Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   bitte mal prüfen - thx (https://www.trojaner-board.de/19124-bitte-mal-pruefen-thx.html)

c3po 21.06.2005 10:23
bitte mal prüfen - thx
 
hi zusammen ich hab da mal so eine logfile .. werf mal einen blick drauf thx vorab für eure hilfe ;)

Logfile of HijackThis v1.99.0
Scan saved at 11:19:20, on 17.06.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\ComputerAssociates\ARCserve\msgeng.exe
C:\WINNT\System32\CpqRcmc.exe
C:\Compaq\vcagent\vcagent.exe
C:\Programme\ComputerAssociates\ARCserve\casmrtbk.exe
C:\Programme\NAV\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\LogWatNT.exe
C:\Programme\NAV\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\snmp.exe
C:\compaq\survey\Surveyor.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\CPQNiMgt\CPQNIMGT.EXE
C:\WINNT\system32\cpqmgmt\CqMgServ\CqMgServ.EXE
C:\WINNT\system32\cpqmgmt\cqmgstor\cqmgstor.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\ams_ii\hndlrsvc.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\system32\ams_ii\iao.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\System32\sysdown.exe
C:\WINNT\system32\cpqmgmt\CqMgHost\CQMGHOST.EXE
C:\WINNT\System32\CPQMGMT\CPQWMGMT.EXE
C:\WINNT\System32\shnlog.exe
C:\PROGRA~1\NAV\vptray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\gclib.exe
C:\WINNT\System32\internat.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\WinZip\WZQKPICK.EXE
G:\fidelio.sav\program\FOBACKUP.exe
C:\WINNT\System32\intmon.exe
C:\Programme\ComputerAssociates\ARCserveITDS\asdscsvc.exe
C:\Programme\ComputerAssociates\ARCserveITDS\Liccheck.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\svchost.exe
C:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.startsearches.net/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.startsearches.net/search.php?qq=%1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.startsearches.net/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.startsearches.net/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.startsearches.net/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\System32\hpA469.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [vmtuner] gclib.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: Verknüpfung mit FOBACKUP.lnk = G:\fidelio.sav\program\FOBACKUP.exe
O4 - Startup: Verknüpfung mit FOSERVER.lnk = G:\fidelio.sav\program\FOSERVER.exe
O4 - Global Startup: INTERFACE STARTEN.lnk = G:\FIDDATA\FIDELIO\PROGRAM\IFC7.EXE
O4 - Global Startup: Microsoft Office.lnk = G:\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\Office10\EXCEL.EXE/3000
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {38886B66-5E18-343A-AB05-2EF021772E1A} - http://216.118.71.185/1/gdnFR1865.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{75AD078D-5D54-4880-93AD-31BB4FF975CF}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: ARCserve-Datenbankprozeß - Computer Associates International, Inc. - C:\Programme\ComputerAssociates\ARCserve\DBENG.exe
O23 - Service: ARCserve Discovery Service - Computer Associates - C:\Programme\ComputerAssociates\ARCserveITDS\asdscsvc.exe
O23 - Service: ARCserve-Jobprozeß - Unknown - C:\Programme\ComputerAssociates\ARCserve\jobeng.exe
O23 - Service: ARCserve-Nachrichtenprozeß - Computer Associates International, Inc. - C:\Programme\ComputerAssociates\ARCserve\msgeng.exe
O23 - Service: ARCserve-Bandprozeß - Unknown - C:\Programme\ComputerAssociates\ARCserve\tapeeng.exe
O23 - Service: pcAnywhere Host Service - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Cheyenne Alert Notification Server - Cheyenne Division Of Computer Associates International, Inc. - C:\Programme\ComputerAssociates\ARCserve\Alert\ALERT.exe
O23 - Service: Compaq NIC Agents - Compaq Computer Corp. - C:\WINNT\System32\CPQNiMgt\CPQNIMGT.EXE
O23 - Service: Compaq Remote Monitor Service - Compaq - C:\WINNT\System32\CpqRcmc.exe
O23 - Service: Compaq Version Control Agent - Compaq Computer Corporation - C:\Compaq\vcagent\vcagent.exe
O23 - Service: Compaq Web Agent - HP Corporation - C:\WINNT\System32\CPQMGMT\CPQWMGMT.EXE
O23 - Service: Compaq Foundation Agents - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgHost\CQMGHOST.EXE
O23 - Service: Compaq Server Agents - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\CqMgServ\CqMgServ.EXE
O23 - Service: Compaq Storage Agents - Compaq Computer Corp. - C:\WINNT\system32\cpqmgmt\cqmgstor\cqmgstor.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NAV\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EloTouchscreen - Elo TouchSystems, Inc. - C:\WINNT\System32\DRIVERS\EloTouch.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\System32\cba\pds.exe
O23 - Service: Event Log Watch - Unknown - C:\WINNT\LogWatNT.exe
O23 - Service: Norton AntiVirus Server - Symantec Corporation - C:\Programme\NAV\rtvscan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Surveyor - Compaq Computer Corp. - C:\compaq\survey\Surveyor.EXE
O23 - Service: hp ProLiant System Shutdown Service - Compaq Computer Corporation - C:\WINNT\System32\sysdown.exe

dartus 21.06.2005 10:55
Hallo c3po,

editiere bitte sämtliche Links in Deinem Logfile!

Dein System muss unbedingt abgedatet werden!

Führe dies bitte aus --> http://www.trojaner-board.de/showthread.php?t=17863

Darüberhinaus mit HJT fixen (im abgesicherten Modus bei deaktivierter Systemwiederherstellung):

O4 - HKLM\..\Run: [vmtuner] gclib.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h..p://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {38886B66-5E18-343A-AB05-2EF021772E1A} - h..p://216.118.71.185/1/gdnFR1865.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h..p://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Diese Datei manuell löschen:
C:\WINNT\System32\gclib.exe

Nach Deinen Aktivitäten kann nach dem Neustart die Systemwiederherstellung aktiviert werden

Neues Logfile und berichten

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:53 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131