Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile was fixen?? (https://www.trojaner-board.de/11721-logfile-fixen.html)

[mG.Phoenix] 06.01.2005 11:41
Logfile was fixen??
 
Hallo ich habe in letzter Zeit paar Probleme mit meinem Windows und auch mit den Prozessen im Taskmanager

Kann mir einer sagen wie ich die auswertung von Hijacker richtig fixe oder auch sachen von dort löscht

Hier meine Log:

Logfile of HijackThis v1.99.0
Scan saved at 11:39:46, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\sst4.exe
C:\WINDOWS\System32\mssw32.exe
C:\WINDOWS\cbhwycy.exe
C:\WINDOWS\System32\msngf.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\sasser.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\ClockSync\Sync.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\PROGRA~1\WHENUS~1\Search.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\PROGRA~1\Save\Save.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\eMule.de\emule.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\Anton\Desktop\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [VolumeCounter] "C:\Programme\Volumenzaehler\BoVolume.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\Run: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\Run: [USBHWDRV] C:\sst4.exe
O4 - HKLM\..\Run: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\Run: [Windows Media Player] msams.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvcix32.exe
O4 - HKLM\..\Run: [nC45ksK] C:\WINDOWS\cbhwycy.exe
O4 - HKLM\..\Run: [nwz] C:\WINDOWS\nwz.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Msn Config] msngf.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Lsass Service] sasser.exe
O4 - HKLM\..\Run: [nvsv32.exe] nvsv32.exe
O4 - HKLM\..\Run: [sdkupdate22] SDK0mCORE.exe
O4 - HKLM\..\Run: [NvCplScan] msc32.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [WhenUSearch] C:\PROGRA~1\WHENUS~1\Search.exe
O4 - HKLM\..\Run: [WhenUSearchWHSE] C:\PROGRA~1\WHENUS~1\whse.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Win32 SSL Driver] winssv.exe
O4 - HKLM\..\RunServices: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msams.exe
O4 - HKLM\..\RunServices: [Msn Config] msngf.exe
O4 - HKLM\..\RunServices: [blahx service] msnjompa.exe
O4 - HKLM\..\RunServices: [sdkupdate22] SDK0mCORE.exe
O4 - HKLM\..\RunServices: [Lsass Service] sasser.exe
O4 - HKLM\..\RunServices: [NvCplScan] msc32.exe
O4 - HKLM\..\RunServices: [nvsv32.exe] nvsv32.exe
O4 - HKLM\..\RunOnce: [sdkupdate22] SDK0mCORE.exe
O4 - HKLM\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKLM\..\RunOnce: [nvsv32.exe] nvsv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Windows W32 Services] mssw32.exe
O4 - HKCU\..\Run: [Windows Media Player] msams.exe
O4 - HKCU\..\Run: [sdkupdate22] SDK0mCORE.exe
O4 - HKCU\..\Run: [NvCplScan] msc32.exe
O4 - HKCU\..\Run: [nvsv32.exe] nvsv32.exe
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [nvsv32.exe] nvsv32.exe
O4 - HKCU\..\RunOnce: [NvCplScan] msc32.exe
O4 - HKCU\..\RunOnce: [sdkupdate22] SDK0mCORE.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: U.S. Robotics SureConnect ADSL-Dienstprogramm.lnk = ?
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDCAFC48-A2CE-4C37-9C6F-A1EDB45ADD39}: NameServer = 194.97.173.125 194.97.173.124
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe


Hier die Auswertung:

http://www.hijackthis.de/logfiles/16...7855ff137.html

MountainKing 06.01.2005 11:52
Hallo,

dass du Probleme hast, ist nicht wirklich ein Wunder, da rund 80% der bei dir laufenden Prozesse zu diversen Schädlingen gehören. Da darunter auch Backdoors sind, gibt es nur eins: trenne deine Virenschleuder so schnell wie möglich vom Netz und mach dein System neu.
Befolge dazu diese Anleitung:

http://board.protecus.de/showtopic.p...me=1097944155&

Danach solltest du dich mit den weiterführenden Links eingehend beschäftigen, dein katastrophales Surfverhalten grundlegend ändern und die Hinweise alle umsetzen.

[mG.Phoenix] 06.01.2005 11:56
ja ich habe vor 3Tagen formatiert seitdem auch die Probleme ich habe keine Lust alles neu zu Formatieren habe grad alles auf mein System draufgemacht gibt es eine möglichkeit alles ohne Format zu entfernen??

Gruß

Cidre 06.01.2005 12:12
Das du erst neu formatierst hast, glauben wir dir schon, allerdings war dein System nicht dementsprechend VOR der ersten Internet Verbindung abgesichert.
Da viele neue unbekannte Prozesse bei dir laufen, sollten wir erst einmal wissen, um welche Malware es sich handelt, sofern sie von eScan erkannt wird.

Führe folgendes aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

MountainKing 06.01.2005 12:13
Nein!

Du hast entweder "falsch" formatiert und bist ungeschützt und ungepatched ins Netz oder du hast verseuchte Software aus deinem alten System wieder übernommen. Stelle beides ab, gehe nach der Anleitung vor und du kannst ein zunächst sauberes System erreichen, bevor du dich um deine Surfgewohnheiten kümmerst.

Kleine (!) Auswahl deiner Gäste:

http://www.sophos.de/virusinfo/analy...2forbotdi.html

Schaltet Antiviren-Anwendungen aus
Ermöglicht Dritten den Zugriff auf den Computer
Stiehlt Daten
Lädt Code aus dem Internet herunter
Reduziert die Systemsicherheit
Speichert Tastenfolgen


http://www.sophos.de/virusinfo/analyses/w32rbotqg.html


Ermöglicht Dritten den Zugriff auf den Computer
Stiehlt Daten
Reduziert die Systemsicherheit
Installiert sich in der Registrierung
Nutzt bekannte Schwachstellen aus
Wird für DOS-Attacken verwendet

[mG.Phoenix] 06.01.2005 12:16
ja ungesichert bin ins web gegangen ich werds versuchen jetzt ne Firewall usw. zu installen und wen ich da immer noch voll mit Viren bin dan muss ich wohl formatieren...

[mG.Phoenix] 06.01.2005 12:18
eScan log werde ich gleich posten

Scane grade mit Kaspersky

MountainKing 06.01.2005 12:21
Eine Firewall oder Antivirensoftware helfen dir jetzt nach erfolgter Infektion NICHTS mehr. Dein Rechner ist kompromittiert, man konnte auf ihn von Außen zugreifen und alles Mögliche inklusive Systemdateien manipulieren, dir versteckte Dateien und Verzeichnisse unterschieben et.cet. Neuinstallationen werden nicht aus Sadismus empfohlen, sondern nur, wenn sie wirklich nötig sind und bei dir ist es die einzige Möglichkeit, wenn du es richtig machst.

[mG.Phoenix] 06.01.2005 12:25
nach den Viren checks lass ich dan nochmal Hijacker drüber laufen und Log hier posten mal schauen ob was besser geworden ist

Cidre 06.01.2005 12:38
Wie MK bereits sagte ist eine Bereinigung deines Systems als sinnlos anzusehen.

Es geht ausschliesslich nur um die neuen Malware Dateien, die sofern sie unerkannt bleiben, zur Dateianalyse weiter gereicht werden, damit sie in der Zukunft von den AV Anwendungen erkannt werden.

[mG.Phoenix] 06.01.2005 13:45
Ich werde mir jetzt mal SP2 runterladen und auf CD Brennen und dannach werde ich wohl Formatieren

[mG.Phoenix] 06.01.2005 14:02
Sid in diesem Service Pack (265 MB) auch alle Sicherheits Upadats drauf oder muss ich die nochmal einzeln runterladen??

möchte vermeiden das wieder das Fenster kommt und das der PC nach 60sec. runterfährt

Cidre 06.01.2005 14:08
Der RPC und der LSASS Patch sind im SP2 enthalten, allerdings müssen weitere aktuelle Patches nach installiert werden.

[mG.Phoenix] 06.01.2005 19:10
Hier meine neue Log:


Logfile of HijackThis v1.99.0
Scan saved at 19:08:25, on 06.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\PROGRA~1\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Anton\Desktop\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRA~1\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: U.S. Robotics SureConnect ADSL-Dienstprogramm.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6D4EC41-0019-41A4-B0E2-579345B17ABC}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Cidre 06.01.2005 19:16
Hast du dein System jetzt neu aufgesetzt oder nur das SP2 drüber gebügelt?


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55