|
Log-Analyse und Auswertung: Hijack Loginfile bitte auswertenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
12.02.2008, 03:45 | #1 |
| Hijack Loginfile bitte auswerten Hallo, ich vermute einen Trojana auf meinem Rechner, da wenn ich mehre Icq fenster auf dem Bildschirm offen habe und ich grad in einem schreib, sich das hintere Fenster nach vorne klickt. Als ob jemand wissen will was dort steht. Ich bin laut Anleitung dieses Frorum vorgegangen. Hoffe hab nix falsch gemacht. Bitte schaut es euch mal an. Logfile of HijackThis v1.99.1 Scan saved at 03:24:19, on 12.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\lbcucbra.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\AOL\1166563587\ee\AOLSoftware.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\QuickTime\QTTask.exe C:\Programme\Lexmark 5200 series\lxbtbmgr.exe C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Lexmark 5200 series\lxbtbmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wuauclt.exe E:\programme\Azureus\Azureus.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\AOL 9.0 VRa\waol.exe C:\Programme\AOL 9.0 VRa\shellmon.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HostManager] "C:\Programme\Gemeinsame Dateien\AOL\1166563587\ee\AOLSoftware.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [AOLDialer] "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\system32\lbcucbra.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe |
12.02.2008, 09:02 | #2 |
| Hijack Loginfile bitte auswerten laut einem secutrty programm wurde mir gesagt das diese, eventuel probleme machen. aber laut forum beschreibung. kann man sich nicht bei den programmen sicher sein. könnte ihr mir bitte helfen.
__________________R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\system32\lbcucbra.exe |
12.02.2008, 18:06 | #3 | |
| Hijack Loginfile bitte auswerten Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar. Diesen Eintrag Zitat:
Dann lass diese Datei C:\WINDOWS\system32\lbcucbra.exe hier Virustotal hier virscan.org oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
12.02.2008, 19:12 | #4 |
| Hijack Loginfile bitte auswerten danke für die hilfe. die datei: R3 - URLSearchHook: (no name) - {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - (no file) hab ich auf fixen gelickt und dann das ding geschlossen. hoffe das war so richtig. dann hab ich die versteckten datein und ordner sichtbar gemacht und hijack noch mal durch laufen lassen. die textdatei eine größe von 7,82 kb dann habe ich die textdatei abgespeichert und auf die virus total seite hoch geladen. dann wurd mir diese angezeigt: Datei hijackthis_12.02.txt empfangen 2008.02.12 19:03:22 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.13.10 2008.02.12 - AntiVir 7.6.0.65 2008.02.12 - Authentium 4.93.8 2008.02.11 - Avast 4.7.1098.0 2008.02.12 - AVG 7.5.0.516 2008.02.12 - BitDefender 7.2 2008.02.12 - CAT-QuickHeal None 2008.02.12 - ClamAV 0.92 2008.02.12 - DrWeb 4.44.0.09170 2008.02.12 - eSafe 7.0.15.0 2008.02.11 - eTrust-Vet 31.3.5530 2008.02.12 - Ewido 4.0 2008.02.12 - FileAdvisor 1 2008.02.12 - Fortinet 3.14.0.0 2008.02.12 - F-Prot 4.4.2.54 2008.02.11 - F-Secure 6.70.13260.0 2008.02.12 - Ikarus T3.1.1.20 2008.02.12 - Kaspersky 7.0.0.125 2008.02.12 - McAfee 5228 2008.02.12 - Microsoft 1.3204 2008.02.12 - NOD32v2 2868 2008.02.12 - Norman 5.80.02 2008.02.12 - Panda 9.0.0.4 2008.02.12 - Prevx1 V2 2008.02.12 - Rising 20.29.22.00 2008.01.30 - Sophos 4.26.0 2008.02.12 - Sunbelt 2.2.907.0 2008.02.12 - Symantec 10 2008.02.12 - TheHacker 6.2.9.217 2008.02.11 - VBA32 3.12.6.0 2008.02.11 - VirusBuster 4.3.26:9 2008.02.12 - Webwasher-Gateway 6.6.2 2008.02.12 - weitere Informationen File size: 8008 bytes MD5: 27c6c4d281529cd0560e5932925a5f27 SHA1: c23299da8801cbd4f73280edb884e2f32b9f9c19 PEiD: - |
12.02.2008, 19:14 | #5 |
Gesperrt | Hijack Loginfile bitte auswerten Nicht das Log scannen. Sondern die Datei die nochdigger gesagt hat. |
12.02.2008, 20:08 | #6 |
| Hijack Loginfile bitte auswerten meinste diese text datei von hijack wo die versteckten daten und ordner mit eingeblendet sind? steh etwsa auf dem schlauch, sorry. habe mich noch nie mit dem thema befasst und deshalb suche ich hier hilfe. Logfile of HijackThis v1.99.1 Scan saved at 18:56:04, on 12.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\lbcucbra.exe C:\Programme\Java\jre1.5.0_03\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\AOL\1166563587\ee\AOLSoftware.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Java\jre1.5.0_03\bin\jucheck.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe C:\Programme\AOL 9.0 VRa\waol.exe C:\Programme\AOL 9.0 VRa\shellmon.exe C:\Programme\Gemeinsame Dateien\AOL\Topspeed\3.0\aoltpsd3.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQLite\ICQLite.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: AOL Toolbar Launcher - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O3 - Toolbar: AOL Toolbar - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HostManager] "C:\Programme\Gemeinsame Dateien\AOL\1166563587\ee\AOLSoftware.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [AOLDialer] "C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] "rundll32.exe" bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Lexmark 5200 series] "C:\Programme\Lexmark 5200 series\lxbtbmgr.exe" O4 - HKLM\..\Run: [LXBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBTtime.dll,_RunDLLEntry@16 O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\RunServices: [RunDLL32] C:\WINDOWS\system32\lbcucbra.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AOL Fast Start] "C:\Programme\AOL 9.0 VRa\AOL.EXE" -b O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AOL Toolbar-Suche - c:\programme\aol\aol toolbar 4.0\resources\de-DE\local\search.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: lxbt_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbtcoms.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe |
12.02.2008, 20:19 | #7 | ||||
Gesperrt | Hijack Loginfile bitte auswerten C:\WINDOWS\system32\lbcucbra.exe bei Virustotal (siehe unten) überprüfen [NICHT DIE TEXTDATEI VON HIJACK!!!] Zitat:
Zitat:
Zitat:
Zitat:
|
13.02.2008, 00:33 | #8 |
| Hijack Loginfile bitte auswerten besten dank. werd ich machen. ich hab nun die C:\WINDOWS\system32\lbcucbra.exe von dem programm "virustotal" auslesen lassen. Ergebnisse 32/32 dann zeigte er mir diese liste an. somit habe ich wohl den subseven trojaner drauf. habe ich das jetzt so richitg vertanden? frage noch mal nach um sicher zu gehen. Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.19.10 2008.01.18 Win-Trojan/SubSeven.55808 AntiVir 7.6.0.48 2008.01.18 BDS/Sub7-220.Srv Authentium 4.93.8 2008.01.19 W32/SubSeven.backdoor.v22a Avast 4.7.1098.0 2008.01.19 Win32:SubSeven-217 AVG 7.5.0.516 2008.01.18 BackDoor.Subseven BitDefender 7.2 2008.01.19 Backdoor.Subseven.CM CAT-QuickHeal 9.00 2008.01.19 Backdoor.SubSeven.22 ClamAV 0.91.2 2008.01.19 Trojan.SubSeven.22.D DrWeb 4.44.0.09170 2008.01.19 BackDoor.SubSeven eSafe 7.0.15.0 2008.01.16 Win32.SubSeven.22 eTrust-Vet 31.3.5470 2008.01.18 Win32/SubSeven.AM Ewido 4.0 2008.01.19 Backdoor.SubSeven.22 FileAdvisor 1 2008.01.19 High threat detected Fortinet 3.14.0.0 2008.01.19 W32/SubSeven.22.A!tr F-Prot 4.4.2.54 2008.01.19 W32/SubSeven.backdoor.v22a F-Secure 6.70.13260.0 2008.01.18 Backdoor.Win32.SubSeven.22 Ikarus T3.1.1.20 2008.01.19 Backdoor.Win32.SubSeven.22.A Kaspersky 7.0.0.125 2008.01.19 Backdoor.Win32.SubSeven.22 McAfee 5211 2008.01.18 BackDoor-Sub7.svr Microsoft 1.3109 2008.01.19 RemoteAccess:Win32/Subseven NOD32v2 2807 2008.01.19 Win32/SubSeven.2_2.A Norman 5.80.02 2008.01.18 W32/SubSeven.2_2 Panda 9.0.0.4 2008.01.19 Bck/Subseven.P Prevx1 V2 2008.01.19 Generic.Malware Rising 20.27.50.00 2008.01.19 Trojan.Sub7.22.a Sophos 4.24.0 2008.01.19 Troj/Sub7-2.2 Sunbelt 2.2.907.0 2008.01.17 Backdoor.SubSeven Symantec 10 2008.01.19 Backdoor.SubSeven22 TheHacker 6.2.9.191 2008.01.18 BackDoor-Sub7.svr3 VBA32 3.12.2.5 2008.01.19 Backdoor.Win32.SubSeven.22 VirusBuster 4.3.26:9 2008.01.18 Backdoor.Subseven.22.A Webwasher-Gateway 6.6.2 2008.01.18 Trojan.Backdoor.Sub7-220.Srv weitere Informationen File size: 56060 bytes MD5: 9fbc398e959e085e3186d7d7e379e496 SHA1: ff885ba15e5a516f16071069f691c2a6e9351c67 PEiD: - Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=9fbc398e959e085e3186d7d7e379e496 Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=626ECC1DFC937862DAEC00734632DC0031943BB5 Sunbelt info: Backdoor.SubSeven is a remote administration tool that offers complete package of computer monitoring and spy tools. |
13.02.2008, 01:15 | #9 |
| Hijack Loginfile bitte auswerten hab da noch ne frage, wenn ich die C:\WINDOWS\system32\lbcucbra.exe manuel einfach aus dem ordner lösche, wäre das problem auch behoben`? oder muss man es mit dem HijackThis im abgesicherten modus machen? ich versteh auch nicht wie man laut beschreibung die mailware datein entfernt. wäre für weiter antworten sehr dankbar. |
13.02.2008, 03:28 | #10 |
/// Helfer-Team | Hijack Loginfile bitte auswerten Hi, weder noch. Wenn dein unbekannter Remote-Administrator auch nur ein bischen sein Handwerk beherrscht, dann hat er unterdessen dein System mit weiteren Türen versehen. Neu installieren ist die einzige sichere Methode, die loszuwerden. Hier tritt der seltene Fall ein, dass 100% der Scanner bei Virustotal das Teil erkennen, ist ja auch ein Klassiker. Hättest Du irgendeinen davon installiert, wäre es im Anflug abgefangen worden. Nun ist es zu spät. Gruß, Karl |
13.02.2008, 03:50 | #11 |
| Hijack Loginfile bitte auswerten na das klingt ja nicht so gut. das ganze system neu aufspielen. hmm gut es ist ja nur C: aber es ist trozdem deprimierend. hab jetzt wirklich keine andere wahl, was meinen die anderen? |
13.02.2008, 06:51 | #12 |
| Hijack Loginfile bitte auswerten Moin ich würde auch Karls Rat folgen und das System neu aufsetzen, am Besten nach dieser Anleitung Neuaufsetzen des Systems und anschliessende Absicherung! Ändere bitte auch alle deine alten Pass- und Kennwörter nach der Neuinstallation oder von einem sauberen Rechner aus. MFG |
Themen zu Hijack Loginfile bitte auswerten |
adobe, auswerten, bho, bildschirm, bitte auswerten, dateien, drivers, excel, explorer, fast start, file, hijack, hijackthis, hotkey, icq, internet, internet explorer, messenger, microsoft, programme, realplayer, rundll, server, skype.exe, system, temp, urlsearchhook, windows, windows xp |