Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   pls mal meinen log anschaun (https://www.trojaner-board.de/7144-pls-mal-meinen-log-anschaun.html)

mudvayne 27.08.2004 10:35
pls mal meinen log anschaun
 
hy (;

hab bis gestern noch diesen blöden trojaner auf meinem pc oben gehabt ( wo sich die startseite ändert und man so leicht nichts dagegen machen kann...)

hab dan eine verdächtige dll gelöscht und in der registry herumgefuchtelt und alles drüberlaufen lassen was ich habe g und jetzt scheint er endgültig weg zu sein

wäre nett wen noch jemand meinen log überprüfen könnte ob nun endlich alles sauber ist und ob ich ev. noch was fixen sollte (;

danke schon im voraus lg leo


Logfile of HijackThis v1.98.0
Scan saved at 11:26:20, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
E:\LEO\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
E:\LEO\WINAMP\WINAMP.EXE
E:\LEO\HIJACKTHIS_198\HIJACKTHIS_198\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hercules Daemon] hdaemon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\LEO\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

Rene-gad 27.08.2004 11:06
Hallo,
ich sehe nichts Schlimmes.
Lade bitte die aktuelle Version von HJT (soll 1.98.2 sein) und scanne deinen PC noch mal.

mudvayne 27.08.2004 21:48
ich glaubs nicht..

jetz ist der sch... schon wieder da..

neeeeeeeein ):

*Christian* 27.08.2004 22:00
Poste einfach mal ein Logfile mit Version 1.98.2

mudvayne 28.08.2004 10:47
im mom hab ich ihn wieder weggebracht aber ich bin mir fast sicher das er wieder kommt hier mein log


Logfile of HijackThis v1.98.2
Scan saved at 11:44:45, on 28.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
E:\LEO\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
E:\LEO\WINAMP\WINAMP.EXE
E:\LEO\HIJACKTHIS_198\HIJACKTHIS1982\HIJACKTHIS.EXE

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hercules Daemon] hdaemon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\LEO\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

FancyAndy 28.08.2004 11:31
Hallo mudvayne, :o

Dein Log ist leider unvollständig, deswegen können wir Dir im mom nicht weiterhelfen, auch wenn Du es gut meinst und denkst "Ich schicke nur mal die Einträge, die ich für wichtig halte.", möchten wir Dich bitten das komplette Log zu senden, weil sich oft einiges nur durch ein gesamtbild ergibt, und da reichen leider nicht die O4 Einträge.

Also bitte mal das komplette Log, posten und wir werden sehen wo wir helfen können.

Gruß
Andy :daumenhoc

*Christian* 28.08.2004 19:41
@FancyAndy
Woher willst du wissen, ob das Log unvollständig ist?

@mudvayne
Installiere dir Firefox und surfe nur noch mit diesem.
Dann kannst du dir sicher sein, dass dich der Hijacker nicht mehr aufsucht: www.firefox-browser.de

mudvayne 29.08.2004 10:18
so hab ihn jetzt wieder obn und im mom noch nix gefixt hier der log


Logfile of HijackThis v1.98.2
Scan saved at 11:15:22, on 29.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
E:\LEO\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
E:\LEO\HIJACKTHIS_198\HIJACKTHIS1982\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {3FD2CB65-F9AC-11D8-9C26-00005EE5A6EA} - C:\WINDOWS\SYSTEM\CKANA.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Hercules Daemon] hdaemon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [WinampAgent] "E:\LEO\WINAMP\WINAMPa.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O18 - Filter: text/html - {3FD2CB64-F9AC-11D8-9C26-000031A90371} - C:\WINDOWS\SYSTEM\CKANA.DLL
O18 - Filter: text/plain - {3FD2CB64-F9AC-11D8-9C26-000031A90371} - C:\WINDOWS\SYSTEM\CKANA.DLL



werde mir das firefox da mal ansehn .. und schaun wie ich damit zurechtkomme

achja das letzte mal war der komplette log hab nur alles andere gefixt gehabt bist auf die O4


lg leo

Rene-gad 29.08.2004 10:30
Hallo
Zitat:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {3FD2CB65-F9AC-11D8-9C26-00005EE5A6EA} - C:\WINDOWS\SYSTEM\CKANA.DLL
O18 - Filter: text/html - {3FD2CB64-F9AC-11D8-9C26-000031A90371} - C:\WINDOWS\SYSTEM\CKANA.DLL
O18 - Filter: text/plain - {3FD2CB64-F9AC-11D8-9C26-000031A90371} - C:\WINDOWS\SYSTEM\CKANA.DLL
Diese fixen.

Lutz 29.08.2004 11:01
Zitat:
Zitat von Rene-gad
Hallo

Diese fixen.
Plus: Den Ordner C:\WINDOWS\TEMP\ leeren und -sofern noch vorhanden- die Datei C:\WINDOWS\SYSTEM\CKANA.DLL löschen, gell. ;)

timobeil 29.08.2004 21:54
bitte schaut euch auch mal meinen logfile an...
 
allo, bin übrigens neu hier und steh rein zufällig vor den gleichen prob, wie der eröffner dieses threads... ich hab ma vorsichtshalber gleich den logfile vom hijacker beigefügt... rettet mich :-))

Logfile of HijackThis v1.98.2
Scan saved at 22:52:29, on 29.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TWAIN_32\FLATBED\HOTKEY.EXE
C:\PROGRAMME\MOUSEWARE\SYSTEM\EM_EXEC.EXE
D:\PROGRAMME\ANTIVIR\PESTPATROL\PPMEMCHECK.EXE
D:\PROGRAMME\ANTIVIR\PESTPATROL\COOKIEPATROL.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\PRINTKEY2000\PRINTKEY2000.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://home.netscape.com/"); (C:\Programme\Netscape\Users\User00\prefs.js)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [PPMemCheck] D:\PROGRAMME\ANTIVIR\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\PROGRAMME\ANTIVIR\PESTPATROL\CookiePatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft® VBScript® Console - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

thx mal im voraus!

Cidre 29.08.2004 22:01
Hallo,

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=0&q=%s
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft® VBScript® Console - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {13E7A560-E8E6-11D8-84F5-000777640932} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)


Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Danach Neustart und ein Log-File von HiJackThis hier posten.

FancyAndy 30.08.2004 11:24
Zitat:
Zitat von *Christian*
@FancyAndy
Woher willst du wissen, ob das Log unvollständig ist?
:blabla: Nenn es Bauchgefühl, das log war zu kurz als dass er vollständig sein könnte, reine O4 Einträge sind nicht vollständig, also habe ich mal um 3 Ecken gedacht ;)

Immer schön logga bleiben.

Gruß
Andy


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19