Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Highjack-Logfile

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 14.01.2005, 16:30   #1
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



Logfile of HijackThis v1.99.0
Scan saved at 17:20:47, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hallo..... bin neu.... bitte um Kommentar zu diesem Logfile....
ich denke ich weiß was kommt... aber....

vielen DANK im voraus

egg

Alt 14.01.2005, 16:33   #2
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Hallo,

überprüfe mal folgende Datei bei http://virusscan.jotti.org/de
und poste das Ergebnis:
wmpa36.exe
__________________

__________________

Alt 14.01.2005, 16:35   #3
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



Ergebnis des scans :

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file



hab keine firewall außer der von xp

adaware findet nichts....
__________________

Alt 14.01.2005, 16:38   #4
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Sieh mal im TaskManager nach, wenn diese Datei als Prozess aufgeführt wird, dann kille diesen. Ansonsten benennst du die Datei mal um und probierst es nochmal.
__________________
Gruß, Cidre


Alt 14.01.2005, 17:25   #5
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



gesagt getan.

im Taskmanager ist der Prozess wmpa36 vorhanden, kille diesen.
Suche unter regedit wmpa36.
Finde : Windows Media Player 3.6 (mehrfach) umbenannt in WMP 3.9
000

alle mit dem Wert wmpa36.exe
nach einem Neustart ist der Prozess wieder da... in regedit einige Einträge wieder da, also WIndows Media Player 3.6
WIndows Media Player 3.9

noch ein Nachtrag. Zum Forum bin ich gekommen, weil mein OS ca. 1 Woche alt ist, musste es erneuern weil ich mir mächtig was eingefangen habe und ich nur noch traffic hatte ohne etwas zu tun.
Jetzt ist das OS neu, soweit alle updates drauf und die firewall ist an....
-mit firewall langsamer traffic
-ohne firewall sende ich wieder ohne Ende


hier nun die neue Log

Logfile of HijackThis v1.99.0
Scan saved at 18:25:46, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\regedit.com
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Media Player 3.9] wmpa36.exe
O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.9] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE9EFFE-02F0-4C93-8C9E-B26008492944}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

oh man....

ty again


Alt 14.01.2005, 17:36   #6
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Lange Rede kurzer Sinn, siehe den Link in meiner Signatur.
__________________
--> Highjack-Logfile

Alt 14.01.2005, 17:41   #7
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



ich habe gehofft du würdest nicht zu dieser Aussage neigen..... schade....

trotzdem danke

greetz egg

Alt 14.01.2005, 17:48   #8
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Damit wir uns ganz sicher sind, dass dies wirklich nötig ist, führe doch mal dies aus ->

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.
__________________
Gruß, Cidre


Alt 14.01.2005, 19:13   #9
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



Fri Jan 14 19:18:04 2005 => File C:\WINDOWS\System32\wmpa36.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.


ist nun renamed .... Prozess und Virus kommt nicht mehr auf

Logfile of HijackThis v1.99.0
Scan saved at 19:51:09, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

nochmal zum traffic.....
ist das normal daß ich ohne firewall 60kb/min empfange ohne eine site zu öffnen?

mit firewall habe ich nach aufrufen des forums (2:30 min) 50 kb

da ist noch irgendwo der wurm drin.....

Alt 14.01.2005, 19:28   #10
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



..und nochmals danke für das schnelle annehmen meiner Probs Cidre.... ich merke grad du bist ein Experte in diesem Forum.... wow wirklich gute und verständlich Beiträge... Hut ab :aplaus:

habe mir schon einige deiner Beiträge einfach gespeichert..hoffe draus lernen zu können....

Alt 14.01.2005, 20:43   #11
chaosman
 
Highjack-Logfile - Standard

Highjack-Logfile



@mr.egg

bei dem hier Backdoor.Win32.Rbot.gen"
bleibt dir nur übrig was cidre dir gepostet hat.

chaosman
__________________
Bonus vir semper tiro

Alt 15.01.2005, 23:06   #12
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



naja....also

alles war gut..... bis heut der Mediaplayer lief....

nach Neustart war wieder einer da....nur ein anderer....

mcafe32.exe
und
ntoskrl.exe ( ohne n )

ich sehe schon bleibt nicht übrig..... werd alles neu machen...

das einzige was mich juckt... ich habe zwei festplatten... dabei 5 Partitionen... ist es möglich das sich das Ding weiter fortgepflanzt hat? ich meine muss ich alle Partitionen formatieren? das wäre hart...... 120gb

mfg

Alt 16.01.2005, 00:44   #13
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Er wird sich zwar nicht fortpflanzen, da er nicht die Schadroutine eines Virus aufweist, aber es müssen alle Dateien als nicht mehr vertrauenswürdig angesehen werden. Sicherer wäre es auf jeden Fall wenn du beide Festplatten formatieren würdest.
__________________
Gruß, Cidre


Alt 23.01.2005, 02:37   #14
mr.egg
 
Highjack-Logfile - Standard

Highjack-Logfile



hey.... bitte um Kontrolle....


Logfile of HijackThis v1.99.0
Scan saved at 03:32:07, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106163874609
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEEB290-8B3F-4D8D-941B-69B5DAB8E4C8}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

...sys schnurrt wie ein kätzchen... freu

Alt 23.01.2005, 02:42   #15
Cidre
Administrator, a.D.
 
Highjack-Logfile - Standard

Highjack-Logfile



Dein Log-File sieht sauber aus und ich hoffe für dich, dass dies auch so bleibt
__________________
Gruß, Cidre


Antwort

Themen zu Highjack-Logfile
acrobat, antivir, antivir update, avg, bho, drivers, explorer, hijack, hijackthis, internet, internet explorer, logfile, microsoft, nvcpl.dll, nvidia, programme, rundll, rundll32.exe, software, system, system32, update, virenscanner, windows, windows media player, windows xp



Ähnliche Themen: Highjack-Logfile


  1. Highjack Log nachdem mein Internet funktionierte
    Log-Analyse und Auswertung - 05.10.2010 (1)
  2. Mass malling Virus - Highjack this Logfile
    Log-Analyse und Auswertung - 19.01.2010 (3)
  3. Highjack Auswertung aufgrund eines Trojaners
    Log-Analyse und Auswertung - 30.06.2009 (1)
  4. Highjack.Regedit - Kriege es nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 04.01.2009 (3)
  5. bitte wertet mein highjack aus..
    Mülltonne - 18.11.2008 (0)
  6. TR/crypt.XPACK.Gen HighJack Logfile + Avira Report zum auswerten
    Log-Analyse und Auswertung - 02.09.2008 (3)
  7. Großes Problem [Highjack Log]
    Log-Analyse und Auswertung - 20.08.2007 (3)
  8. highjack post - pc reagiert kaum
    Log-Analyse und Auswertung - 16.07.2007 (4)
  9. Bitte Highjack logfile anschauen.Trojaner??
    Log-Analyse und Auswertung - 01.04.2007 (1)
  10. Spyware Quake Highjack ausweretung
    Log-Analyse und Auswertung - 24.07.2006 (10)
  11. Highjack this - Mein Logfile .. HILFE !
    Log-Analyse und Auswertung - 19.11.2005 (5)
  12. Highjack
    Mülltonne - 19.08.2005 (1)
  13. Highjack!?
    Mülltonne - 19.08.2005 (1)
  14. Hi Leute, wer kann meine highjack-logfile auswerten
    Log-Analyse und Auswertung - 21.03.2005 (1)
  15. Highjack this
    Log-Analyse und Auswertung - 13.02.2005 (1)
  16. buldog search highjack
    Log-Analyse und Auswertung - 13.12.2004 (2)
  17. Highjack this -Log
    Log-Analyse und Auswertung - 09.07.2004 (20)

Zum Thema Highjack-Logfile - Logfile of HijackThis v1.99.0 Scan saved at 17:20:47, on 14.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe - Highjack-Logfile...
Archiv
Du betrachtest: Highjack-Logfile auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.