| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hijack-Log Auswertung nach Bagle (Beagle) AngriffWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
09.02.2008, 19:10
| #1 |
 |  Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff Hallo, ich hatte vor kurzem einen trojaner (hldrr.exe) der sich als Bagle (Beagle) herausstellte. Nach einigen Kämpfen  glaube ich den Eindringling los zu sein.Es wäre nett, wenn sich jemand diesbezüglich meinen HijackLog ansehen könnte. Gruß A. Cremer =================== LOG START ====================== Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:05:05, on 09.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe F:\WINDOWS\SOUNDMAN.EXE F:\Programme\HHVcdV5Sys\VC5Play.exe D:\Programme\Unlocker\UnlockerAssistant.exe F:\Programme\FreePDF_XP\fpassist.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe F:\WINDOWS\system32\ctfmon.exe d:\Programme\Virtual CD v5\System\VC5Tray.exe F:\Programme\FRITZ!DSL\StCenter.exe F:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe D:\Programme\ScanWizard 5\ScannerFinder.exe F:\Programme\FRITZ!DSL\FwebProt.exe D:\Programme\TurboNote\tbnote.exe F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe F:\Programme\Apache Group\Apache2\bin\Apache.exe F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe F:\Programme\FRITZ!DSL\IGDCTRL.EXE d:\Programme\FileZilla Server\FileZilla Server.exe d:\Programme\moka5\Engine\bin\m5authd.exe F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE F:\Programme\MySQL\MySQL Server 5.1\bin\mysqld-nt.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\System32\svchost.exe F:\Programme\HHVcdV5Sys\VC5SecS.exe F:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe F:\Programme\Apache Group\Apache2\bin\Apache.exe F:\WINDOWS\system32\vmnat.exe F:\WINDOWS\system32\vmnetdhcp.exe F:\Programme\VMware\VMware Player\vmware-authd.exe D:\Programme\Mozilla Firefox\firefox.exe F:\Programme\Trend Micro\AmMontag\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - d:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\PROGRA~1\ICQTOO~1\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [VC5Player] F:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Unlocker\UnlockerAssistant.exe" O4 - HKLM\..\Run: [FreePDF Assistant] F:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: FRITZ!DSL Protect.lnk = F:\Programme\FRITZ!DSL\FwebProt.exe O4 - Startup: tbnote.exe.lnk = D:\Programme\TurboNote\tbnote.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = F:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Monitor Apache Servers.lnk = F:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: Scanner Finder.lnk = D:\Programme\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Zend Studio - Debug current page - res://d:\Programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugCurrent.html O8 - Extra context menu item: Zend Studio - Debug next page - res://d:\Programme\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugNext.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - d:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - d:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Dokumente und Einstellungen\myUserName\Desktop\Noelle\schafe\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Dokumente und Einstellungen\myUserName\Desktop\Noelle\schafe\ICQ6\ICQ.exe (file missing) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161708889796 O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: haufereader - (no CLSID) - (no file) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Apache Software Foundation - F:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - F:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - F:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - d:\Programme\FileZilla Server\FileZilla Server.exe O23 - Service: Haufe iDesk-Service in F:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - F:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - d:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe O23 - Service: moka5 Authorization Service (m5authd) - moka5 - d:\Programme\moka5\Engine\bin\m5authd.exe O23 - Service: MySQL - Unknown owner - F:\Programme\MySQL\MySQL.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - F:\Programme\Eset\nod32krn.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - F:\Programme\WinPcap\rpcapd.exe O23 - Service: Apache Tomcat (Tomcat6) - Apache Software Foundation - d:\Programme\Apache Software Foundation\Tomcat 6.0\bin\tomcat6.exe O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - F:\Programme\HHVcdV5Sys\VC5SecS.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - F:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - F:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - F:\WINDOWS\system32\vmnat.exe -- End of file - 9790 bytes =================== LOG END ====================== |
|
09.02.2008, 20:04
| #2 |
| /// AVZ-Toolkit Guru   | Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff Hallöle gunslinger.
__________________Dein I-Net-Explorer sollte auf die aktuelle Version 7 geupdatet werden. Auch wenn du ihn nicht nutzt ..  Das log ist soweit in Ordnung. Ich würde zur Sicherheit einen eScan/MWAV machen..
__________________ |
|
09.02.2008, 23:52
| #3 |
| | Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff Hallo,
__________________danke für die Info! Aber warum Update des iExplorers (den ich tatsächlich nicht nutze)? Ist dass Ding ein Sicherheitsrisiko? Gruß A. Cremer |
|
| Themen zu Bitte um Hijack-Log Auswertung nach Bagle (Beagle) Angriff |
| adobe, antivir, avira, bagle, bho, browser, desktop, dsl, einstellungen, excel, firefox, ftp, hijackthis, hkus\s-1-5-18, internet, internet explorer, locker, mozilla, mozilla firefox, mysql server, rundll, s-1-5-18, security, senden, server, software, studio, system, trojaner, urlsearchhook, windows, windows xp |
Linear-Darstellung
