 2. Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen: => File C:\WINDOWS\96wu19rd.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\setupod.exe infected by "TrojanDropper.Win32.Agent.av" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\System32\ATPartners.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\System32\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\System32\mseggo.gif infected by "TrojanSpy.Win32.Delf.dx" Virus. Action Taken: No Action Taken. 3. Leere den Ordner C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine (!!!): => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\00CC0000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\01180000.VBN infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\01500000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\03A80000.VBN infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\04A40001.VBN infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken. 4. Leere mit dem Clear Prog den Ordner C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. 5. Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen: => File C:\Programme\Common Files\updater\delupdat.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken. => File C:\Programme\Common Files\updater\sui.exe infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken. => File C:\Programme\Windows Media Player\wmplayer.exe infected by "TrojanDownloader.Win32.VB.dj" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\96wu19rd.exe infected by "TrojanDropper.Win32.Small.gt" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\setupod.exe infected by "TrojanDropper.Win32.Agent.av" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\system32\ATPartners.dll infected by "TrojanDownloader.Win32.Rameh.c" Virus. Action Taken: No Action Taken. 6. Leere mit dem Clear Prog den Ordner C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5: => File C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0LMBG56B\WksPatch[9].exe infected by "Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken. 7. Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen: => File C:\WINDOWS\system32\mscif.exe infected by "Trojan.Win32.Small.i" Virus. Action Taken: No Action Taken. => File C:\WINDOWS\system32\mseggo.gif infected by "TrojanSpy.Win32.Delf.dx" Virus. Action Taken: No Action Taken. 8. Leere mit Clear Prog alle Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. ----- 9. Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com 10. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken): R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe boote in den normalen Modus. beende GMT.exe lösche C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Aktiviere die Systemwiederherstellung, 11. Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! 12. bitte lesen! - Vorbeugende Maßnahmen: www.trojaner-info.de - www.mathematik.uni-marburg.de - IE sicher konfigurieren: www.datenschutzzentrum.de. - Einschränktes Benutzerkonto: www.ntsvcfg.de. - faq.underflow.de 13. Erstelle ein neues Hijack This Logfile und poste es. SD |
13.11.2004, 16:41 | #6 |
| Hijack-Log Hi Shadowdance! Danke für deine ausführliche Antwort! Wollte jetzt alles durchgehen, aber kann die ganzen infizierten Datein nicht finden!? Hab auch nochmal nachgesehen, ob das mit dem Häckchen auch passt - is alles in Ordnung...?! h.b. |
13.11.2004, 17:01 | #7 | |
| Hijack-Log @ ramshackle Zitat:
SD |
14.11.2004, 02:00 | #8 |
| Hijack-Log Hab die Einstellungen schon gemacht, aber geht leider trotzdem nicht. Kann hier leider keinen Screenshot einfügen... Gute Nacht. h.b. |
14.11.2004, 14:36 | #9 |
| Hijack-Log Hallo ramshackle, Du hast eine ziemlich gefährliche Virensammlung auf dem System. Ich war gestern schon im Zweifel, ob ich Dir nicht besser empfehlen sollte, Dein System zu formatieren und neu zu installieren. Dass Du Dateien nicht sehen kannst, selbst wenn Du alle Vorkehrungen triffst, dass Du sie sehen kannst, stimmt mich sehr nachdenklich. Ich habe mich darüber mit Cidre beraten. Er ist - wie ich - der Meinung, dass es besser wäre, wenn Du formatierst. Du könntest noch versuchen die Dateien auf diese Weise zu löschen: "Entweder die Dateien mit Hilfe von Killbox löschen oder mit HJT öffnen -> Config -> Misc Tools -> Delete a File on reboot -> navigiere dann zur betroffenen Datei -> Öffnen -> nächste Frage mit JA beantworten." (Zitat Cidre) Solltest Du unseren Vorschlag annehmen und formatieren, ersuche ich Dich freundlich, Dich an diese Tipps zu halten, sie VOR dem Formatieren durchzulesen und mit einem einwandfreien und gut funktionierenden System ins Netz zurückzukehren: Cidre's Rat und Lutz: Datensicherung. Festplatte formatieren - Schritt für Schritt. Viel Erfolg! Shadowdance |
14.11.2004, 16:12 | #10 |
| Hijack-Log Hallo Shadowdance! Danke. Werd mir das mit Killbox noch ansehen und versuchen die Probleme schnell zu bereinigen. Hört sich ja gar nicht gut an.... Schönen Sonntag noch h.b. |
Themen zu Hijack-Log |
.exe, ad-aware, alt+tab, aufhängt, aufrufe, ausschalten, danke, forum, gefunde, helfen, kis, latein, leiste, meinem, neulich, nichts, problem, programme, programmen, tab, taskma, taskmanager, winxp, zwischen, öfter |