Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mein logfile (https://www.trojaner-board.de/16791-logfile.html)

nedim89 18.04.2005 10:17
mein logfile
 
wollt mal fragen ob alles ok ist mit meinem system

danke für antwort

Logfile of HijackThis v1.99.1
Scan saved at 11:16:00, on 18.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Folder Shield\FSService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\emule2\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\klickTel\klickTel Januar 2004\KTEL32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nedim\Desktop\Neuer Ordner (4)\installer\Anti virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe
F1 - win.ini: run=c:\windows\system32\msiexec16.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40293-A0A2-4FD3-BC88-D7465C441263}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: FSService - Unknown owner - C:\Programme\Folder Shield\FSService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Passat2002 18.04.2005 12:25
hi

bitte diese dateien auch hier bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.

c:\windows\system32\msiexec16.exe

wenn das ergebnis Backdoor.Optix.Pro eintritt -> hier über neuinstallation nachlesen ->
Internet & Computer Security • INCOSEC

nedim89 18.04.2005 14:05
ich habe nur c:\windows\system32\msiexec.exe

halt ohne die 16 dran....

Passat2002 18.04.2005 15:08
hi
;)
Zitat:
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe
F1 - win.ini: run=c:\windows\system32\msiexec16.exe
scanne das system mit escan
1) direktdownload von escan
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei KAVUpd.exe, oder kavupd.exe
das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com oder [mwavscan.exe[/url], schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken.
http://www.trojaner-info.de/hijacker/bilder/escan2.jpg
7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein

http://img8.exs.cx/img8/9665/infected6xz.gif

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
Zitat:
Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

charlie1 18.04.2005 21:27
Ergänzung; falls es ein Optix ist, den Server bitte auf einem externen Datenträger sichern, denn daraus kann man, wenn man Glück hat, noch so einiges über den Absender erfahren.

PS; über Formatierung, bei so was, streite ich mich nicht mehr, dass kann jeder halten, wie der auf dem Dach.
Liebe Grüße, Charlie

nedim89 18.04.2005 22:08
ich glaub das alles ok ist mit meinem system wo ich unten sehe

no infected...

Mon Apr 18 22:10:11 2005 => Total Number of Disinfected Files: 0
Mon Apr 18 22:10:11 2005 => Total Number of Files Renamed: 0
Mon Apr 18 22:10:11 2005 => Total Number of Deleted Files: 0
Mon Apr 18 22:10:11 2005 => Total Number of Errors: 5
Mon Apr 18 22:10:11 2005 => Time Elapsed: 00:05:36
Mon Apr 18 22:10:11 2005 => Virus Database Date: 2005/04/18
Mon Apr 18 22:10:11 2005 => Virus Database Count: 126615

Mon Apr 18 22:10:11 2005 => Scan Completed.

Mon Apr 18 22:29:10 2005 => Virus Database Date: 2005/04/18
Mon Apr 18 22:29:10 2005 => Virus Database Count: 126615
Mon Apr 18 22:29:16 2005 => AV Library Unloaded (3)...

Haui45 18.04.2005 22:09
Zitat:
Mon Apr 18 22:10:11 2005 => Time Elapsed: 00:05:36
Du hast eScan falsch ausgeführt! => Erneut im abgesicherten Modus scannen und die "Hakensetzung" beachten und umsetzen!

nedim89 20.04.2005 16:30
Scan initialized on 19.04.2005 22:30:17
=================================================
Started memory scan
====================
Processes Currently Running

#:1 (smss.exe)
Path:\SystemRoot\System32\smss.exe
BasePriority:NORMAL


#:2 (services.exe)
Path:C:\WINDOWS\system32\services.exe
BasePriority:NORMAL
FileSize :106 kb
Last accessed :04.08.2004 09:58:11
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Anwendung für Dienste und Controller
Version :5.1.2600.2180
Product Name:Betriebssystem Microsoft® Windows®


#:3 (lsass.exe)
Path:C:\WINDOWS\system32\lsass.exe
BasePriority:NORMAL
FileSize :13 kb
Last accessed :04.08.2004 09:57:59
Build :5.1.2600.2180
OS :NT-Win32-DLL
Description :LSA Shell (Export Version)
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:4 (svchost.exe)
Path:C:\WINDOWS\system32\svchost.exe
BasePriority:NORMAL
FileSize :14 kb
Last accessed :04.08.2004 09:58:15
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Generic Host Process for Win32 Services
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:5 (svchost.exe)
Path:C:\WINDOWS\system32\svchost.exe
BasePriority:NORMAL
FileSize :14 kb
Last accessed :04.08.2004 09:58:15
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Generic Host Process for Win32 Services
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:6 (Explorer.EXE)
Path:C:\WINDOWS\Explorer.EXE
BasePriority:NORMAL
FileSize :1011 kb
Last accessed :04.08.2004 09:57:53
Build :6.0.2900.2180
OS :NT-Win32-Executable
Description :Windows Explorer
Version :6.0.2900.2180
Product Name:Betriebssystem Microsoft® Windows®


#:7 (SpyRem.exe)
Path:C:\Programme\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe
BasePriority:NORMAL
FileSize :1712 kb
Last accessed :23.03.2005 13:56:54
Build :9.2.0.3
OS :Unknown-Executable
Description :BPS SpyWare and Adware Remover
Version :9.2.0.3
Product Name:BPS SpyWare and Adware Remover


Memory scan result:
Total modules found:8
Suspicious modules found:
Scan complete

Started folder scan
====================
Folder scan result:
Suspicious folders found:0

Started file scan
====================
vx2 file:C:\WINDOWS\inf\biini.inf
FileSize :0 kb
Last accessed :13.12.2003 10:50:24
Build :
OS :-


Spyware.DsktopSurveil file:C:\WINDOWS\iun6002.exe
FileSize :712 kb
Last accessed :20.06.2004 15:46:44
Build :6.0.1.3
OS :NT-Win32-Executable


File scan result:
Suspicious files found:2
Scan complete





==========================================================
Spyware components found total: 32
==========================================================

Task completed on 22:32:26
Done


==========================================================
Application Version: 9.2.3
==========================================================
Major Version: 5
Minor Version: 1
Build Number Version: 2600
Platform ID: 2
Service Pack Major: 2
Service Pack Minor: 0
Suite Mask: 256
Platform: Windows XP
Platform Version: Windows XP v5.1, Build 2600
OS Product Name: NT Workstation
CSD Version: Service Pack 2
Is Windows XP: Wahr
Is Windows 2K: Wahr
Is Windows NT: Wahr
Is Windows 9x: Falsch
Is Windows 95: Falsch
Is Windows 98: Falsch
Is Windows Me: Falsch


==========================================================

Started Hosts file scan
====================


Hosts file scan results:
Bad Hosts Entry found:0
Scan complete


==========================================================
Spyware components found total: 32
==========================================================

Task completed on 22:32:26
Done


==========================================================
Application Version: 9.2.3
==========================================================
Major Version: 5
Minor Version: 1
Build Number Version: 2600
Platform ID: 2
Service Pack Major: 2
Service Pack Minor: 0
Suite Mask: 256
Platform: Windows XP
Platform Version: Windows XP v5.1, Build 2600
OS Product Name: NT Workstation
CSD Version: Service Pack 2
Is Windows XP: Wahr
Is Windows 2K: Wahr
Is Windows NT: Wahr
Is Windows 9x: Falsch
Is Windows 95: Falsch
Is Windows 98: Falsch
Is Windows Me: Falsch


==========================================================

Haui45 20.04.2005 17:05
Ist es wirklich möglich, trotz dieser Anleitung etwas falsch zu machen?

charlie1 20.04.2005 17:36
Lol, scheint zu gehen. :heilig:
LG, Charlie


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131