Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Frage zur Auswertung von HJT u.a.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 15.01.2006, 15:51   #1
aneleh
 
Frage zur Auswertung von HJT u.a. - Frage

Frage zur Auswertung von HJT u.a.



Hallo,
ich hatte neulich W32/Nsag.B und andere Viren auf meinem PC, die AntiVir nicht löschen konnte. Daher habe ich dann versucht, mit Smitrem (Antivir meldet übrigens, dass der Smitrem.exe-File mit dem Virus "SPR/Processor.20" befallen sei????), AdAware, Spybot, Escan und HJT das System zu säubern, aber leider kann ich mit den Logfiles der letzten beiden Programme wenig anfangen. Könnt ihr mir sagen, ob und wie eine Reparatur der befallenen Dateien möglich ist, oder ob der PC neu aufgesetzt werden muss?

MfG
aneleh

Hier noch der Smitrem-Logfile:
smitRem © log file
version 2.8

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Starting registry repairs

Deleting files


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~



~~~ Miscellaneous Files/folders ~~~




~~~ Wininet.dll ~~~

CLEAN!



Nun der HJT-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 14:15:36, on 15.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\U\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ***://go.microsoft.com/fwlink/?LinkId=33568
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\M\Startmenü\Programme\Autostart\ms.exe" /m
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\M\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\M\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [C.tmp.exe] C:\DOKUME~1\M\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\M\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [appjr.exe] C:\WINDOWS\appjr.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe



Nun die Ausschnitte mit "tagged" und "infected" aus dem MWAV.LOG:

Sun Jan 15 13:17:33 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.

Sun Jan 15 13:52:54 2006 => File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill. No Action Taken.

Sun Jan 15 13:48:38 2006 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill. No Action Taken.

Sun Jan 15 13:18:11 2006 => File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.Win32.PsKill. No Action Taken.

Sun Jan 15 13:57:12 2006 => Total Objects Scanned: 43857
Sun Jan 15 13:57:12 2006 => Total Virus(es) Found: 4
Sun Jan 15 13:57:12 2006 => Total Disinfected Files: 0

Alt 15.01.2006, 23:57   #2
dartus
 
Frage zur Auswertung von HJT u.a. - Standard

Frage zur Auswertung von HJT u.a.



Hallo aneleh,

lade Dir clearprog 1.4.1 final und nimm eine Datenträgerbereinigung vor (Programm starten Häckchen bei "Alles Löschen" und auf "Löschen" klicken).

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\M\Startmenü\Programme\Autostart\ms.e xe" /m
O4 - HKLM\..\Run: [D.tmp.exe] C:\DOKUME~1\M\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [D.tmp] C:\DOKUME~1\M\LOKALE~1\Temp\D.tmp.exe
O4 - HKLM\..\Run: [C.tmp.exe] C:\DOKUME~1\M\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [C.tmp] C:\DOKUME~1\M\LOKALE~1\Temp\C.tmp.exe
O4 - HKLM\..\Run: [appjr.exe] C:\WINDOWS\appjr.exe

Lösche manuell, wenn noch vorhanden:
C:\Dokumente und Einstellungen\M\Startmenü\Programme\Autostart\ms.exe
C:\WINDOWS\appjr.exe

Papierkorb leeren

neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

dartus
__________________

__________________

Alt 16.01.2006, 02:09   #3
PCNerD
 
Frage zur Auswertung von HJT u.a. - Standard

Frage zur Auswertung von HJT u.a.



Dies ist kein Querpost, sondern eine Ergänzung!

@aneleh

BEVOR du irgendwelche Anstalten unternimmst, einen der Einträge im HJT-log unwiederruflich zu entfernen (fixen), rate ich dir dringend HijackThis aus einem sicheren Verzeichnis heraus auszuführen. Immerhin vertraust du hier den Aussagen fremder Menschen, sensible Eingriffe an deinem System vorzunehmen. Ansonsten kann die Programm eigene Sicherheitsfunktion, falls einmal etwas ungewollt gefixt wurde, nicht zuverlässig arbeiten und keine Backups (Sicherungskopien) anlegen. Außerdem kommt man so nicht in die peinliche Verlegenheit, ein eigentlich Sicherheit bringendes Tool, versehentlich zu löschen, indem man seelenruhig die regelmäßige Reinigung der Gebrauchsspuren vornimmt. Huch war da nicht bis eben noch HJT drin ...

1)
HijackThis gehört daher weder in ein temporäres Verzeichnis, noch auf den Desktop, sondern muss ein eigenes Verzeichnis zugewiesen bekommen. Lösche also deine jetzige Version vollständig vom System, säubere anschließend deine temporären Verzeichnisse mit dem unten aufgeführten Cleaner und -ganz wichtig- deine Registrierung (z.B. mit dem RegSeeker). Erst dann lade dir HijackThis erneut herunter. Diese Version hier installiert sich von selbst in das "richtige" Verzeichnis C:\Programme\HijackThis\

Bedenke: HijackThis logfiles immer aus dem normalen Modus heraus erstellen, damit nichts verborgen bleibt. Wenn gefixt wird jedoch immer vorher in den abgesicherten Modus wechseln und anschließend auch immer ein neues HJT-log zur Überprüfung erstellen.

2)

Die folgenden Dateien aus deinem Logfile sind entweder derzeit völlig unbekannt, oder es gibt keine ausreichenden Informationen zu ihnen in den Datenbanken verzeichnet.

Möchte man also sicher gehen und wissen, wer oder was sich da eingeschlichen hat, so lässt man diese "Unbekannten" untersuchen.

C:\WINDOWS\appjr.exe
C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe

Lade diese beiden Dateien zu Jotti und Virustotal zur Analyse hoch. Die Ergebnisse erhältst du wenige Augenblicke später nachdem auf "Send" oder "Abschicken" gedrückt hast. Poste sie bitte und lass uns einen Blick darauf werfen, danke.

3)

C:\WINDOWS\system32\wuauclt.exe

Dieser Eintrag steht für einen aktiven Hintergrundprozess, der dafür Sorge trägt, dich regelmäßig und zwar ohne eigenes Hand anlegen, mit den neusten Windows-Updates zu versorgen. Letztere sind in jedem Falle nötig, doch muss man dafür nicht extra einen Speicher fressenden Dienst beauftragen. Zudem weiß man nie, was Microsoft genau von einem wissen möchte, gibt man den Herren und Damen in Redmond erstmal die Freikarte zum eigenen System

Du kannst den dazugehörigen Dienst über die Systemsteuerungskonsole "Leistung/Wartung">"Verwaltung">"Dienste"> deaktivieren. Beende den laufenden Prozess namens "Automatische Updates", wähle via Kontextmenü "Eigenschaften" und setze den Starttyp auf "Deaktiviert".

Verfahre ebenso mit den Prozessen "Intelligenter Hintergrundüberwachunsdienst" und "Fehlerberichterstattung". Du musst allerdings als Admin angemeldet sein, sonst funktioniert das nicht.

4)

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)

BHOs verraten das stille Vorhandensein sog. Programmerweiterung oder auch Browser-Hilfsobjekte. Derer gibt es zahlreiche und sie finden sich, wie ihr Name verrät, Teil der Internet-Browser und sollen deren Funktionen "nützlich" erweitern. Sie sind schnell heruntergeladen und installiert, ohne das man es wollte. Leider haben hier Ad-/Spyware und Browser-Hijackings große Angriffsfläche. Daher sollte man immer ein Auge darauf haben, was sich so an BHOs und/oder auch Toolbars (O3) tummelt. Sieh dir deinen IE genauer an und entscheide überlegt, welche der klickibunten Toolbars, Extra-Buttons, Extra-Kontextmenüeinträge du tatsächlich "brauchst". Alles andere kann gnadenlos raus und gelöscht werden. Unbekannte Einträge sowieso immer.

5)
Weiterhin fällt auf, du benutzt teilweise veraltete Software:

C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

Eine ungepatchte Software stellt immer ein Sicherheitsrisiko für Infektionen aus dem Internet dar. Lösche die alte Version von Java, indem du sie über die Systemsteuerung deinstallierst und dann den Ordner "Java" unter C:\Programme\SUN\ entfernst. Reinige erneut die Registry und besuche anschließend die Seite java.sun.com, Lade dir die neueste Version herunter und installiere sie.

6)

Mache dir abschließend über die Anschaffung und Verwendung einer Firewall, eines vernünftigen Browsers, einer sicheren Konfiguration deines IE sowie einer guten Einstellung deiner Windows-Dienste Gedanken. Lies, vergleiche, sei kritisch und hüte dich vor dem "schnellen Klick" Lek-türe gefällig ?

SafeSurf wünscht,

PCNerD
__________________

Antwort

Themen zu Frage zur Auswertung von HJT u.a.
.dll, adobe, adobe reader, antivir, antivir meldet, bho, desktop, drivers, einstellungen, excel, explorer, frage, hijack, hijackthis, icqtoolbar, internet, internet explorer, löschen, ms.exe, neu aufgesetzt, programme, registry, server, software, system, temp, urlsearchhook, viren, virus, windows, windows xp, windows\system32\drivers



Ähnliche Themen: Frage zur Auswertung von HJT u.a.


  1. OTL Auswertung nach Hijackthis Online-Auswertung
    Log-Analyse und Auswertung - 11.11.2011 (3)
  2. Ich hab da mal ne Frage
    Log-Analyse und Auswertung - 24.04.2009 (1)
  3. Frage zu RAM
    Netzwerk und Hardware - 03.01.2009 (8)
  4. Frage:
    Mülltonne - 14.05.2007 (0)
  5. Frage!
    Alles rund um Mac OSX & Linux - 17.02.2007 (14)
  6. frage.....
    Mülltonne - 16.02.2006 (5)
  7. frage zu ram
    Netzwerk und Hardware - 17.01.2006 (1)
  8. Frage
    Log-Analyse und Auswertung - 01.05.2005 (12)
  9. Frage zu HJT-Log
    Log-Analyse und Auswertung - 31.12.2004 (3)
  10. frage zu hijackthis - auswertung
    Log-Analyse und Auswertung - 20.10.2004 (1)
  11. ne Frage
    Plagegeister aller Art und deren Bekämpfung - 10.05.2004 (3)
  12. frage
    Plagegeister aller Art und deren Bekämpfung - 04.05.2004 (6)
  13. Frage!
    Plagegeister aller Art und deren Bekämpfung - 03.03.2004 (7)
  14. Frage zu dll
    Alles rund um Windows - 03.08.2003 (14)
  15. Frage zu S.M.A.R.T.
    Netzwerk und Hardware - 26.01.2003 (4)

Zum Thema Frage zur Auswertung von HJT u.a. - Hallo, ich hatte neulich W32/Nsag.B und andere Viren auf meinem PC, die AntiVir nicht löschen konnte. Daher habe ich dann versucht, mit Smitrem (Antivir meldet übrigens, dass der Smitrem.exe-File mit - Frage zur Auswertung von HJT u.a....
Archiv
Du betrachtest: Frage zur Auswertung von HJT u.a. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.