Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJackThis - File bitte überprüfen!

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.07.2005, 18:45   #1
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo an alle Experten,

ich habe mir heute diesen Trojaner "Smitfraud.c" eingefangen;
das Forum habe ich diesbezüglich durchforstet und schon einiges wieder repariert.
Ich bin aber kein Experte und weiß nicht, ob ich noch was drauf hab von dem Teil. Deswegen hier mein hijackthis-logfile.
Bitte schaut ihr mal drüber, was ich rauslöschen muss?
Bin da etwas ratlos gerade. Danke!!!

Logfile of HijackThis v1.99.1
Scan saved at 19:30:10, on 01.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\INTEL32.EXE
C:\WINDOWS\SYSTEM\HOOKDUMP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Mega! - {8BC6346B-FFB0-4435-ACE3-FACA6CD77816} - C:\WINDOWS\TEMP\MegaHost.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [intel32.exe] C:\WINDOWS\SYSTEM\intel32.exe
O4 - HKLM\..\Run: [Fast Start] C:\WINDOWS\system32\svcnt.exe home
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKCU\..\Run: [Intel system tool] C:\WINDOWS\SYSTEM\hookdump.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\thn32.dll


Danke und viele Grüße,
lu

Alt 01.07.2005, 19:18   #2
Cidre
Administrator, a.D.
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo,

überprüfe zunächst folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINDOWS\SYSTEM\intel32.exe
C:\WINDOWS\system32\svcnt.exe

btw:
Vor der Überprüfung solltest du die o.g. aktiven Prozesse beenden.
__________________

__________________

Alt 01.07.2005, 22:34   #3
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo Cidre,


danke für deine Antwort.
Die Überprüfung gab folgendes für die Datei
C:\WINDOWS\SYSTEM\intel32.exe:

Datei: intel32.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX
AntiVir Keine Viren gefunden
ArcaVir Trojan.Agent.Ff gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Agent.FF gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Fakealert gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.FF-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.ff gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Win32.Agent.ff gefunden


Die zweite Datei: C:\WINDOWS\system32\svcnt.exe habe ich nicht mehr auf
dem Rechner gefunden. Ich habe zwischenzeitlich nochmal auch mit Antivir
durchsuchen lassen und es sind 5 Viren/Trojaner gefunden und gelöscht worden.

Kann ich denn diese Datei: intel32.exe einfach löschen??

Gruß,
lu
__________________

Alt 02.07.2005, 00:13   #4
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



hallo lu,

Zitat:
Ich habe zwischenzeitlich nochmal auch mit Antivir
durchsuchen lassen und es sind 5 Viren/Trojaner gefunden und gelöscht worden.
Wo und was wurde gefunden (schau mal im Report)?

Poste mal ein neues HJT_Logifel.

dartus
__________________
Kein Support per PN

Alt 02.07.2005, 14:51   #5
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo dartus,

die Report-datei von Antivir zeigt nicht mehr an, was gestern gelöscht wurde.
Aber hier ist nochmal ein aktuelles HJT_Logifel:
Ich glaube, ich hab nichts mehr auf dem Rechner drauf; oder kann man da
nie ganz sicher sein? Wie kann ich das noch feststellen, ob noch so ein Trojaner
drauf ist?

Logfile of HijackThis v1.99.1
Scan saved at 16:01:13, on 02.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\thn32.dll (file missing)

Danke und Gruß,
lu


Alt 02.07.2005, 15:36   #6
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo lu,

wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocsv.dll/asst.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: OLE Module - {0656A137-B161-CADD-9777-E37A75727E78} - C:\WINDOWS\SYSTEM\thn32.dll (file missing)

Manuell löschen:
C:\WINDOWS\web\related.htm

Papierkorb leeren

Neustart und ein neues Logfile

dartus
__________________
--> HiJackThis - File bitte überprüfen!

Alt 02.07.2005, 15:50   #7
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo dartus,

hab alles gemacht wie du beschrieben hast.
Hier nun das neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:37, on 02.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll

Sieht das nun alles sauber aus und ist es hoffentlich auch?
Gruß, lu

Alt 02.07.2005, 16:04   #8
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo lu,

Dein Logfile sieht IMHO sauber aus, aber ob Dein System dies auch ist, kann man nicht sagen.
Benutze zum Surfen zukünftig einen sicheren Browser.
Du könntest Dein System mit Escan überprüfen und ev. Funde wie in der Anleitung beschrieben entfernen.

dartus
__________________
Kein Support per PN

Alt 02.07.2005, 23:30   #9
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo dartus,

nochmal Danke für deine Antwort.
Ich hab jetzt alles mit Escan durchsuchen lassen .. puh ...
also da wurde folgendes gefunden:

Sat Jul 02 22:53:45 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Sat Jul 02 22:53:45 2005 => File C:\WINDOWS\SYSTEM\OLEADM.DLL infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sat Jul 02 22:53:59 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Jul 02 22:55:34 2005 => File C:\WINDOWS\SYSTEM\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sat Jul 02 22:55:34 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Sat Jul 02 22:56:36 2005 => File C:\WINDOWS\SYSTEM\oleadm.dll infected by "Trojan.Win32.Agent.ff" Virus! Action Taken: No Action Taken.
Sat Jul 02 22:56:36 2005 => File C:\WINDOWS\SYSTEM\WININET.DLL infected by "Virus.Win32.Nsag.a" Virus! Action Taken: No Action Taken.
Sat Jul 02 23:55:39 2005 => File C:\Programme\HiJackThis\backups\backup-20050701-235726-428.dll infected by "Trojan-Downloader.Win32.Small.aul" Virus! Action Taken: No Action Taken.
Sat Jul 02 23:55:47 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Jul 03 00:12:55 2005 => Scanning Folder: C:\Antivir\INFECTED\*.*
Sun Jul 03 00:12:55 2005 => Scanning File C:\Antivir\INFECTED\A7340902.1BC
Sun Jul 03 00:12:55 2005 => Scanning File C:\Antivir\INFECTED\A7340902.1BC
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\A7340902.1BC infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\A7340902.1BC infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => Scanning File C:\Antivir\INFECTED\568E64BE.1D7
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\DEFBA605.2F5 infected by "Trojan-Dropper.Win32.Small.zp" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => Scanning File C:\Antivir\INFECTED\5FC44C24.0BF
Sun Jul 03 00:12:56 2005 => Scanning File C:\Antivir\INFECTED\A2D50019.223
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\A2D50019.223 infected by "Trojan-Dropper.Win32.Small.xp" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\1EF54656.306 infected by "Trojan.Java.ClassLoader.i" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\4A3C1780.3CF infected by "Trojan.Java.ClassLoader.b" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\4A3C1780.3CF infected by "Trojan.Java.ClassLoader.b" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\5BEABC6A.320 infected by "Trojan.Win32.StartPage.qr" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\5BEABC6A.320 infected by "Trojan.Win32.StartPage.qr" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\54C7CAC4.03D infected by "Trojan-Dropper.Win32.Small.zp" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\2E30F946.115 infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:56 2005 => File C:\Antivir\INFECTED\2E30F946.115 infected by "Trojan.Java.ClassLoader.Dummy.a" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:57 2005 => File C:\Antivir\INFECTED\6E5F4D05.36F infected by "Trojan-Dropper.Win32.Small.xp" Virus! Action Taken: No Action Taken.
Sun Jul 03 00:12:57 2005 => File C:\Antivir\INFECTED\7CF75D14.327 infected by "Trojan-Downloader.Win32.Small.vq" Virus! Action Taken: No Action Taken.


Was mach ich damit jetzt bloß?
Soll ich wie in der Anleitung zu Escan alle diese Dateien löschen mit Killbox z. Bsp.?
Sieht das sehr schlimm aus? Ist der Rechner noch zu retten?

Gruß,
lu

Alt 02.07.2005, 23:55   #10
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo lu,

leere den Quarantäne-Ordner Deines Antivir-Programmes.
Lösche diesen Backup: C:\Programme\HiJackThis\backups\backup-20050701-235726-428.dll

Downloade Dir hier:
http://www.dll-files.com/dllindex/dl....shtml?wininet
eine saubere "wininet.dll". (speichere sie unter c: )
Benenne folgende Dateien um:
C:\WINDOWS\SYSTEM\WININET.DLL --> wininet.old
C:\WINDOWS\SYSTEM\OLEADM.DLL --> oleadma.old
Lösche dann die Dateien manuell, oder per Killbox bzw. Totalcommander

Kopiere dann die saubere "wininet.dll" in diesen Ordner "C:\WINDOWS\SYSTEM".

dartus
__________________
Kein Support per PN

Alt 03.07.2005, 00:07   #11
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



hallo dartus,

danke für die schnelle Antwort.
Ich hab jetzt alles gelöscht und mir eine neue wininet.dll runtergeladen.
Aber ich kann die beiden Dateien
C:\WINDOWS\SYSTEM\WININET.DLL --> wininet.old
C:\WINDOWS\SYSTEM\OLEADM.DLL --> oleadma.old

nicht umbenennen; "da sie von Windows benutzt werden".

Gibt es einen Trick?

Gruß, lu

Alt 03.07.2005, 00:33   #12
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo,

versuch mal folgendes:
Start--> ausführen --> gib "winfile" ein (ohne Häckchen) --> OK --> suche die Dateien und versuche sie so umzubenennen.

dartus
__________________
Kein Support per PN

Alt 03.07.2005, 11:52   #13
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo dartus,erstmal vielen Dank für deine Hilfe!
Ich hab jetzt alles ändern können wie du beschrieben hast und
eben habe ich nochmal Escan durchlaufen lassen.
Es werden keine "infected"-Dateien mehr gefunden, aber folgendes:

Sun Jul 03 11:19:46 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Jul 03 11:32:55 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Jul 03 11:32:55 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 03 11:32:56 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sun Jul 03 11:32:56 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\DIRECTX.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\DXNT.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\BDA.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\BDANT.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\DSETUP.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\DSETUP32.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\DXSETUP.EXE". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\CFGMGR32.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP0.DIR\directx\SETUPAPI.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DIRECTX.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DXNT.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\BDA.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\BDANT.CAB". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DSETUP.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DSETUP32.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DXSETUP.EXE". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\CFGMGR32.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:09 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\SETUPAPI.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\scribble.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\dot.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\mnature.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\hoverbot.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\will.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\powerpup.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "D:\Office\Assistnt\genius.act". Action Taken: No Action Taken.
Sun Jul 03 11:33:10 2005 => Entry "HKCR\CLSID\{D3B1DE00-6B94-1069-8754-08002B2BD64F}" refers to invalid object "C:\WINDOWS\SYSTEM\disktool.dll". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{777C8A05-5C36-11D5-ABAF-00B0D02332EB}" refers to invalid object "C:\PROGRAMME\GEMEINSAME DATEIEN\INSTALLSHIELD\DRIVER\7\INTEL 32\OBJPS7.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{777C89DF-5C36-11D5-ABAF-00B0D02332EB}" refers to invalid object "C:\PROGRAMME\GEMEINSAME DATEIEN\INSTALLSHIELD\DRIVER\7\INTEL 32\ISCRIPT7.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{777C8A16-5C36-11D5-ABAF-00B0D02332EB}" refers to invalid object "C:\PROGRAMME\GEMEINSAME DATEIEN\INSTALLSHIELD\DRIVER\7\INTEL 32\IUSER7.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{27B11641-EBD7-11D4-A47F-0010B555756C}" refers to invalid object "C:\PROGRA~1\ULEADS~1\ULEADP~1.0\UBRINCON.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{B6F7CD57-DCBC-11D0-9617-0080C81859FE}" refers to invalid object "C:\PROGRA~1\ULEADS~1\ULEADP~1.0\UCLRBALN.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{27B11642-EBD7-11D4-A47F-0010B555756C}" refers to invalid object "C:\PROGRA~1\ULEADS~1\ULEADP~1.0\UCROP.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{27B11643-EBD7-11D4-A47F-0010B555756C}" refers to invalid object "C:\PROGRA~1\ULEADS~1\ULEADP~1.0\UROTATE.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:12 2005 => Entry "HKCR\CLSID\{25D11401-EBC9-11D4-A47F-0010B555756C}" refers to invalid object "C:\PROGRA~1\ULEADS~1\ULEADP~1.0\UEDTTOOL.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:13 2005 => Entry "HKCR\CLSID\{FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A}" refers to invalid object "C:\WINDOWS\DOWNLOADED PROGRAM FILES\MISBH.DLL". Action Taken: No Action Taken.
Sun Jul 03 11:33:14 2005 => Entry "HKCR\Overview.Document" refers to invalid object "{DA23B9C9-6893-11D0-8534-00C04FD7AD0C}". Action Taken: No Action Taken.


Hat dies etwas zu bedeuten? Was muss ich jetzt noch unternehmen?
Noch eine Frage:
Ich habe meinen PC an einem Router angeschlossen, dort ist noch ein Notebook
dran - ich überprüfe gerade dieses mit Escan - , aber kann der Router an sich auch mit dem Virus/Trojaner befallen sein? Also in der Hinsicht, dass der da drin hockt oder so ähnlich und jeden PC, den ich anschließe, infiziert?

Danke.
lu

Alt 03.07.2005, 21:56   #14
dartus
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo lu,

bereinige Deine Registry mit z.B. Regseeker . Das Häckchen bei "Sichern vor Löschen" nichr vergessen zu setzen.

dartus
__________________
Kein Support per PN

Alt 05.07.2005, 21:57   #15
lu
 
HiJackThis - File bitte überprüfen! - Standard

HiJackThis - File bitte überprüfen!



Hallo dartus,

ich bins wieder ..
Also .. ich hab die Registry bereinigt mit Regseeker und mit Antivir und Spybot
nochmal alles durchsuchen lassen.
Es wird damit nichts mehr gefunden.
Escan jedoch findet immer noch folgende Einträge:

Tue Jul 05 22:48:41 2005 => Object "Alexa Spyware/Adware" found in File System! Action Taken: No Action Taken.
Tue Jul 05 22:48:42 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.


Tue Jul 05 22:48:52 2005 => ***** Scanning Registry for errors created because of Adware/Spyware *****
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DIRECTX.CAB". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DXNT.CAB". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\BDA.CAB". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\BDANT.CAB". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DSETUP.DLL". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DSETUP32.DLL". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\DXSETUP.EXE". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\CFGMGR32.DLL". Action Taken: No Action Taken.
Tue Jul 05 22:48:53 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\TEMP\_ISTMP1.DIR\directx\SETUPAPI.DLL". Action Taken: No Action Taken.

Dieses 'Object "Alexa Spyware/Adware" found in File System!' und
'Object "AltNet Spyware/Adware" found in File System!' - weißt du oder sonst jemand, was das noch zu bedeuten hat?
Wie kann ich das bereinigen?

Danke und Gruß,
lu

Antwort

Themen zu HiJackThis - File bitte überprüfen!
acrobat, adobe, bho, button, c:\windows\temp, danke, explorer, fast start, file, forum, hijack, hijackthis, icq, internet, internet explorer, links, microsoft, programme, ratlos, registry, rundll, rundll32, software, system, system tool, system32, temp, trojaner, windows, windows\temp



Ähnliche Themen: HiJackThis - File bitte überprüfen!


  1. Bitte HiJackThis Log-File überprüfen
    Log-Analyse und Auswertung - 23.04.2009 (26)
  2. Hijackthis File Überprüfen
    Log-Analyse und Auswertung - 13.09.2008 (0)
  3. HiJackThis Log-File, Experten zum Überprüfen gesucht
    Mülltonne - 08.08.2008 (0)
  4. HiJackThis Log-File bitte überprüfen!
    Log-Analyse und Auswertung - 24.07.2008 (18)
  5. Könntet ihr bitte mein HiJackThis Log-File überprüfen?
    Log-Analyse und Auswertung - 23.07.2008 (1)
  6. Bitte HIJACKTHIS Log-File überprüfen
    Log-Analyse und Auswertung - 03.07.2008 (0)
  7. HiJackThis Log-File bitte überprüfen.
    Log-Analyse und Auswertung - 02.11.2007 (8)
  8. Bitte HJT Log-File überprüfen
    Mülltonne - 22.10.2007 (1)
  9. Kann bitte jemand meine Log File überprüfen! BITTE
    Log-Analyse und Auswertung - 04.07.2007 (1)
  10. Bitte Log File überprüfen...
    Log-Analyse und Auswertung - 09.05.2007 (5)
  11. HIJackThis Log-File bitte überprüfen
    Log-Analyse und Auswertung - 29.04.2007 (3)
  12. Bitte HijackThis file überprüfen
    Log-Analyse und Auswertung - 25.02.2007 (36)
  13. HiJackThis Log-File nochmals überprüfen!
    Mülltonne - 24.02.2007 (0)
  14. Bitte Bitte Bitte Bitte HiJackThis Log File überprüfen!!!
    Mülltonne - 13.01.2007 (0)
  15. HiJackThis Log-File überprüfen
    Log-Analyse und Auswertung - 20.09.2006 (2)
  16. Spysherrif! Bitte HiJackThis Log-File überprüfen
    Log-Analyse und Auswertung - 20.09.2006 (1)
  17. Bitte Log File überprüfen
    Log-Analyse und Auswertung - 13.03.2006 (1)

Zum Thema HiJackThis - File bitte überprüfen! - Hallo an alle Experten, ich habe mir heute diesen Trojaner "Smitfraud.c" eingefangen; das Forum habe ich diesbezüglich durchforstet und schon einiges wieder repariert. Ich bin aber kein Experte und weiß - HiJackThis - File bitte überprüfen!...
Archiv
Du betrachtest: HiJackThis - File bitte überprüfen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.