Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT Log zu "explorer.exe will CNN besuchen"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 04.01.2005, 19:51   #1
drwitt
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Moin Leute,

hier ist das Logfile zum Thread "explorer.exe will CNN besuchen".

Danke für Eure Mühe!
Carsten.
-----------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 19:46:30, on 04.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\server\xampp\apache\bin\Apache.exe
C:\PROGRA~1\GRISOF~1\avgamsvr.exe
C:\PROGRA~1\GRISOF~1\avgupsvc.exe
C:\WINNT\system32\crypserv.exe
D:\server\xampp\mysql\bin\mysqld-nt.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\rsvp.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\NetDrive\wdService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
D:\server\xampp\apache\bin\Apache.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\khooker.exe
C:\Programme\Kerio\Personal Firewall\PERSFW.exe
C:\PROGRA~1\GRISOF~1\avgcc.exe
C:\PROGRA~1\GRISOF~1\avgemc.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WLAN54\WlanCU.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Kerio\Personal Firewall\PFWADMIN.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=wwwproxy.FH-Kiel.de:8080
O1 - Hosts: 217.160.78.80 strohhalm.org
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\system32\khooker.exe
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINNT\system32\SoundMan.exe
O4 - HKLM\..\Run: [Kerio] C:\Programme\Kerio\Personal Firewall\PERSFW.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOF~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOF~1\avgemc.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\WLAN54\WlanCU.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Apache Software Foundation - D:\server\xampp\apache\bin\Apache.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\GRISOF~1\avgupsvc.exe
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: FileZilla Server FTP server - Unknown - D:\server\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown - D:/server/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: WebDrive Service - Unknown - C:\Programme\NetDrive\wdService.exe

Alt 04.01.2005, 20:03   #2
chaosman
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



@drwitt
besser wäre es in einen thread zu bleiben
dein logfile schaut unauffällig aus,
diesen eintrag könntest du noch abgesichert fixen
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
versuche es doch mal mit escan

download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
chaosman
__________________

__________________

Alt 05.01.2005, 11:39   #3
drwitt
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Moin Chaosman,
> versuche es doch mal mit escan
danke für die Links und Hinweise :-)
So, escan hat in mehreren Suchläufen im abgesicherten Modus folgendes ergeben:

# Ein altes RemoteAdmin - jetzt deinstalliert
File C:\WINNT\system32\admdll.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINNT\system32\raddrv.dll tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.20. No Action Taken.
File C:\WINNT\system32\r_server.exe tagged as not-a-virus:RiskWare.RemoteAdmin.RAdmin.21. No Action Taken.

# Javaklassen, jetzt gelöscht
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-3bb8f109-7fff13a3.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-47cb9c47-6b6e7eed.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-5a952819-4a0f387b.zip infected by "Trojan.Java.Binny.a" Virus. Action Taken: No Action Taken.

# Junkordner, jetzt 0 Byte
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunderbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk infected by "I-Worm.Bagle.at" Virus. Action Taken: No Action Taken.

# na gut, offenbar kein Virus. Was jetzt damit?
File C:\Programme\j2sdk142_05\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\j2sdk142_05\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.

# das wird wohl ein Scherz sein (oder?!)
File D:\server\xampp\apache\bin\pv.exe tagged as not-a-virus:RiskWare.Tool.PrcView.3725. No Action Taken.

# das wird er sein. Mal sehen... Ich hab ihn von einer gehackten Seite konserviert. Dachte, gezippt hält er die Füsse still... *rotwerd*
File D:\witt\misc\access_log_2004_w28-1.gz infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken.

Leider scheint das problem trotzdem nicht behoben, weil explorer.exe jetzt geocities-Rechner anfunken will:
Blocked TCP out -> 66.218.77.68
und das ca. 1-3mal/Minute.

Mannmann, und schob wieder bin ich im falschen Board...

Kennt jemand das Verhalten?

Hoffnungsvoll:
Carsten.
__________________

Alt 05.01.2005, 11:50   #4
chaosman
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



@drwitt
na endlich gefunden
http://www.sophos.de/virusinfo/analy...startpacu.html
das erklärt einiges.
wechsle in den abgesicherten modus undlösche die dateien manuell
D:\witt\misc\access_log_2004_w28-1.gz
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Thunde rbird\Profiles\2ipf05ky.default\Mail\Local Folders\Junk
neu booten, escan findet auch tools, oder risk ware.
chaosman
__________________
Bonus vir semper tiro

Alt 05.01.2005, 20:58   #5
drwitt
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Moin Leute!

Zitat:
Zitat von chaosman
@drwitt
wechsle in den abgesicherten modus undlösche die dateien manuell
D:\witt\misc\access_log_2004_w28-1.gz
Leider muss ich sagen, der Virus wars nicht. Nach wie vor funkt explorer.exe zu CNN oder geocities.com.

Dafür gibts Neuigkeiten. Wie schon gesagt, funkt explorer jetzt geocities-Rechner an. Nun treten dazu auch Fehlermeldungen beim Herunterfahren auf, daß eine Anwendung im TempDir der Lokalen Einstellungen nicht ordentlich beendet werden konnte. Die exe-Datei laut Titelbalken heißt dann etwa 117_36.exe (nach dem Muster). Tatsächlich existiert aber keine solche Datei.
Und dann gibts auch Fehlermeldungen, daß beim Schreiben auf LPT1 ein Fehler aufgetaucht sei.
Leider warten beide Fehler nicht mit mehr Infos auf. :-(

Nun bin ich genauso schlau wie vorher.


Grüße Carsten.


Alt 05.01.2005, 21:06   #6
Chris14
 

HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



wie kann das aber sein?
im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt
dieser log ist wirklich mal was anderes
ich denke die datei ist nur als systemdatei markiert
extras/ordneroptionen/erweitert(jedenfalls das 2.) geschützte systemdateien ausblenden haken weg, systemdateien anzeigen haken hin, runterscrollen und unten alle dateien und ordner anzeigen haken hin.
dann sollte er die datei anzeigen. bedenke auch es gibt mehr tempordner. einen all users, einen default user, dann deinen. du solltest bei allen nachschauen. in irgend einem ist der auf jedenfall. aber das mit dem drucker.. das versteh ich jetz echt net..

Alt 06.01.2005, 10:17   #7
drwitt
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Tach auch!
> im hijack this log ist kein eintrag zu erkennen der diese datei zum starten bringt ... ich denke die datei ist nur als systemdatei markiert

Naja, dass mehrere Temp-Ordner existieren, ist schon klar, auch daß man die Ordneroptionen sinnvoll einsetzen muss - aber eine solche exe datei gibts nicht, auch nicht, wenn ich neben der aktiven Fehlermeldung in die temp-verzeicnisse gucke...

Hab heute morgen mal Win2K drüberinstalliert, was aber nix gebracht hat. Bereite mich innerlich auf ein komplettes Neuaufsetzen vor
Das kanns ja wohl nicht sein...

Ich danke Euch aber, insbesondere Chaosman, für die Hilfe!

Carsten.

Alt 06.01.2005, 12:33   #8
Cidre
Administrator, a.D.
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Zitat:
Hab heute morgen mal Win2K drüberinstalliert, was aber nix gebracht hat. Bereite mich innerlich auf ein komplettes Neuaufsetzen vor
Hier findest du eine Anleitung dazu -> http://www.trojaner-board.de/showpos...28&postcount=2
__________________
Gruß, Cidre


Alt 06.01.2005, 21:30   #9
drwitt
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



Moinsen!
Zitat:
Zitat von Cidre
Hier findest du eine Anleitung dazu ->
Jo, danke! Das sind brauchbare Links.

Natürlich hat das Drüberinsten von W2K nix gebracht. Habe heute allerdings eine fragwürdige DLL gefunden, die aus dem fraglichen Zeitraum stammt, sie heisst exgdi.dll. Unter der Annahme, dass dieser Name bei Google nicht umsonst nicht auftaucht, habe ich sie stillgelegt, und seitdem scheint Ruhe im Schiff zu sein. Mannmannmann, nächtes Mal sortiere ich gleich nach Datum

Besten Dank für Eure Hilfe. Hier lese ich gerne weiter!

Grüße an alle,

Carsten.

Alt 07.01.2005, 13:33   #10
chaosman
 
HJT Log zu "explorer.exe will CNN besuchen" - Standard

HJT Log zu "explorer.exe will CNN besuchen"



@drwitt
lasse diese datei exgdi.dll
hier
überprüfen und poste bitte das ergebnis

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu HJT Log zu "explorer.exe will CNN besuchen"
administrator, adobe, alert, bho, desktop, einstellungen, excel, file missing, firefox, firewall, ftp, hijack, hijackthis, internet, internet explorer, logfile, mozilla, mozilla firefox, pdf, programme, rundll, server, software, system, windows, wlan



Ähnliche Themen: HJT Log zu "explorer.exe will CNN besuchen"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Internet Explorer öffnet Pup ups von "lpcloudbox" nach Installation von FreeYoutubeDownloader "update"
    Log-Analyse und Auswertung - 07.09.2014 (5)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  5. Ordner wie "Anwendungsdaten" oder "Lokale Einstellungen" werden im Explorer nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 08.02.2013 (5)
  6. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  7. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  8. Bei Windows7 start - 2 mal Internet Explorer und 1 mal Windows Explorer "Desktop Weg"
    Plagegeister aller Art und deren Bekämpfung - 30.03.2012 (11)
  9. "Durch das Besuchen von Seiten mit infizierten Inhalten...wird ihr Windows geblockt." Trojaner etc.?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2012 (26)
  10. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  11. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  12. hohe load durch prozess "system" und "explorer.exe" verbindet alleine nach russland
    Plagegeister aller Art und deren Bekämpfung - 08.12.2010 (10)
  13. "Explorer Fehler" C:\Windows\Explorer.exe Def. Dank Trojaner/Malware
    Plagegeister aller Art und deren Bekämpfung - 25.01.2010 (1)
  14. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  15. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema HJT Log zu "explorer.exe will CNN besuchen" - Moin Leute, hier ist das Logfile zum Thread "explorer.exe will CNN besuchen". Danke für Eure Mühe! Carsten. ----------------------------------------- Logfile of HijackThis v1.99.0 Scan saved at 19:46:30, on 04.01.2005 Platform: Windows - HJT Log zu "explorer.exe will CNN besuchen"...
Archiv
Du betrachtest: HJT Log zu "explorer.exe will CNN besuchen" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.