|
Log-Analyse und Auswertung: Bitte mal mein HJT-Log auslesen...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
01.09.2005, 18:32 | #1 |
| Bitte mal mein HJT-Log auslesen... Ich bewundere ja die Leute, die wissen was sie da lesen... Kleine Vorgeschichte: Habe mit Ad-Aware und Spybot schon einiges wegbekommen, aber der Browser spinnt noch rum. CoolWWWSearch oder so ähnlich sagt mir Spybot, bekomme es einfach nicht richtig gelöscht. Lösche ich es mit Spybot, kommt es unter neuem Namen immer wieder in c:\WINDOWS\system32 als name.exe Datei. Und Als name.exe- 12345(Zahlenkauderwelsch) .pf in c:\WINDOWS\Prefetch Zur Zeit hindert Spybot die mspv32.exe ständig den Browser umzuschreiben... Letzter Log-Eintrag: 01.09.2005 19:30:37 Verweigert value "mspv32.exe" (new data: "C:\WINDOWS\mspv32.exe") hinzugefügt in System Startup global entry! ********************************************************** Logfile of HijackThis v1.99.1 Scan saved at 19:02:36, on 01.09.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE G:\Proggis\SpyBot\install\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\netsj32.exe C:\WINDOWS\mspv32.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe G:\Proggis\HJT\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wildehorde.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Class - {50CEAF47-BB34-ECF1-57AB-D499CC5C0BF5} - C:\WINDOWS\iewa32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe O4 - HKLM\..\Run: [mfcsw.exe] C:\WINDOWS\mfcsw.exe O4 - HKLM\..\Run: [sdkbl.exe] C:\WINDOWS\system32\sdkbl.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Proggis\SpyBot\install\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119379657476 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netsj32.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe ********************************************************** PS: Habe noch nie mit HJT gearbeitet! Alle Virus/Firewall/Trojaner-Proggis bis auf Spybot, waren zum Zeitpunkt des HJT-Scans inaktiv. Nur Spybot brauchte ich ja dringend. sonst schreibt er ja gleich wieder im Browser rum... Dank im Vorraus |
01.09.2005, 18:41 | #2 |
| Bitte mal mein HJT-Log auslesen... Wie gesagt, bin neu hier und habe noch nie was mit HJT zutun gehabt...
__________________Kann es sein das ich das hier fixen muß? O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe |
01.09.2005, 19:22 | #3 | |
| Bitte mal mein HJT-Log auslesen... Hallo,
__________________überprüfe bitte die folgenden Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis. Zitat:
Sollte es sich bei allen um den gleichen Schädling handeln, reicht das Ergebnis einer Datei, aber nur dann. |
01.09.2005, 19:23 | #4 |
Bitte mal mein HJT-Log auslesen... lass mal diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis: C:\WINDOWS\mspv32.exe C:\WINDOWS\system32\appbc32.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\system32\netsj32.exe C:\WINDOWS\mfcsw.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\sdkbl.exe Prozesse dessen namen der hier gelisteten gleicht, mit strg + alt + entf unter prozesse per task-manager beenden |
01.09.2005, 19:47 | #5 |
| Bitte mal mein HJT-Log auslesen... Jau danke Männer! Werde ich dort mal überprüfen, Eure Aussagen stimmen ziemlich überein mit der automatischen Auslesung von HJT die ich gefunden hab. Wenn das nicht klappt, halte ich mich komplett an die Auto-Auslesung und Plätte alles was Gelb/Rot ist... Und wenn das auch nicht klappt, erzähle ich Euch nächste Woche wie meine Neuinstallation war :P |
01.09.2005, 20:48 | #6 |
| Bitte mal mein HJT-Log auslesen... Alles wieder ok!!! PC rennt wieder... Diese Dateien waren nicht sauber und wurden gelöscht (Genau wie Haui45 sagte, die 2 mehr die Chris14 vorschlug, waren aber sauber): C:\WINDOWS\mspv32.exe C:\WINDOWS\system32\appbc32.exe C:\WINDOWS\system32\netsj32.exe C:\WINDOWS\mfcsw.exe C:\WINDOWS\system32\sdkbl.exe Mit HJT wurde gefixt: R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgifg.dll/sp.html#83556 R3 - Default URLSearchHook is missing O2 - BHO: Class - {50CEAF47-BB34-ECF1-57AB-D499CC5C0BF5} - C:\WINDOWS\iewa32.dll O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe O4 - HKLM\..\Run: [mfcsw.exe] C:\WINDOWS\mfcsw.exe O4 - HKLM\..\Run: [sdkbl.exe] C:\WINDOWS\system32\sdkbl.exe O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netsj32.exe * * * Also dafür das ich vorher noch nie mit HJT gearbeitet habe, hats saugeil geklappt!!! Macht fast Lust auf mehr *scherz* Naja, war jedenfalls interessant... |
02.09.2005, 16:13 | #8 | ||
| Bitte mal mein HJT-Log auslesen... Also die Dateien hatte ich gelöscht. Aber eScan hatte ich nicht gemacht, da bei meinen VirusScannern nichts mehr angezeigt wurde... Habe aber nun eScan gemacht, und die log mit infected und tagged ausgewertet: Zitat:
Zitat:
|
02.09.2005, 16:25 | #9 | ||
| Bitte mal mein HJT-Log auslesen... Die Registry-Einträge dürften dazu gehören. Du solltest die Liste auf jedem Fall mal durchgehen und die Dateien gegebenenfalls löschen. NAV brauchst du dazu aber nicht Zitat:
Außerdem rate ich dir, alle Passwörter zu ändern. Poste außerdem noch folgendes aus der mwav.log (steht ganz am Ende): Zitat:
BTW: Du musst unbedingt dein System updaten! |
Themen zu Bitte mal mein HJT-Log auslesen... |
ad-aware, adobe, antivirus, antivirus scan, bho, browser, dll, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, microsoft, monitor, namen, nvidia, programme, rundll, server, software, symantec, system, urlsearchhook, windows, windows xp |