Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Selinahs Logfile of HijackThis

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.01.2004, 11:24   #1
Selinah
 
Selinahs Logfile of HijackThis - Frage

Selinahs Logfile of HijackThis



Grüß Euch,

nachdem ich den Artikel von Trojaner-Info gelesen hatte, lud ich mir HijackThis runter und bin natürlich jetzt - wie viele andere auch - besorgt.

(Ich habe Ad-aware und Spybot laufen lassen.)
Das Logfile von HijackThis liest sich für mich wie chinesisch.
Es wäre sehr nett und beruhigend, wenn Ihr mir sagen könntet, ob sich irgendwas auffälliges darin befindet.
_____________________________________

Logfile of HijackThis v1.97.7
Scan saved at 00:48:51, on 08.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\MY DOWNLOAD FILES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE"
O4 - HKLM\..\Run: [sysbot] c:\windows\system\sysbot.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III\Temp\MGI00000.html
O12 - Plugin for .mid: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .wav: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .au: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .ppt: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPDOC.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = martin
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.xxx

******************************************

Die letzten beiden Einträge verstehe ich auch nicht, hier gibt es keinen "Martin".

Es grüßt

Selinah

Alt 08.01.2004, 11:38   #2
raman
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



"Fix"e bitte alles unter "R1" und dieses:
O4 - HKLM\..\Run: [sysbot] c:\windows\system\sysbot.exe

Es waere nett, wenn du diese Datei( c:\windows\system\sysbot.exe ) an virus@rokop-security.de schicken koenntest. Dann Nach einem Neustart die Datei bitte loeschen.
__________________

__________________

Alt 08.01.2004, 11:45   #3
Rene-gad
 
Selinahs Logfile of HijackThis - Daumen hoch

Selinahs Logfile of HijackThis



hi Selinah,
Willkommen an Board,
ich persönlich sehe keinen Grund zur Sorge.
Schönen Tag noch .
__________________

Alt 08.01.2004, 12:40   #4
Selinah
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Hallo raman,

danke für die Antwort.
Die E-Mail mit sysbot.exe ist raus.

</font><blockquote>Zitat:</font><hr />"Fix"e bitte alles unter "R1" und dieses:
</font>[/QUOTE]Meinst du damit, dass ich dort ein Häkchen machen, dann auf den Button "fixed checked" klicken soll?
Und "Fixen" ab hier
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
bis
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.xxx
hier?
Ist das korrekt?

Alt 08.01.2004, 12:41   #5
Selinah
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Hallo Rene-gad,

danke für den Willkommens-Gruß.
Ich mache mir aber jetzt doch Sorgen ...


Alt 08.01.2004, 12:50   #6
mmk
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Hallo Selinah,

wenn möglich, mir bitte diese Datei auch mal zusenden (ggf. die bereits verschickte Mail einfach inkl. Dateianhang forwarden). Danke.
__________________
--> Selinahs Logfile of HijackThis

Alt 08.01.2004, 13:01   #7
Selinah
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Hallo Markus,

die Datei scheint ja begehrt zu sein.

E-Mail mit Anhang habe ich gerade an dich abgeschickt.

Alt 08.01.2004, 14:13   #8
raman
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



</font><blockquote>Zitat:</font><hr />Original erstellt von Selinah:

Die E-Mail mit sysbot.exe ist raus.
[qoute]"Fix"e bitte alles unter "R1" und dieses:
</font>[/QUOTE]Meinst du damit, dass ich dort ein Häkchen machen, dann auf den Button "fixed checked" klicken soll?
[/QUOTE]

Entschuldige, ich habe mich missverstaendlich ausgedrueckt, ich meinte alle Eintraege mit "R1".

BTW: Die Datei wird von KAV als Trojandownloader.Win32.Adroar gemeldet.
__________________
MfG Ralf

Alt 08.01.2004, 14:23   #9
mmk
 
Selinahs Logfile of HijackThis - Frage

Selinahs Logfile of HijackThis



</font><blockquote>Zitat:</font><hr />Original erstellt von raman:
BTW: Die Datei wird von KAV als Trojandownloader.Win32.Adroar gemeldet.</font>[/QUOTE]Mit aktuellen Signaturen... bei mir (noch) nicht. Welchen Updateserver verwendest du?
__________________
Grüße, Markus

Alt 08.01.2004, 14:32   #10
Selinah
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Die 3 R1-Zeilen habe ich "gefixt" und neu gescannt:

Mit sysbot.exe habe ich noch nichts gemacht, auf einmal taucht sie nicht mehr im Logfile auf:

Logfile of HijackThis v1.97.7
Scan saved at 15:32:24, on 08.01.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY FAMILY EDITION\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\MY DOWNLOAD FILES\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [THGuard] "C:\PROGRAMME\TROJANHUNTER 3.7\THGUARD.EXE"
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Programme\MGI\MGI PhotoSuite III\Temp\MGI00000.html
O12 - Plugin for .mid: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .wav: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .au: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npaudio.dll
O12 - Plugin for .PDF: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .ppt: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPDOC.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = martin
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 1xx.1xx.0.2xx

__________________

Soll ich jetzt die Datei sysbot.exe löschen?
Ich frage lieber ganz dumm nach, ehe ich etwas falsch mache. Und wenn ich die lösche - reicht es, wenn ich die aus c:\windows\system/ lösche?
Oder krallt die sich irgendwo fest?

Alt 08.01.2004, 15:46   #11
raman
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Ja, du kannst sie loeschen und nehme "ordnungshalber" das auch noch heraus:

O2 - BHO: (no name) - {1678F7E1-C422-11D0-AD7D-00400515CAAA} - (no file)
__________________
MfG Ralf

Alt 08.01.2004, 15:48   #12
raman
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Mit aktuellen Signaturen... bei mir (noch) nicht. Welchen Updateserver verwendest du? </font>[/QUOTE]Oh, habe ich gar nicht so schnell gesehen. Ich nehme neuerdings immer die _ext Datenbank.
__________________
MfG Ralf

Alt 08.01.2004, 16:28   #13
Selinah
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Ja dank Euch beiden erstmal für die Infos und Hilfe.

Ich habe nun sysbot.exe gelöscht.

Müssen nun noch alle Einträge auch aus HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{0B344580-56DA-11d2-B28F-444553540000}
\Interface\
\Network\
\Control\
KOMPLETT gelöscht werden? Also auch die Zahlenfolge in {Klammern}?

Im Internet finde ich nichts über Trojandownloader.Win32.Adroar.

Weiß man etwas darüber:
Welchen Schaden es anrichten kann?
Woran hätte ich das merken müssen?
Woher kam das Ding?

Alt 08.01.2004, 17:02   #14
mmk
 
Selinahs Logfile of HijackThis - Ausrufezeichen

Selinahs Logfile of HijackThis



@Selinah:
Bist du sicher, dass du mir die gleiche Datei zuschicktest wie an raman?

@raman:
Sicher, dass du genau diese Datei geprüft hast?

Ich frage deswegen nach, weil ich die hier vorliegende Datei weiterhin nicht als die genannte Malware identifizieren kann!
__________________
Grüße, Markus

Alt 08.01.2004, 17:28   #15
raman
 
Selinahs Logfile of HijackThis - Beitrag

Selinahs Logfile of HijackThis



Heute laeuft alles daneben. Nein, Kaspersky erkennt sie nicht, das problem lag daran, das ich zwei Dateien bekommen hatte und die erste noch im Testverzeichniss lag. Eingeschickt ist sie aber.

Es sollte diese Datei sein:

sysbot.exe Spector - spying (or monitoring) software to record internet activity

laut Sysinfo.org
__________________
MfG Ralf

Antwort

Themen zu Selinahs Logfile of HijackThis
.pdf, ad-aware, adobe, bho, dateien, download, explorer, hijack, hijackthis, internet, internet explorer, internet security, logfile, microsoft, nicht, norton internet security, object, programme, realplay.exe, realplayer, security, senden, shockwave, software, system, temp, träge, win32, windows, yahoo



Ähnliche Themen: Selinahs Logfile of HijackThis


  1. Hijackthis logfile
    Log-Analyse und Auswertung - 21.06.2010 (1)
  2. HijackThis Logfile
    Log-Analyse und Auswertung - 01.11.2009 (7)
  3. HiJackThis LogFile
    Mülltonne - 06.10.2008 (0)
  4. Logfile HiJackThis
    Mülltonne - 03.02.2008 (1)
  5. HiJackThis Logfile
    Mülltonne - 12.08.2007 (1)
  6. HijackThis Logfile
    Log-Analyse und Auswertung - 07.01.2007 (3)
  7. Logfile of HijackThis
    Log-Analyse und Auswertung - 19.11.2006 (3)
  8. my hijackthis logfile:
    Log-Analyse und Auswertung - 17.06.2006 (4)
  9. Logfile of HijackThis
    Mülltonne - 14.06.2006 (2)
  10. HiJackThis Logfile
    Log-Analyse und Auswertung - 26.11.2005 (3)
  11. HijackTHis Logfile
    Log-Analyse und Auswertung - 24.11.2005 (8)
  12. HijackThis Logfile - PLZ Help !!!
    Log-Analyse und Auswertung - 25.04.2005 (7)
  13. Logfile of HijackThis
    Log-Analyse und Auswertung - 16.04.2005 (1)
  14. hijackthis logfile
    Log-Analyse und Auswertung - 21.01.2005 (7)
  15. Logfile Hijackthis
    Log-Analyse und Auswertung - 09.12.2004 (1)
  16. HiJackThis Logfile
    Log-Analyse und Auswertung - 29.11.2004 (14)
  17. hijackthis logfile
    Log-Analyse und Auswertung - 27.08.2004 (1)

Zum Thema Selinahs Logfile of HijackThis - Grüß Euch, nachdem ich den Artikel von Trojaner-Info gelesen hatte, lud ich mir HijackThis runter und bin natürlich jetzt - wie viele andere auch - besorgt. (Ich habe Ad-aware und - Selinahs Logfile of HijackThis...
Archiv
Du betrachtest: Selinahs Logfile of HijackThis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.