Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein Log-File von HijackThis (https://www.trojaner-board.de/28430-log-file-hijackthis.html)

Super-DAU 15.04.2006 12:20
Mein Log-File von HijackThis
 
Hallo,

könnte sich bitte jemand von Euch mein Log-File von HijackThis ansehen?

Die IP-Adresse, die aufscheint, habe ich abgeändert (Bzw glaube ich, dass das eine DNS-Server-Adresse ist, was immer das auch sein soll -> siehe nickname ;) ).

Logfile of HijackThis v1.99.1
Scan saved at 13:12:53, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Sicherheitsprogramme\Spybot - Search & Destroy\TeaTimer.exe
C:\Sicherheitsprogramme\hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.kurier.at/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Sicherheitsprogramme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Sicherheitsprogramme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

irrlicht 15.04.2006 12:31
Hallo Super Dau,
was hast du genau abgeändert ? Was für Beschwerden hat dein System ?
Meinst du das hier geändert zu haben ?
O17 - HKLM\System\CCS\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
O17 - HKLM\System\CS2\Services\Tcpip\..\{80640CF9-BA07-446B-9CD0-AD520807AF66}: NameServer = 185.84.173.21,185.34.123.12
Gib Infos !
Irrlicht

Super-DAU 15.04.2006 13:01
Zitat:
Zitat von irrlicht
185.84.173.21,185.34.123.12
Ich habe beim "nameserver" zahlreiche Ziffern geändert und zwar in "185.84.173.21,185.34.123.12".

Meine Probleme: vor einigen Tagen war mein für das Internet-Surfen angelegte Benutzer mit eingeschränkten Rechten irgendwie "deaktiviert", d.h. ich konnte mit ihm nicht mehr ins Netz, nur noch als Administrator. Beim Neustarten hat es extrem lange gedauert. Am nächsten Morgen, als ich den Computer angemacht habe, konnte Windows nicht mehr hochstarten.

Im geschützen Modus konnte ich die Einstellungen von 2 Tagen davor (den Vortag wollte ich nicht anwählen, da da ein anderer Text stand als bei allen anderen Tagen, leider habe ich diesen nicht notiert. So als hätte sich am Vortag etwas installiert) wiederherstellen, seither funktioniert der Computer meines Erachtens einwandfrei.

Dazu möchte ich noch sagen, dass ich seit Wochen (wobei mein PC erst 4 Monate alt ist) beim Hochstarten der Lüfter oder Festplatte extrem laut war und scheinbar "geeiert" hat. Seit der Wiederherstellung des Systems hört sich das Hochfahren an wie nach dem Kauf des PCs - völlig normal...

Nur frage ich mich eben, ob ich mir nicht etwas eingefangen habe.

Bei mir laufen AntiVir und SpyBot, außerdem verwende ich regelmäßig AdAware. Seit dem Wiederherstellen bleiben bei AdAware beim Scan alle Zähler außer "Running Processes" und "Process Modules" auf 0. Ich habe am Tag, bevor Windows nicht mehr hochstarten konnte und mein eingeschränkter Benutzer nicht mehr funktionierte, AdAware benutzt, da gingen diese Zähler wie gewohnt.

irrlicht 15.04.2006 13:44
Hallo Super Dau,
du machst deinem Namen wirklich alle Ehre.....
Das war unklug diese Zahlen zu würfeln.Die zeigen auf deinen Provider oder auf einen Server in der Ukraine(was richtig schlecht wäre).Ich nehme mal an ,das du die ersten drei Ziffern nicht geändert hast ?
Mach mal einen EScan und poste das Ergebnis hier.Beachte genau die Anleitung,sonst funktioniert das nicht.Unten auf der Seite steht ein PDF zum Download bereit.Dieses kann man ausdrucken(Winke winke,Zaunpfahl)Manche Worte sind farblich unterlegt,wenn du mit der Maus drüberfährst siehst du ein Programm darunter, das du brauchen wirst.Der Scan kann je nach System 1-3 Stunden in Anspruch nehmen.
http://www.trojaner-board.de/showthread.php?t=24192
Irrlicht

Super-DAU 15.04.2006 13:55
Zitat:
Zitat von irrlicht
Das war unklug diese Zahlen zu würfeln.Die zeigen auf deinen Provider oder auf einen Server in der Ukraine(was richtig schlecht wäre).
Ich habe die Zahlen komplett gewürfelt (ich wußte ja nicht, ob man die richtigen angeben sollte - bei den anderen Logfiles, die ich gesehen habe, kamen die nicht vor.)

Das ist der bevorzugte und der alternative DNS-Server, den ich verwende. Das (also die Zahlencodes, die dort in Wahrheit stehen) sind auch definitiv jene meines Providers (habe ich bereits einmal telefonisch mit dem dortigen Helpdesk abgestimmt. Sie decken sich auch bis auf die letzten beiden Ziffern mit dem Datenblatt, das mir bei Einrichtung des Accounts überreicht wurde).

Super-DAU 15.04.2006 20:11
Erst mal danke für Deine Hilfe.

Ich habe den EScan jetzt durchgeführt, es wurden aber keine Viren o.ä. gefunden.

Allerdings gab es 6 Errors, ist das in irgendeiner Form bedenklich?

Sat Apr 15 19:40:45 2006 => Total Objects Scanned: 41658
Sat Apr 15 19:40:45 2006 => Total Critical Objects: 0
Sat Apr 15 19:40:45 2006 => Total Disinfected Objects: 0
Sat Apr 15 19:40:45 2006 => Total Objects Renamed: 0
Sat Apr 15 19:40:46 2006 => Total Deleted Objects: 0
Sat Apr 15 19:40:46 2006 => Total Errors: 6

Sat Apr 15 19:03:56 2006 => ERROR!!! Invalid Entry \??\D:\INSTALL\GMSIPCI.SYS in SYSTEM\CurrentControlSet\Services\GMSIPCI...

Sat Apr 15 19:03:58 2006 => ERROR!!! Invalid Entry system32\DRIVERS\netbt.sys in SYSTEM\CurrentControlSet\Services\NetBT...

Sat Apr 15 19:08:29 2006 => Result: ERROR!!! File C:\Dokumente und Einstellungen\Internet\Eigene Dateien\aawsepersonal.exe is Not Scanned

Sat Apr 15 19:16:40 2006 => Result: ERROR!!! File C:\pagefile.sys: Scanning Failure!!!
Sat Apr 15 19:16:40 2006 => ERROR!!! ScanFile fails for C:\pagefile.sys

Sat Apr 15 19:26:44 2006 => Result: ERROR!!! File C:\Sicherheitsprogramme\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask is Not Scanned

Sat Apr 15 19:26:51 2006 => Result: ERROR!!! File C:\Sicherheitsprogramme\Downgeloadete Sicherheitsprogramme\aawsepersonal.exe is Not Scanned

Super-DAU 16.04.2006 19:02
Kann ich das Thema beruhigt ad-acta legen?

irrlicht 16.04.2006 19:14
hallo Super-Dau,
leg es ab.Am Besten in den Ordner "ein Ösi hatte Angst gehabt":D
Irrlicht


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131