Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte mal mein HJT-Log auslesen...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.09.2005, 19:32   #1
winnewoeb
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Ich bewundere ja die Leute, die wissen was sie da lesen...

Kleine Vorgeschichte:
Habe mit Ad-Aware und Spybot schon einiges wegbekommen, aber der Browser spinnt noch rum. CoolWWWSearch oder so ähnlich sagt mir Spybot, bekomme es einfach nicht richtig gelöscht. Lösche ich es mit Spybot, kommt es unter neuem Namen immer wieder in c:\WINDOWS\system32 als name.exe Datei. Und Als name.exe- 12345(Zahlenkauderwelsch) .pf in c:\WINDOWS\Prefetch

Zur Zeit hindert Spybot die mspv32.exe ständig den Browser umzuschreiben...
Letzter Log-Eintrag:
01.09.2005 19:30:37 Verweigert value "mspv32.exe" (new data: "C:\WINDOWS\mspv32.exe") hinzugefügt in System Startup global entry!

**********************************************************

Logfile of HijackThis v1.99.1
Scan saved at 19:02:36, on 01.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
G:\Proggis\SpyBot\install\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\netsj32.exe
C:\WINDOWS\mspv32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
G:\Proggis\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.wildehorde.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {50CEAF47-BB34-ECF1-57AB-D499CC5C0BF5} - C:\WINDOWS\iewa32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe
O4 - HKLM\..\Run: [mfcsw.exe] C:\WINDOWS\mfcsw.exe
O4 - HKLM\..\Run: [sdkbl.exe] C:\WINDOWS\system32\sdkbl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Proggis\SpyBot\install\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119379657476
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netsj32.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

**********************************************************

PS: Habe noch nie mit HJT gearbeitet! Alle Virus/Firewall/Trojaner-Proggis bis auf Spybot, waren zum Zeitpunkt des HJT-Scans inaktiv. Nur Spybot brauchte ich ja dringend. sonst schreibt er ja gleich wieder im Browser rum...

Dank im Vorraus

Alt 01.09.2005, 19:41   #2
winnewoeb
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Wie gesagt, bin neu hier und habe noch nie was mit HJT zutun gehabt...

Kann es sein das ich das hier fixen muß?

O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe
__________________


Alt 01.09.2005, 20:22   #3
Haui45
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Hallo,

überprüfe bitte die folgenden Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis.
Zitat:
C:\WINDOWS\system32\netsj32.exe
C:\WINDOWS\mspv32.exe
C:\WINDOWS\system32\sdkbl.exe
C:\WINDOWS\system32\appbc32.exe
C:\WINDOWS\mfcsw.exe
Die Prozesse musst du, sofern vorhanden, vorher im Task-Manager (Strg+Alt+Entf) beenden.
Sollte es sich bei allen um den gleichen Schädling handeln, reicht das Ergebnis einer Datei, aber nur dann.
__________________

Alt 01.09.2005, 20:23   #4
Chris14
 

Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



lass mal diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis:
C:\WINDOWS\mspv32.exe
C:\WINDOWS\system32\appbc32.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\netsj32.exe
C:\WINDOWS\mfcsw.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sdkbl.exe

Prozesse dessen namen der hier gelisteten gleicht, mit strg + alt + entf unter prozesse per task-manager beenden

Alt 01.09.2005, 20:47   #5
winnewoeb
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Jau danke Männer!

Werde ich dort mal überprüfen, Eure Aussagen stimmen ziemlich überein mit der automatischen Auslesung von HJT die ich gefunden hab.

Wenn das nicht klappt, halte ich mich komplett an die Auto-Auslesung und Plätte alles was Gelb/Rot ist...

Und wenn das auch nicht klappt, erzähle ich Euch nächste Woche wie meine Neuinstallation war :P


Alt 01.09.2005, 21:48   #6
winnewoeb
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Alles wieder ok!!! PC rennt wieder...

Diese Dateien waren nicht sauber und wurden gelöscht (Genau wie Haui45 sagte, die 2 mehr die Chris14 vorschlug, waren aber sauber):

C:\WINDOWS\mspv32.exe
C:\WINDOWS\system32\appbc32.exe
C:\WINDOWS\system32\netsj32.exe
C:\WINDOWS\mfcsw.exe
C:\WINDOWS\system32\sdkbl.exe

Mit HJT wurde gefixt:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgifg.dll/sp.html#83556
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {50CEAF47-BB34-ECF1-57AB-D499CC5C0BF5} - C:\WINDOWS\iewa32.dll
O4 - HKLM\..\Run: [appbc32.exe] C:\WINDOWS\system32\appbc32.exe
O4 - HKLM\..\Run: [mfcsw.exe] C:\WINDOWS\mfcsw.exe
O4 - HKLM\..\Run: [sdkbl.exe] C:\WINDOWS\system32\sdkbl.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\netsj32.exe

* * *

Also dafür das ich vorher noch nie mit HJT gearbeitet habe, hats saugeil geklappt!!! Macht fast Lust auf mehr *scherz*
Naja, war jedenfalls interessant...

Alt 01.09.2005, 21:56   #7
Haui45
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Die Ergebnisse des Scans wären trotzdem interessant, genauso wie ein neues HjT-Log und die Virus-Log-Information von eScan (solltest du auf jeden Fall noch machen!)
Hast du die Dateien auch gelöscht, oder nur die Einträge mit HjT gefixt?

Alt 02.09.2005, 17:13   #8
winnewoeb
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Also die Dateien hatte ich gelöscht. Aber eScan hatte ich nicht gemacht, da bei meinen VirusScannern nichts mehr angezeigt wurde...

Habe aber nun eScan gemacht, und die log mit infected und tagged ausgewertet:

Zitat:
Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({ca4fc24b-c65c-11d1-aa6f-000000000000})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({ddd136ce-517b-11d2-ad03-00105a17b608})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({4f99a075-5227-11d2-ad06-00105a17b608})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({371d0743-7a57-11d2-ad5a-00105a17b608})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({e9d55102-9683-11d2-ba68-0040053687fe})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({0c1f87ae-ae62-11d3-911c-00105a17b608})! Action taken: No Action Taken.

Thu Sep 01 22:59:21 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger ({b22fe43c-d1e8-432a-a862-9f83d5f04732})! Action taken: No Action Taken.

Thu Sep 01 23:00:09 2005 => System found infected with SpywareNo!/SpySheriff Commercial KeyLogger (DartSock.dll)! Action taken: No Action Taken.

Thu Sep 01 23:00:29 2005 => File C:\WINDOWS\bnypqt.dat tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.

Thu Sep 01 23:11:02 2005 => File C:\WINDOWS\wgifg.dll tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.

Thu Sep 01 23:11:02 2005 => File C:\WINDOWS\bnypqt.dat tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.
HJT-Log:

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:52:45, on 02.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
G:\Proggis\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119379657476
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Rechner läuft bisher aber wunderbar, Browser funktioniert wieder ohne Probleme. Vom SpyBot kommen keine Meldungen mehr das was geblockt wurde oder etwas versucht die Regestry umzuschreiben.

Alt 02.09.2005, 17:25   #9
Haui45
 
Bitte mal mein HJT-Log auslesen... - Standard

Bitte mal mein HJT-Log auslesen...



Die Registry-Einträge dürften dazu gehören. Du solltest die Liste auf jedem Fall mal durchgehen und die Dateien gegebenenfalls löschen. NAV brauchst du dazu aber nicht



Zitat:
Thu Sep 01 23:00:29 2005 => File C:\WINDOWS\bnypqt.dat tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.

Thu Sep 01 23:11:02 2005 => File C:\WINDOWS\wgifg.dll tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.

Thu Sep 01 23:11:02 2005 => File C:\WINDOWS\bnypqt.dat tagged as "not-a-virus:AdWare.SearchPage". Action Taken: No Action Taken.
Diese Dateien solltest du noch löschen.

Außerdem rate ich dir, alle Passwörter zu ändern.

Poste außerdem noch folgendes aus der mwav.log (steht ganz am Ende):
Zitat:
Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

BTW: Du musst unbedingt dein System updaten!

Antwort

Themen zu Bitte mal mein HJT-Log auslesen...
ad-aware, adobe, antivirus, antivirus scan, bho, browser, dll, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, microsoft, monitor, namen, nvidia, programme, rundll, server, software, symantec, system, urlsearchhook, windows, windows xp



Ähnliche Themen: Bitte mal mein HJT-Log auslesen...


  1. Soll 50 euro zahlen, olt auslesen bitte.
    Log-Analyse und Auswertung - 13.04.2012 (16)
  2. auslesen von logfile
    Log-Analyse und Auswertung - 23.02.2010 (5)
  3. Log Überprüfen bitte ! Ich mein ich hab Viren auf meinem Rechner ! Bitte
    Log-Analyse und Auswertung - 13.10.2009 (6)
  4. MSN verschickt "selbständig" Nachrichten! Bitte Log auslesen...
    Log-Analyse und Auswertung - 08.12.2008 (6)
  5. Problem mit internet Explorer Pop Ups, Bitte Log File auslesen !Hilfe!
    Log-Analyse und Auswertung - 25.07.2008 (8)
  6. eScan Log bitte auslesen
    Log-Analyse und Auswertung - 28.05.2008 (13)
  7. WMP11 startet nicht, alle reg-Befehle gescheitert, bitte logfile auslesen
    Alles rund um Windows - 24.01.2007 (7)
  8. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 18.09.2006 (14)
  9. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 12.08.2006 (3)
  10. Log-File auslesen!?
    Log-Analyse und Auswertung - 26.01.2006 (5)
  11. Einmal Auslesen bitte
    Log-Analyse und Auswertung - 17.04.2005 (1)
  12. Mein Pc spinnt total und mein Internet ist total langsam,bitte um hilfe!
    Log-Analyse und Auswertung - 23.01.2005 (2)
  13. Bitte HJT log auslesen
    Log-Analyse und Auswertung - 19.12.2004 (11)
  14. Mein hijackthis log mein pc spinnt schon seit 2 wochen alles ist langsam bitte help
    Log-Analyse und Auswertung - 14.12.2004 (2)
  15. Bitte Hijack auslesen!!! Danke!
    Log-Analyse und Auswertung - 01.10.2004 (5)
  16. könnt ihr mir die hijack auslesen bitte. HILFE!
    Log-Analyse und Auswertung - 14.09.2004 (1)
  17. txt dateien auslesen mit PHP
    Alles rund um Windows - 27.02.2003 (6)

Zum Thema Bitte mal mein HJT-Log auslesen... - Ich bewundere ja die Leute, die wissen was sie da lesen... Kleine Vorgeschichte: Habe mit Ad-Aware und Spybot schon einiges wegbekommen, aber der Browser spinnt noch rum. CoolWWWSearch oder so - Bitte mal mein HJT-Log auslesen......
Archiv
Du betrachtest: Bitte mal mein HJT-Log auslesen... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.