Trojaner-Board - log file

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - log file (https://www.trojaner-board.de/11352-log-file.html)

hallo kan sich mal jemand mein log file ansehen
Aof HijackThis v1.99.0
Scan saved at 09:01:22, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ykfk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\eMule\EMULE\emule.exe
E:\Neuer Ordner\highjack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [msnmsgsgsfa] C:\WINDOWS\msnmsgsgsaf.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

dann habe ich noch bei high jack 3 dateien im ordner zum ignorieren kriege sie da nicht wieder weg da ist als erste die startseite und fixen kann ich es auch nicht hoffe mal das mir jemand helfen kann da ich von der sache keine ahnung habe :party:

Die infizierten Dateien manuell im abg. Modus löschen!
http://www.trojaner-board.de/42731-escan-anleitung.html

danke erstmal woran sehe ich denn was ein virus oder troj. ist :koch: wenn die online auswertung mir sagt das alles i.o.ist und die shit startseite :kloppen: kriege ich auch nicht weg geht es denn wenn ich die infezierten dateien im abgesicherten modus lösche oder muss ich event.alles formatieren wie gesagt habe keine ahnung davon und sind doch ein paar fragen

Das Log sieht unvollständig aus, kannst du das nochmal überprüfen und den gesamten Inhalt kopieren?

Christian hat dich auf E-Scan verwiesen, also hole dir das Programm, update und scanne wie beschrieben. In der Logdatei von E-Scan suchst du dann nach "infected"-Einträgen und postest sie.

mache ich gerade wie lange dauert das denn in etwa der scant jetzt seid über eine stunde

aj nochmal ich wie kriege ich denn die Virus log info denn hierrein :confused:

so nochmal mein log file
Logfile of HijackThis v1.99.0
Scan saved at 15:07:52, on 30.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ykfk.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\eMule\EMULE\emule.exe
C:\Dokumente und Einstellungen\Ina\Eigene Dateien\Eigene eBooks\mwavscan.com
C:\Dokumente und Einstellungen\Ina\Eigene Dateien\Eigene eBooks\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Neuer Ordner\highjack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A5A2997-EF83-43FC-93FC-FD81796F6F82}: NameServer = 62.72.64.237 62.72.64.241
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe

wenn das noch unvollständig ist habe noch 3 datein im ignoridordner und weiß nicht wie ich sie da raus kriege :confused: :confused:

so probier es dann mal
File C:\WINDOWS\System32\ykfk.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\shch.exe infected by "Backdoor.Win32.Webdor.l" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\ykfk.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken
File C:\WINDOWS\System32\fexevow.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sekut.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\ykfk.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\fexevow.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\sekut.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\shch.exe infected by "Backdoor.Win32.Webdor.l" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Ina\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-41deb812-53dc0870.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Ina\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\demo.jar-5821a090-448f0516.zip infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Ina\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-45f7b2d8-76d57ee0.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Ina\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\demo.jar-726cd267-1dac336f.zip infected by "Trojan.Java.ClassLoader.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Ina\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-ab3806d-6f1e7663.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action
File C:\System Volume Information\_restore{DA76F1B8-0C86-49AB-8BD0-FED8599418DA}\RP256\A0014072.exe infected by "TrojanDownloader.Win32.WinShow.p" Virus. Action Taken: No
E:\System Volume Information\_restore{DA76F1B8-0C86-49AB-8BD0-FED8599418DA}\RP257\A0014142.dll infected by "Trojan-Downloader.Win32.Agent.gl" Virus. Action Taken: No Action Taken.
Dec 30 14:15:32 2004 => Scanning File J:\2762 Polyphone Klingeltöne\Barthezz_-_Infected.mid
Scanning File J:\2762 Polyphone Klingeltöne\infected.mid

Thu Dec 30 14:24:56 2004 => Total Files Scanned: 44427
Thu Dec 30 14:24:56 2004 => Total Virus(es) Found: 17
Thu Dec 30 14:24:56 2004 => Total Disinfected Files: 0
Thu Dec 30 14:24:56 2004 => Total Files Renamed: 0
Thu Dec 30 14:24:56 2004 => Total Deleted Files: 0
Thu Dec 30 14:24:56 2004 => Total Errors: 16
Thu Dec 30 14:24:56 2004 => Time Elapsed: 01:18:23
Thu Dec 30 14:24:56 2004 => Virus Database Date: 2004/12/27
Thu Dec 30 14:24:56 2004 => Virus Database Count: 113889

so das wäre es dann erstmal

:headbang: :headbang: kann mir keiner mehr helfen?????????????????? :headbang: :dummguck:

Meine Empfehlung: setz dein System neu auf, es gehört dir nicht mehr -> http://www.trojaner-board.de/showpos...28&postcount=2
Lutz über Datensicherung
Pflichtlektüre
Über die Entfernung von Schädlingen
Bitte beim formatieren an die verlinkte Anleitung halten.

Grund:

Zitat:

File C:\WINDOWS\System32\ykfk.exe infected by "Backdoor.Win32.Agent.ec" Virus. Action Taken: No Action Taken.

-> http://www.sophos.de/virusinfo/analy...ojagentec.html
Warum der als Grund reicht?
Ermöglicht Dritten den Zugriff auf den Computer

@ haui45 muss ich denn den ganzen computer neu machen oder reicht es nicht ,wenn ich nur c neu mache :confused: :confused: :confused:

Wenn C deine Systempartition ist, genügt es zunächst im Prinzip, dort zu formatieren und Windows neu zu installieren. Allerdings kommt das auch darauf an, was du auf deinen anderen Partitionen hast, wenn du dir die Schädlinge über ein dort gelagertes Programm geholt hast und dies dann wieder installiert, ist alles für die Katz. Also erstmal nur Originalsoftware installieren und nur reine Daten nach Überprüfung weiterverwenden (Filme oder mp3), aus dem Netz geholte Programme (speziell illegale) alle löschen.
Ein Restrisiko besteht aber trotzdem, da auf deinen PC von Außen zugegriffen werden konnte und die eventuellen Manipulationen nicht mehr nachzuvollziehen sind.

ja danke dann erstmal werde mal alles neu machem :headbang: :headbang: :headbang: :headbang: :headbang: :headbang: