| |
| |||||||
Log-Analyse und Auswertung: Kann sich das ma jemand anschauen?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
08.03.2005, 16:31
| #1 |
| |  Kann sich das ma jemand anschauen? Logfile of HijackThis v1.99.0 Scan saved at 15:33:07, on 08.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\bcmwltry.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\svchost.exe C:\Programme\Winamp\winampa.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\Rar$EX00.157\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = hxxp://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hxxp://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,Search = hxxp://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = hxxp://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.tchibo.de.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://dka.directwebsearch.net/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0DFBA560-4AB0-452F-A5A7-2D0C950EED78} - C:\WINDOWS\System32\hemdoca.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Removecpl] removecpl.exe O4 - HKLM\..\Run: [bcmwltry] bcmwltry.exe O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=hxxp://www.tchibo.de.com/ O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://69.31.79.187/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!hxxp://213.159.117.131/dl/adv74/x.chm::/load.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {11111111-1111-1111-1111-117999534248} - mhtml:file://C:NO_SUCH_MHT.MHT!hxxp://www.clubonly18.com/nat.exe O18 - Filter: text/html - {DF10AE5B-9663-43F2-AD50-7523C2C119A2} - C:\WINDOWS\System32\hemdoca.dll O18 - Filter: text/plain - {DF10AE5B-9663-43F2-AD50-7523C2C119A2} - C:\WINDOWS\System32\hemdoca.dll O21 - SSODL: System - {ADCA0932-CBA1-4FE4-B4D1-FDF4A201BF0F} - C:\WINDOWS\system32\system32.dll O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Wollte mal wissen, was ihr davon halten. Denke hier liegt einiges im Argen  Über ne schnelle Antwort/Meinung wär ich sehr dankbar. thx ZocKY |
|
08.03.2005, 17:06
| #2 |
 | Kann sich das ma jemand anschauen? 13 Datein sind böse!
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\DANIEL~1\LOKALE~1\Temp\sp.html O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.c...nsearchi e32.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv74/x.chm::/load.e xe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {11111111-1111-1111-1111-117999534248} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.clubonly18.com/nat.exe O21 - SSODL: System - {ADCA0932-CBA1-4FE4-B4D1-FDF4A201BF0F} - C:\WINDOWS\system32\system32.dll Die must Du Fixen. LG Wolfgang069  |
|
08.03.2005, 17:14
| #3 |
 | Kann sich das ma jemand anschauen? Hallo zOcky,
__________________wenn Du Dich an die Anleitung gehalten hättest, wäre das nicht geschehen u.a.: http://de.trendmicro-europe.com/ente...AGLE.P&VSect=O = winupd.exe Bitte jetzt richtig! dartus |
|
08.03.2005, 17:16
| #4 |
| | Kann sich das ma jemand anschauen? @Wolfgang069, fixen hilft da nicht mehr, Der Wurm hat mit Sicherheit sein ganzen System zerschossen. Ausserdem Fixen allein reicht nicht. dartus |
|
08.03.2005, 18:21
| #5 |
| | Kann sich das ma jemand anschauen? @dartus bei mir hilft es schon aber ich muss sagen so hat mein Rechner auch noch nie ausgeschaut. Aber danke für Info. LG Wolfgang069  |
|
08.03.2005, 22:28
| #6 |
| | Kann sich das ma jemand anschauen? Danke für Eure Hilfe Leute, das hab ich mir auch schon gedacht. Glücklicherweise is es nich mein Rechner, sondern das Notebook eines Freundes  Das System scheint also wirklich schon blossgestellt zu sein?! Dann muß ichs wohl neu aufsetzen:/ Danke nochmal für die schnelle Hilfe ThX zOcKy |
|
| Themen zu Kann sich das ma jemand anschauen? |
| .inf, acrobat, adobe, bho, bla, button, dateien, explorer, hijack, hijackthis, ics, internet, internet explorer, logfile, messenger, microsoft, programme, realplayer, software, system, system32, t-online, temp, update, windows, windows messenger, windows xp, winrar, winupd |
Linear-Darstellung
