HIghjackthis

Trojanbored · 26.02.2011, 11:18

Wenn ich gmer3 oder so durchlaufen lasse der rootkits prüft und so stand dort das ich danach den text kopieren soll und dann posten soll aber mein rechner fährt wenn der scan beendet ist automatisch runter das ich das ergebniss nicht kopieren kann

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:09:35, on 26.02.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetCologne\signup\wlanmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NV2DHMHR\HiJackThis204[2].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9740CBEA-42CB-4539-B989-96C8DAA7B28B}: NameServer = 81.173.194.69 81.173.194.77
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 3155 bytes

--- --- ---
Ich kenn mich damit nicht so aus würde gerne eine meinung von einem hören der sich damit auskennt.

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-02-25.01 - alle 26.02.2011  11:44:47.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.315 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\alle\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\z.xml

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-26 bis 2011-02-26  ))))))))))))))))))))))))))))))
.

2011-02-24 18:49 . 2011-02-24 18:49	--------	d-----w-	C:\430cbaebaeff397b5e979caa
2011-02-14 15:10 . 2011-02-24 18:41	--------	d-----w-	C:\Medion
2011-02-14 11:23 . 2011-02-14 11:23	--------	d-----w-	C:\ATI

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Metin2\\metin2.bin"=

R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [05.05.2005 21:38 15187]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.02.2011 20:31 135336]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [05.05.2005 21:35 15571]
S3 PDNETCTL;ProDyne MicroPPPoE;c:\windows\system32\drivers\pdnetctl.sys [07.09.2005 23:09 39936]
.
Inhalt des "geplante Tasks" Ordners

2011-02-26 c:\windows\Tasks\User_Feed_Synchronization-{2F49C6D4-01D1-49AF-AB84-EEBCCAC2F681}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

2011-02-26 c:\windows\Tasks\User_Feed_Synchronization-{3FB7BA56-4209-4459-BDE9-F220D3C0E9C2}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.netcologne.de
mWindow Title = Internet Explorer bereitgestellt von NetCologne
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-26 11:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-02-26  11:54:45
ComboFix-quarantined-files.txt  2011-02-26 10:54

Vor Suchlauf: 8 Verzeichnis(se), 64.367.312.896 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 65.416.945.664 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 49806E2C38E13EF900D0A4C372B5679C

--- --- ---

cosinus · 26.02.2011, 20:34

Bitte beachten

=> http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Und speziell noch was => Combofix niemals auf eigene Faust ausführen

26.02.2011, 20:34	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	HIghjackthis Bitte beachten => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html Und speziell noch was => Combofix niemals auf eigene Faust ausführen __________________ __________________

HIghjackthis

Log-Analyse und Auswertung: HIghjackthis

HIghjackthis

HIghjackthis

Ähnliche Themen: HIghjackthis