Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJackThis Log, bitte um Hilfe! (https://www.trojaner-board.de/11016-hijackthis-log-bitte-um-hilfe.html)

drx777 20.12.2004 18:45
HiJackThis Log, bitte um Hilfe!
 
Hallo Forum,

schön, dass es dich gibt, dies hier ist mein erstes Posting.

Folgendes Log ergab sich bei einem Freund:

Logfile of HijackThis v1.97.7
Scan saved at 18:36:12, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svmhost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Windows Update Monitoring Service] winupdt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe


Ich hab schon winxp2.exe rausgeschmissen und msex.exe und huy.exe war auch da.

Kann mir jemand sagen, was noch verdächtig nach Trojaner, etc. aussieht? Ich bin noch bischen neu und würde für's nächste mal gerne bescheid wissen. wenn ich hier nicht auf modem wäre, würde ich auch jede datei antivirenscannen lassen.

Folgende Phänomene auf dem PC noch:

Staroffice 5.2 startet sich 5-6 x automatisch
win32sec.exe (Diensteabschalter) hab ich ausgeführt, der hat das System lahmgelegt: kurz nach dem Boot erfolge ein Reboot, hat etwa 20 boots gebracucht, bis ich die ursache rausfand und schnell genug zurücksetzen konnte :)

Bin um jeden Hinweis dankbar.

schöne Grüße,
David

EDIT: kurze Anmerkung noch, hab momentan Kerio Personal FW installiert, damit nicht alles offen liegt.

HerrKautz 20.12.2004 18:47
Poste bitte ein neues Log mit der aktuellen HjackThis Version 1.99

http://filepony.de/download-hijackthis/

drx777 20.12.2004 18:50
Danke für die schnelle Antwort. Hier das log:

Logfile of HijackThis v1.99.0
Scan saved at 18:50:05, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svmhost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Kerio\Personal Firewall\PERSFW.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\mozilla\mozilla.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

HerrKautz 20.12.2004 18:54
Weh oh weh so ein schlimmes Log habe ich lange nicht mehr gesehen!

Kurz und knapp format c:

Eine andere Alternative gibts für dich überhaupt nicht


Gruss

drx777 20.12.2004 19:00
Hallo HerrKauz,

danke für den Tipp.

Ich habe das Log mit hxxp://www.hijackthis.de/ überprüft und versucht zu korrigieren, dabei kam folgendes raus:

Logfile of HijackThis v1.99.0
Scan saved at 18:59:45, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Kerio\Personal Firewall\PERSFW.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\mozilla\mozilla.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [update run dos] logon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe


Ich denke das ist schon besser.

Meinst du wirklich ich muss immer noch die Platte formatieren?`

Danke.

- David

HerrKautz 20.12.2004 19:03
Du hast immer noch eine Reihe von Backdoor Trojanern auf deinem System,das bedeutet,dass dein Rechner nicht mehr unter deiner Kontrolle ist,Format c: ist da das einzigst richtige in dem Moment!

Zudem solltest du dir unbedingt vorher das SP2 von MS runterladen und brennen!

Es ist kein Wunder bei dem ungepatchten System!

charlie1 20.12.2004 19:59
OT, ich lese mit und jeder, der mich kennt, sollte wissen was in mir vorgeht.
LG, Charlie
:teufel1:

HerrKautz 20.12.2004 20:05
Zitat:
Zitat von charlie1
OT, ich lese mit und jeder, der mich kennt, sollte wissen was in mir vorgeht.
LG, Charlie
:teufel1:
Und was bitte?

Cidre 20.12.2004 20:11
Das charlie1 ein Problem mit dem Neuaufsetzen eines Systems hat. Er würde ganz einfach den Prozess killen, die Registry Einträge entfernen.... :D

HerrKautz 20.12.2004 20:13
Zitat:
Zitat von Cidre
Das charlie1 ein Problem mit dem Neuaufsetzen eines Systems hat. Er würde ganz einfach den Prozess killen, die Registry Einträge entfernen.... :D

Also wenn du dem zustimmst hast auch du meiner bescheidenen Meinung nach nicht mehr alle Tassen im Schrank,du hast das Log schon gesehen,oder?
Aber ich geh eher mal von Ironie deinerseits aus ;)

charlie1 20.12.2004 20:19
Ich gehe darauf nicht weiter ein, denn es hat wer ein kleines Problem.

Schreibe einfach, er möchte bitte gerne, dass was du da noch rot und gelb gesehen hast, noch löschen und gut ist's.
Charlie
:party:

Cidre 20.12.2004 20:21
@ Kautz

Was hast du an meinem Posting nicht verstanden, die Ironie?!
Für solche Leute wie dich, hab ich extra den smiley hinzugefügt!
So what?!
Welchen Grund gibt es für dich ausfallend zu werden?

HerrKautz 20.12.2004 20:25
Zitat:
Zitat von Cidre
@ Kautz

Was hast du an meinem Posting nicht verstanden, die Ironie?!
Für solche Leute wie dich, hab ich extra den smiley hinzugefügt!
So what?!
Welchen Grund gibt es für dich ausfallend zu werden?
Ich wollte in keinster Weise ausfallend werden,sorry,wenn das so rüber kam!

Ich frage mich nur,was es an so einem System zu retten gibt,meiner Meinung nach nichts!
Ich will dir auch nicht auf den Fuß treten,um Gottes Willen!Sorry!


@ charlie1

Für mich Doofie bitte mal einen zusammenhängenden Satz posten,damit ich den auch verstehe,danke!

drx777 20.12.2004 20:32
Hallo nochmal,

folgendes log hat mein eigener PC (win2000) ausgespuckt, muss ich das System auch neu installieren?

Logfile of HijackThis v1.99.0
Scan saved at 20:13:42, on 20.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
C:\WINNT\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
G:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


- David

chaosman 20.12.2004 20:37
@drx777
in dieses logfile sehe ich nichts auffälliges.
sry, ein freudsche verschreiber
chaosman :headbang:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:31 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131