Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: gehijacked ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.07.2005, 18:55   #1
theklum
 
gehijacked ? - Standard

gehijacked ?



Hallo Board!

Ich habe ein Notebook welches sich seit geraumer Zeit immer wieder "dümmlich" anstellt, weil einfach der Prozessor nicht mehr für die Anwendungen bereit steht, sondern fast gänzlich von svchost vereinnahmt wird. Ich hatte schon mit e-scan gesucht aber nichts gefunden. Im abgesicherten Modus ist der Rechner jedoch normal schnell. Ich poste mal das HiJack-Protokoll (bitte keine Kommentare in Richtung Firewall oder VirenScanner, die habe ich erst mal deinstalliert da der Rechner so sowieso nicht ins I-Net kommen kann....)

Vielen Dank für Eure Antworten

Theklum

Logfile of HijackThis v1.99.1
Scan saved at 19:36:34, on 19.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
O1 - Hosts: 172.016.000.069 CarloServ
O1 - Hosts: 172.016.000.070 CarloDesk
O1 - Hosts: 172.016.000.071 CarloNote
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121638874435
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Alt 19.07.2005, 19:08   #2
Rene-gad
 
gehijacked ? - Standard

gehijacked ?



@theklum
Zitat:
Im abgesicherten Modus ist der Rechner jedoch normal schnell.
...weil nicht alle Prozesse in diesem Modus starten .
Zitat:
Ich poste mal das HiJack-Protokoll
Das hast du scheinbar auch im abgesicherten Modus gemacht. Ersichtlicher wäre, wenn du den Log im Normalmodus postest.
Zitat:
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
Überlege bitte, ob du wirklich alle diese Programme im Autostart brauchst.
__________________


Alt 19.07.2005, 20:09   #3
theklum
 
gehijacked ? - Standard

gehijacked ?



Danke für die schnelle Antwort!

Das HJT-Protokoll im "Normal-Modus" lautet:
Logfile of HijackThis v1.99.1
Scan saved at 20:47:57, on 19.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O1 - Hosts: 172.016.000.069 CarloServ
O1 - Hosts: 172.016.000.070 CarloDesk
O1 - Hosts: 172.016.000.071 CarloNote
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121638874435
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
__________________

Alt 19.07.2005, 20:20   #4
chaosman
 
gehijacked ? - Standard

gehijacked ?



@theklum

im logfile sehe ich nichts besonderes
weil einfach der Prozessor nicht mehr für die Anwendungen bereit steht, sondern fast gänzlich von svchost vereinnahmt wird.
vllt hast du unnötige windowsdienste im hintergrund laufen,
besuche doch mal www.dingens.org

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu gehijacked ?
abgesicherten modus, adobe, antivirus, antivirus scan, bereit, bho, computer, ctfmon.exe, dateien, excel, explorer, firewall, fritz!, hijackthis, hotkey, immer wieder, internet, internet explorer, messenger, microsoft, notebook, pdf, programme, prozessor, security, software, svchost, symantec, system, windows, windows messenger, windows xp



Ähnliche Themen: gehijacked ?


  1. steam accaunt gehijacked alle meine items weg (wert 850$) Computer ferngesteuert
    Log-Analyse und Auswertung - 18.09.2015 (1)
  2. Linux Mint 13 MATE 64 bit - wahrscheinlich Netzwerk gehijacked
    Alles rund um Mac OSX & Linux - 04.11.2013 (26)
  3. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Plagegeister aller Art und deren Bekämpfung - 20.04.2013 (15)
  4. Zeus Rundumschlag - BIOS infiziert, Android Handys, gehijacked
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (2)
  5. Wurde ich gehijacked? Oder was ist los? Browser öffnet in verschiedenen Abständen Werbetabs!
    Log-Analyse und Auswertung - 31.10.2011 (21)
  6. Script lähmt System, Rechner geHijacked?
    Log-Analyse und Auswertung - 08.03.2011 (8)
  7. rechner gehijacked, spypot etc. blockiert
    Log-Analyse und Auswertung - 23.08.2009 (30)
  8. Steam Account wurde gehijacked
    Log-Analyse und Auswertung - 24.02.2009 (9)
  9. Fritzbox gehijacked?!
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (3)
  10. Gehijacked? Hilfe...
    Log-Analyse und Auswertung - 19.09.2008 (1)
  11. help wanted - trojaner lädt andere trojaner nach (browser gehijacked)Hl
    Log-Analyse und Auswertung - 16.07.2007 (2)
  12. Browser Gehijacked, aber wie werd ich das wieder los ?
    Log-Analyse und Auswertung - 28.08.2006 (8)
  13. Wurde gehijacked (searchcentral.cc)! Was sagt ihr zu meiner log?
    Log-Analyse und Auswertung - 25.08.2004 (2)

Zum Thema gehijacked ? - Hallo Board! Ich habe ein Notebook welches sich seit geraumer Zeit immer wieder "dümmlich" anstellt, weil einfach der Prozessor nicht mehr für die Anwendungen bereit steht, sondern fast gänzlich von - gehijacked ?...
Archiv
Du betrachtest: gehijacked ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.