Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: brauche hilfe beim auswerten von hijackthis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.01.2005, 18:43   #1
doedel
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\NETFG32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\MFCIQ.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\ZSTATUS.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\ATRIS_ST\KATCD\ATRIS_ST.EXE
C:\WALI\WP.EXE
C:\WALI\wbtr32.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MFCIQ.EXE] C:\WINDOWS\MFCIQ.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE
O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O19 - User stylesheet: (file missing)

Alt 10.01.2005, 19:14   #2
cacatoa
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



@ doedel:
Bitte poste das komplette Logfile mit Kopfzeile!
__________________

__________________

Alt 10.01.2005, 19:31   #3
doedel
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



Logfile of HijackThis v1.99.0
Scan saved at 17:17:45, on 10.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\NETFG32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\MFCIQ.EXE
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\ZSTATUS.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\ATRIS_ST\KATCD\ATRIS_ST.EXE
C:\WALI\WP.EXE
C:\WALI\wbtr32.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MFCIQ.EXE] C:\WINDOWS\MFCIQ.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE
O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O19 - User stylesheet: (file missing)
__________________

Alt 10.01.2005, 19:48   #4
cacatoa
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



Hi,
folgendes mit HJT im abgesicherten Modus fixen:
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/search1/
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"

Die Datei:
C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE
manuell löschen.
Weiterhin würde ich folgendes fixen:
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O19 - User stylesheet: (file missing)
Diese drei, wenn Du sie nicht selbst bestimmt hast.

Lade Dir Spybot S&D 1.3 runter, update es und lasse es laufen. Nach dem scan, wenn alles entfernt ist, gehst Du auf "wiederherstellen" und löschst den Quarantäne-Ordner von Spybot.
Du mußt Deine "trusted Zones" leeren, Anleitung hier.
Folgende Dateien bitte nacheinander bei jotti online scannen lassen und die Ergebnisse hier rein posten:
C:\WINDOWS\NETFG32.EXE
C:\WINDOWS\MFCIQ.EXE
C:\WINDOWS\SYSTEM\ZSTATUS.EXE
C:\WINDOWS\NETDG32.DLL

Kennst du die folgenden:
C:\ATRIS_ST\KATCD\ATRIS_ST.EXE
C:\WALI\WP.EXE
C:\WALI\wbtr32.exe
O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe

bitte erledige alle Aufgaben und poste dann ein neues Logfile
cactoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 12.01.2005, 20:50   #5
doedel
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



habe die 4 dateien geprüft

C:\WINDOWS\NETFG32.EXE

File: netfg32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before.
Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Agent.al (0.28 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.37 seconds taken)
ClamAV Trojan.Downloader.Agent-38 (0.40 seconds taken)
Dr.Web Trojan.DownLoader.1299 (0.54 seconds taken)
F-Prot Antivirus W32/Backdoor.LP (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.al (0.68 seconds
mks_vir Trojan.Downloader.Agent (0.20 seconds taken)
NOD32 Win32/TrojanDownloader.Agent.NBC (0.38 seconds taken)
Norman Virus Control No viruses found (0.48 seconds taken)

C:\WINDOWS\MFCIQ.EXE

File: mfciq.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before.
Therefore, this file's scan results will not be stored in the database)
Packers detected: UPX

AntiVir TR/Dldr.Agent.gs (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender Trojan.Downloader.Agent.GM (0.36 seconds taken)
ClamAV No viruses found (0.45 seconds taken)
Dr.Web Trojan.Hidn (0.60 seconds taken)
F-Prot Antivirus W32/Agent.HP@dl (0.07 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Agent.gs (0.69 seconds ta
mks_vir Trojan.Downloader.Agent (0.21 seconds taken)
NOD32 Win32/TrojanDownloader.Agent.GS (0.38 seconds taken)
Norman Virus Control No viruses found (1.80 seconds taken)

C:\WINDOWS\NETDG32.DLL

File: netdg32.dll
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only classified as
malware by scanners known to generate more false positives than the
average scanner. Do not consider these results definately accurate. Also,
because of this, results of this scan will not be recorded in the
database.)
Packers detected: UPX

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.51 seconds taken)
ClamAV Trojan.Downloader.Agent.AC (0.40 seconds taken)
Dr.Web No viruses found (0.63 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.74 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.47 seconds taken)
Norman Virus Control No viruses found (0.13 seconds taken)

C:\WINDOWS\SYSTEM\ZSTATUS.EXE
die datei war sauber

Logfile of HijackThis v1.99.0
Scan saved at 18:46:10, on 11.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\NETFG32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WALI\WP.EXE
C:\WALI\wbtr32.exe
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {9663302E-BD8D-25BA-12F8-71482660116B} - C:\WINDOWS\NETDG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.3000.1001\DE\MSNTB.DLL (file missing)
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [NETFG32.EXE] C:\WINDOWS\NETFG32.EXE
O4 - Startup: Startleiste.lnk = C:\BISY\LAUNCHER.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Global Startup: WERBAS-Compact (2).lnk = C:\WALI\WP.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


Alt 12.01.2005, 21:05   #6
cacatoa
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



Hi, der in der NETFG32 entdeckte backdoor gehört zu einer Gruppe, die folgendes kann:
Fluten eines spezifizierten Hosts mit UDP-, TCP-, SYN-, ICMP- oder ping-Paketen
Starten eines Webservers, der den Inhalt der lokalen Festplatte verfügbar macht
Starten eines socks4-Proxyservers
Umleiten von TCP-Verbindungen
Starten eines TFTP-, FTP-, rlogind- oder Command-Shell-Servers
Dateiübertragung via DCC
Versenden von E-Mails
Suchen nach Produktschlüsseln
Download und Installation einer aktualisierten Version von sich
Anzeigen von Statistiken über das infizierte System
Anzeigen/Leeren des DNS-Cache
Auflisten/Beenden aktiver Prozesse
Auflisten/Erstellen/Stören von Freigaben bzw. Diensten
Durchsuchen zufälliger oder aufeinander folgender IPs nach infizierbaren Computern
Starten eines Keyloggers
Suchen nach Kennwörtern in Dateien, aktiven Prozessen und Netzwerkverkehr
Lesen des Inhalts der Zwischenablage
Erstellen von Bildschirmaufnahmen oder einer verbundenen Webcam
Schließen anfälliger Dienste, um den Computer zu sichern.


In Verbindung mit dem Rest, der sonst noch drauf ist, würde ich das System neu aufsetzen.
Dabei alle Tipps beachten!
cacatoa
__________________
--> brauche hilfe beim auswerten von hijackthis

Alt 13.01.2005, 17:36   #7
doedel
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



hört sich ja nicht gut an, aber gibt es eventuel noch eine andere möglichkeit?

Alt 13.01.2005, 17:39   #8
chaosman
 
brauche hilfe beim auswerten von hijackthis - Standard

brauche hilfe beim auswerten von hijackthis



@doedel
cacatoa hat dir doch alles gepostet?
ich würde sofort von netz gehen und nach der linktips neuaufsetzen.

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu brauche hilfe beim auswerten von hijackthis
about, auswerten, bho, bla, boot, brauche, brauche hilfe, control, dateien, explorer, file, file missing, hijack, hijackthi, hijackthis, internet, internet explorer, microsoft, msn, programme, services, software, startup, system, t-online, urlsearchhook, windows, zone



Ähnliche Themen: brauche hilfe beim auswerten von hijackthis


  1. Brauche Hilfe beim auswerten von Hijackthis
    Log-Analyse und Auswertung - 02.09.2009 (3)
  2. Brauche Hilfe beim Auswerten, bitte!!
    Mülltonne - 12.01.2009 (0)
  3. Brauche Hilfe beim Auswerten
    Mülltonne - 04.10.2008 (0)
  4. hilfe beim HiJackThis Log-File auswerten
    Mülltonne - 30.09.2008 (0)
  5. Brauche Hilfe beim auswerten von Hijackthis
    Log-Analyse und Auswertung - 30.07.2008 (20)
  6. HiJackThis Logs auswerten brauche bitte Hilfe
    Log-Analyse und Auswertung - 17.06.2008 (7)
  7. Brauche Hilfe beim Auswerten von HiJackThis Logfile
    Log-Analyse und Auswertung - 30.03.2008 (12)
  8. Pc extrem langsam geworde, brauche hilfe beim auswerten.
    Log-Analyse und Auswertung - 26.07.2007 (1)
  9. Brauche mal Hilfe beim fixen mit HiJackThis
    Log-Analyse und Auswertung - 20.08.2005 (6)
  10. Hilfe beim HiJackThis Logfile auswerten!!
    Log-Analyse und Auswertung - 01.07.2005 (0)
  11. Brauche Hilfe beim Auswerten.
    Log-Analyse und Auswertung - 20.06.2005 (5)
  12. Brauche Hilfe beim Auswerten
    Log-Analyse und Auswertung - 04.05.2005 (3)
  13. brauche hilfe beim auswerten von hijackthis
    Log-Analyse und Auswertung - 09.04.2005 (1)
  14. Brauche Hilfe beim Auswerten der Logs
    Log-Analyse und Auswertung - 04.01.2005 (9)
  15. Bitte um Hilfe beim HijackThis-Log auswerten
    Log-Analyse und Auswertung - 21.12.2004 (4)
  16. Brauche Hilfe beim Auswerten !
    Log-Analyse und Auswertung - 23.09.2004 (4)
  17. Erbitte Hilfe beim hijackthis-logfile auswerten!
    Log-Analyse und Auswertung - 19.09.2004 (1)

Zum Thema brauche hilfe beim auswerten von hijackthis - MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\NETFG32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\MFCIQ.EXE C:\PROGRAMME\MSN APPS\UPDATER\01.02.3000.1001\DE\MSNAPPAU.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\ZSTATUS.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE C:\ATRIS_ST\KATCD\ATRIS_ST.EXE C:\WALI\WP.EXE C:\WALI\wbtr32.exe C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\EIGENE DATEIEN\DENIS\HIJACKTHIS199\HIJACKTHIS.EXE - brauche hilfe beim auswerten von hijackthis...
Archiv
Du betrachtest: brauche hilfe beim auswerten von hijackthis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.