|
HiJackThis Log von vermutlich verseuchtem XP... Hallo, hab hier ein HiJackThis Log von einem wahrscheinlich verseuchtem XP_Home Rechner. Bitte schauts Euch mal an und vielleicht kann ja jemand Tips geben, was ich tun kann. Danke schonmal. Unten ist auch der Link zur automatischen Auswertung des Logs. Logfile of HijackThis v1.98.0 Scan saved at 12:27:49, on 11.7.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\avmclient\avmbtservice.exe C:\Programme\avmclient\panapp.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\smsc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\Mixer.exe C:\Programme\avmclient\bluefritz!.exe C:\WINDOWS\System32\wuamgrd.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\rdplsijx.exe C:\Dokumente und Einstellungen\...\Eigene Dateien\HijackThis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [0utlook Express] skiht.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\rdplsijx.exe O4 - HKLM\..\RunServices: [0utlook Express] skiht.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] smsc.exe O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] smsc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [0utlook Express] skiht.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] smsc.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\RunServices: [0utlook Express] skiht.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] smsc.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - C:\Programme\datango\Player\datangoPlayer.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{0A14FE70-2797-45EC-B456-44EA5CCE82C8}: NameServer = 192.168.120.252,192.168.120.253 Hier findet Ihr die automatische Auswertung: http://www.hijackthis.de/logfiles/16...31da8e40e.html |
http://www.trojaner-board.de/showthread.php?t=6083 Scanne mal hiermit im abgesicherten Modus! Danach bitte nochmal ein Log posten. Achja, du solltest dringenst mal www.windowsupate.com besuchen und dir die fehlenen Sicherheitsupates installieren. |
Ich habe da so einen bösen Verdacht, weil ich schon vieles über Gaobot.CR gelesen habe. Der Prozess C:\WINDOWS\system32\slserv.exe macht mich stutzig. http://www.trojaner-board.de/images/smilies/pfui.gif Aussder sind da noch folgende Sachen die ich Dir rate zu fixen, einmal weil es der Hijacker Auswerter sagt und einmal weil es mir mein Gefühl sagt : Fangen wir mal an : O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe (Vieles was mit Serve zu tun hat und als Applikation gestartet werden kann, ist meist ein Pfui., also fixen) O4 - HKLM\..\Run: [Win32 USB2 Driver] smsc.exe (in allen variationen die Du dort stehen hast, raus damit i.O. sind lsass.exe, csree.exe, smss.exe, aber nicht smsc.exe) O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe (Oh mein Freund ist wieder da, ich glaube hier kann ich mir den Kommentar zu sparen, alles raus was mit "wuamgrd.exe" zu tun hat - NEIN, es ist kein Wormschutzprogramm, sondern eher das Gegenteil http://www.trojaner-board.de/images/smilies/mad.gif) O4 - HKLM\..\Run: [0utlook Express] skiht.exe (rate mal was ich nun bemängle *fg*, Outlook schreibt sich mit O nicht mit einer Null, also weg damit, auch sämtliche andere einträge die diesen Outlook Fake haben, böse böse) O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe (Ist mir selber nicht geläufig, mag ich aber nicht, vor allem weil wieder diese svr (Server) Endung am Ende dran hängt, wir sagen http://www.trojaner-board.de/images/smilies/pfui.gif ...weg damit) Wie mein Vorrednet Christian sagte : Dringenst Scannen lassen, in meinen Augen wäre sogar ein komplettes Formatieren und Neu aufspielen, alle Male besser und sicherer. Grüße und einen Schönen Tag Andy |
Erstmal scannen, danach schauen wir uns das neue Log an ..... ;) |
Ok, werd damit mal scannen. Könnte aber sein, daß es erst am WE wird. Bis dahin. |
Nimm das System vom Netz und geh damit nicht mehr online. Mindestens Backdoor.Rbot und Backdoor.Agobot (Gaobot) sind aktiv. Ich sehe hier nur die Möglichkeit: neu aufsetzen. Vor der ersten Internetverbindung das hier durchführen: http://dingens.org PS: Übrigens nicht weiter verwundernswert, dieser Zustand: das System ist nicht gepatcht: Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) |
Nur einen PC scannen - nicht das ganze Netzwerk :lach::blabla: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board