Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile für Analyse (https://www.trojaner-board.de/9401-logfile-analyse.html)

bruderS 09.11.2004 19:52
Logfile für Analyse
 
Hallo,

unten findet ihr mein Log. Ich habe mir CoolWWWSearch eingefangen, doch kommen mir ziemlich viele Sachen hier komisch vor. Die "O1 - Hosts"-Einträge kann ich überhaupt nicht zuordnen, vielleicht entdeckt ihr noch mehr.

In meiner HOSTS-Datei habe ich vorhin entdeckt, dass 127.0.0.1 für diverse Antiviren-URLs hinzugefügt worden war. Macht das auch CoolWWWSearch?

Vielen Dank für eure Hilfe!

bruderS 09.11.2004 19:53
Logfile of HijackThis v1.98.2
Scan saved at 19:34:34, on 09.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\kxmixer.exe
C:\Programme\WinPortrait\wpctrl.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Supertrick XG\eDexter\eDexter.exe
C:\Programme\Bloglines Notifier\Notifier.exe
C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Java\jre1.5.0\bin\javaw.exe
C:\Programme\FreeMeter\FreeMeter.exe
C:\Programme\FreeRAM XP Pro\FreeRAM XP Pro 1.40.exe
C:\Programme\WinPortrait\floater.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\RBTray\rbtray.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Google\ggviewer81-7.exe
C:\Programme\Avant Browser\avant.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\Outlook Express\msimn.exe
D:\Downloads\HijackThis.exe

bruderS 09.11.2004 19:55
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
F2 - REG:system.ini: Shell=
O1 - Hosts: gesckqmwgcevcd5g6j.d3f1wgesckqmwgcevcn3dakcjtpcxbsoneiktsdad.gkumug6fh58qjorro.qjorro5ghj49f06e5gj2gesckqmwgcevc.rolobostericz.com
O1 - Hosts: jpkfxynhwkdoaiixjd5g6j.d3f1wjpkfxynhwkdoaiixjn3dnzuolulxociij.gkumug6fh58qqravjsils.qqravjsils5ghj49f06e5gj2jpkfxynhwkdoaiixj.rolobostericz.com
O1 - Hosts: kwdgjd5g6j.d3f1wkwdgjn3duaxzlsouaop.gkumug6fh58azhgnfjqoudbokwhupzjdrz.azhgnfjqoudbokwhupzjdrz5ghj49f06e5gj2kwdgj.rolobostericz.com
O1 - Hosts: nydiasqdyyprtyfjeimegxhuxehgf4ni0.39igvhtnltecnzvipswdkupigunqnydianoy.nltecnzvipswdkupigunqf42987hgtsqdyyprtyfjeimegxhuxeh.starryskiesabove.com
O1 - Hosts: ogleprcweectiiqteffd5g6j.d3f1wogleprcweectiiqteffn3dzqjomxeduaupexoditqwz.gkumug6fh58vwgxrajskynpjeqnbyu.vwgxrajskynpjeqnbyu5ghj49f06e5gj2ogleprcweect iiqteff.rolobostericz.com
O1 - Hosts: rqubciylgasltfaysbd5g6j.d3f1wrqubciylgasltfaysbn3dyatxjp.gkumug6fh58rknbdkzah.rknbdkzah5ghj49f06e5gj2rqubciylgasltfaysb.rolobostericz.com
O1 - Hosts: sjwmmvkboqkdrztod5g6j.d3f1wsjwmmvkboqkdrzton3dmzasaibkktzuw.gkumug6fh58nlgmr.nlgmr5ghj49f06e5gj2sjwmmvkboqkdrzto.rolobostericz.com
O1 - Hosts: twuzavpregehfzobsetwxrcxd5g6j.d3f1wtwuzavpregehfzobsetwxrcxn3dgrvz.gkumug6fh58cgirrobsqrqcforwanq.cgirrobsqrqcforwanq5ghj49f06e5gj2twuzavpregehfzobset wxrcx.rolobostericz.com
O1 - Hosts: wcpikjxrhkmzgd5g6j.d3f1wwcpikjxrhkmzgn3dusazld.gkumug6fh58xzfrkmthukipirl.xzfrkmthukipirl5ghj49f06e5gj2wcpikjxrhkmzg.rolobostericz.com
O1 - Hosts: wqtjlxmvnojapd5g6j.d3f1wwqtjlxmvnojapn3dcsxltfvipsyahcxunkf.gkumug6fh58jfqpacvmsbpo.jfqpacvmsbpo5ghj49f06e5gj2wqtjlxmvnojap.rolobostericz.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: RUPK - {604B283A-4E26-4504-98E7-72859F949547} - C:\PROGRA~1\HITWAR~1\sypcms.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: BHO Class - {CBEFB350-ED5B-4115-B846-C1041676B388} - C:\WINNT\system32\CustIE32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: (no name) - {A2E6AE27-7D78-47CC-8C2C-2CBDBFAA18EC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [kX Mixer] C:\WINNT\system32\kxmixer.exe --startup
O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [edexter] C:\Programme\Supertrick XG\eDexter\eDexter.exe
O4 - HKCU\..\Run: [TClockEx] C:\Programme\TClockEx\TCLOCKEX.EXE
O4 - HKCU\..\Run: [BloglinesNotifier] C:\Programme\Bloglines Notifier\Notifier.exe
O4 - HKCU\..\Run: [HitwarePKLite] C:\PROGRA~1\HITWAR~1\HITWAR~1.EXE
O4 - HKCU\..\Run: [Copernic Desktop Search] "C:\Programme\Copernic Desktop Search\CopernicDesktopSearch.exe" /tray
O4 - Startup: AboutTime.lnk = C:\Programme\AboutTime\AboutTime.exe
O4 - Startup: Azureus.lnk = C:\Programme\Azureus\Azureus.exe
O4 - Startup: DU Meter.lnk = C:\Programme\DU Meter\DUMeter.exe
O4 - Startup: FreeMeter.lnk = C:\Programme\FreeMeter\FreeMeter.exe
O4 - Startup: FreeRAM XP Pro 1.40.lnk = C:\Programme\FreeRAM XP Pro\FreeRAM XP Pro 1.40.exe
O4 - Startup: Geburtstagsliste.lnk = D:\Eigene Dateien\Geburtstagsliste.txt
O4 - Startup: Miranda IM.lnk = C:\Programme\Miranda IM\miranda32.exe
O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Startup: rbtray.lnk = C:\Programme\RBTray\rbtray.exe
O4 - Startup: Shareaza-Suche.lnk = D:\Eigene Dateien\Shareaza-Suche.txt
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
O4 - Startup: Zitate.lnk = D:\Eigene Dateien\Zitate.txt
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://www.allposters.com
O15 - Trusted Zone: *.c4tdownload.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframe.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.newiframe.biz
O15 - Trusted Zone: *.overpro.com
O15 - Trusted Zone: http://neher.piranho.de
O15 - Trusted Zone: *.pizdato.biz
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.sp2admin.biz
O15 - Trusted Zone: *.sp2fucked.biz
O15 - Trusted Zone: *.vse-moe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O16 - DPF: {04B6182D-FB75-11D4-90D2-0000B4948C7C} (cre8tiv 3Di ATL Control (Internet)) - http://www.cre8tiv.com/AppData/cre8tiv3dix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2032ee663e2d0e3...dxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4496CB4B-A925-4E77-8745-6C2DE37C53C4}: NameServer = 212.185.254.170,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2F7ADE2-853E-4793-B707-D68D90BEFAE5}: NameServer = 212.185.254.170,194.25.2.129
O18 - Protocol: copernicdesktopsearch - {D9656C75-5090-45C3-B27E-436FBC7ACFA7} - C:\PROGRA~1\COPERN~1\COPERN~2.DLL

Phalanx 09.11.2004 20:01
hi
erstmal gz zum dicksten logfile aller zeiten :D
http://www.hijackthis.de/logfiles/3e...151591b9f.html
unter dem link ist eine auswertung deines logs zufinden
(habe eben entdeckt das man den speichern kann :D ( aber nur für 5 tage!!! ))
also nix wie ran und viel glück
cya

Yopie 09.11.2004 20:12
Zitat:
Zitat von Phalanx
unter dem link ist eine auswertung deines logs zufinden
wobei die automatische Auswertung immer mit Vorsicht zu genießen ist:
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe Böse

Gruß :daumenhoc
Yopie

bruderS 09.11.2004 20:13
Zitat:
Zitat von Phalanx
hi
erstmal gz zum dicksten logfile aller zeiten :D
http://www.hijackthis.de/logfiles/3e...151591b9f.html
unter dem link ist eine auswertung deines logs zufinden
(habe eben entdeckt das man den speichern kann :D ( aber nur für 5 tage!!! ))
also nix wie ran und viel glück
cya
Wow, die Antwort kam schnell! :)
Ok, mache mich gleich mal an die Arbeit... mal gespannt!

Finde es aber sehr lustig dass
O4 - Startup: Winamp.lnk = C:\Programme\Winamp\winamp.exe
als "böse - unbedingt fixen!" identifiziert wird :)
Habe auch gleich mal ein paar unbekannte Programme der Datenbank von http://www.hijackthis.de/ hinzugefügt bzw. das veranlasst.

Phalanx 09.11.2004 20:15
hehe stimmmt is ja lustich... :D
naja besser als nix

bruderS 09.11.2004 21:00
Super, habe alles Ominöse entfernt, mein System läuft jetzt schon einen Tick besser. Jetzt muss ich nur noch CoolWWWSearch irgendwie gelöscht bekommen...

Habe noch ein Problem: Beim Systemstart behauptet der Hardware-Assistent von W2k seit kurzer Zeit immer, er habe einen neuen "Audiocontroller für Multimedia" gefunden. Da ist aber nichts neues hinzugekommen, ich kann problemlos wie immer Musik hören! Wie werde ich den Assisten diesbezüglich endgültig los?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27