|
Log-Analyse und Auswertung: Help! Bitte hijack-log checken!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.11.2004, 22:15 | #1 |
| Help! Bitte hijack-log checken! Hallo Leute. Habe folgendes Problem: Trotz DSL-Flat lädt mein Rechner superlangsam. Ich habe keine Ahnung woran das liegt und poste euch mal mein hijacklog: C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Jessica\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/v...pl?code=stcd01 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SearchKey] C:\Programme\MSI\SearchKey\StartKBHook.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{746F2121-4BF4-4543-B70F-948B72FB9CDF}: NameServer = 217.237.151.97 217.237.150.33 Vielen Dank im Voraus. Besten Gruss Pippilangstrumpfchen |
14.11.2004, 22:22 | #2 |
| Help! Bitte hijack-log checken! Hi,
__________________poste doch bitte ein ganzes Logfile mit Kopfzeile.
__________________ |
14.11.2004, 22:26 | #3 |
| Help! Bitte hijack-log checken! @Pippilangstrumpfchen
__________________ist dein logfile in der normalen modus erstellt worden? wenn nicht, dann mache es und poste es wie cacatoa gepostet hat. chaosman
__________________ |
14.11.2004, 22:27 | #4 |
| Help! Bitte hijack-log checken! Danke! War ein Fehler von mir. Hier nochmal der komplette Log: Logfile of HijackThis v1.98.2 Scan saved at 21:52:49, on 14.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\MSI\SearchKey\StartKBHook.exe C:\Programme\Elantech\ktp3.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\CyberLink\PowerCinema\PCMService.exe C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\1XConfig.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Jessica\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://signup.t-online.de/cgi-bin/v...pl?code=stcd01 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SearchKey] C:\Programme\MSI\SearchKey\StartKBHook.exe O4 - HKLM\..\Run: [KTPWare] C:\Programme\Elantech\ktp3.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{746F2121-4BF4-4543-B70F-948B72FB9CDF}: NameServer = 217.237.151.97 217.237.150.33 |
14.11.2004, 22:36 | #5 |
| Help! Bitte hijack-log checken! @Pippilangstrumpfchen wechsle in den abgesicherten modus und fixe (Häkchen setzen und auf Fix Checked klicken) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab lösche manuell C:\WINDOWS\web\related.htm neu starten chaosman
__________________ Bonus vir semper tiro |
14.11.2004, 22:45 | #6 |
| Help! Bitte hijack-log checken! @chaos: Bin leider etwas unbedarft. Könntest du mir vielleicht bitte kurz erklären, wie das wechseln in den abgesicherten Modus vorsich geht. Cool wäre auch, wenn du mir sagen könntest um was es sich bei dem Fund handelt. Merci! Pippilangstrumpfchen |
14.11.2004, 22:53 | #7 |
| Help! Bitte hijack-log checken! @ Pippilangstrumpfchen, Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack runter: www.windowsupdate.com Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken) - zusätzlich zu den von Chaosman genannten Einträgen: O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe wenn Du diese Seiten nicht kennst/brauchst, bitte fixen: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.gericom.com O14 - IERESET.INF: START_PAGE_URL=h**p://www.gericom.com boote in den normalen Modus. beende mmtask.exe lösche c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe Aktiviere die Systemwiederherstellung. Überprüfe mit virusscan.jotti.dhs.org: C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\system32\ZCfgSvc.exe C:\Programme\MSI\SearchKey\StartKBHook.exe C:\Programme\Elantech\ktp3.exe C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONo Mgr.exe C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe C:\WINDOWS\System32\1XConfig.exe Teile uns das Ergebnis mit. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
14.11.2004, 22:53 | #8 |
| Help! Bitte hijack-log checken! @ kuckst du hier die zwei O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm sind alexa = spyware also löschen wenn du diesen eintrag nicht kennst, dann fixen. O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab du kannst gern googeln, es sieht aber sehr ungut aus chaosman
__________________ Bonus vir semper tiro |
Themen zu Help! Bitte hijack-log checken! |
.inf, acrobat, adobe, bho, button, checken, ctfmon.exe, cyberlink, einstellungen, explorer, folge, help, hijackthis, internet, internet explorer, keine ahnung, links, lädt, messenger, microsoft, problem, programme, rechner, software, system, system32, t-online, tcpip, temp, windows, wireless |