Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hijack This Log File Auswerten (https://www.trojaner-board.de/9730-hijack-this-log-file-auswerten.html)

gimli4ever 17.11.2004 17:35
Hijack This Log File Auswerten
 
Habe folgenden logfile erhalten, mein problem ist, sobald ich in winMe den start button drücke bekomme ich folgende fehlermeldung:
Explorer hat in kernel32.dll einen fehler verursacht, ....
Bitte um eure hilfe
thx gimli4ever

Logfile of HijackThis v1.98.2
Scan saved at 17:13:39, on 17.11.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\TWAIN_32\A4S2_600\WATCH.EXE
C:\MSCAN\MSOFFICE\PANEL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sms.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.b-shop.at:3128
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\NEW\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: mqsBar BHO - {0E677221-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL (file missing)
O2 - BHO: MyQuickSearch Search Assistant BHO - {04011C11-2F3B-44ed-977C-270CA669C6B2} - C:\PROGRAMME\MYQUICKSEARCH\SRCHASTT\1.BIN\MQSSRCAS.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MGA Control Center] Mgactrl.exe
O4 - HKLM\..\Run: [Colorific Control Panel] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [MGA Diagnostic] C:\Programme\Matrox MGA PowerDesk\mgadiag.exe -s
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [WebSavingsFromEbates0] "C:\PROGRAMME\WEBSAVINGS_FROM_EBATES\WebSavingsFromEbates0.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4S2_600\WATCH.EXE
O4 - Global Startup: NetShow PowerPoint Helper.lnk = C:\Programme\NetShow Services\Tools\nsppthlp.exe
O8 - Extra context menu item: Web Savings - file://C:\PROGRAMME\WEBSAVINGS_FROM_EBATES\Sy400\Tp400\scri400a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...ab2292e6aa4d79
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup152.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = b-shop.at
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 212.152.252.250,195.70.224.61

Shadowdance 17.11.2004 18:23
Hallo gimli4ever,

MSIE: Internet Explorer v5.50 (5.50.4134.0100) - Dein IE ist nicht auf dem aktuellen Stand: www.windowsupdate.com

Bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\TWAIN_32\A4S2_600\WATCH.EXE
C:\MSCAN\MSOFFICE\PANEL.EXE
C:\PROGRAMME\WEBSAVINGS_FROM_EBATES\WebSavingsFrom Ebates0.exe"
C:\PROGRAMME\WEBSAVINGS_FROM_EBATES\Sy400\Tp400\sc ri400a.htm

Teile uns das Ergebnis mit und sende bitte diese Dateien, wenn sie infiziert sind, passwortgeschützt an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread - zu Forschungszwecken - und warte das Ergebnis ab.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O2 - BHO: mqsBar BHO - {0E677221-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL (file missing)
O2 - BHO: MyQuickSearch Search Assistant BHO - {04011C11-2F3B-44ed-977C-270CA669C6B2} - C:\PROGRAMME\MYQUICKSEARCH\SRCHASTT\1.BIN\MQSSRCAS.DLL (file missing)
O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_f...8ab2292e6aa4d79

wenn Du folgende Einträge nicht kennst/brauchst:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.sms.at/
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - h**p://download.abacast.com/downloa...abasetup152.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = b-shop.at

boote in den normalen Modus.

lösche

C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL
C:\PROGRAMME\MYQUICKSEARCH\SRCHASTT\1.BIN\MQSSRCAS.DLL
C:\PROGRAMME\MYQUICKSEARCH\BAR\1.BIN\MQSBAR.DLL

Aktiviere die Systemwiederherstellung,

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

gimli4ever 18.11.2004 17:34
danke für die hilfe, komm erst samstag zu dem pc, gebe euch bescheid
thx gimli


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131