Zurьck   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijackthis...vielleicht kann mir jemand weiterhelfen?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder stдndig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu kцnnen, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswьrdig ist und bis zur vollstдndigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.03.2006, 21:57   #1
Gosha
 
Hijackthis...vielleicht kann mir jemand weiterhelfen? - Standard

Hijackthis...vielleicht kann mir jemand weiterhelfen?



hallo,
also, es geht hier um den comp von meiner frau die zur zeit in russland ist..
folgendes problem:
keine browser arbeiten bei ihr, internet scheint aber zu gehen da icq, yahoo etc gut funktionieren..Kaspersky findet keine Viren und Ad Aware brachte auch nix zum vorschein.
da habe ich sie ihren comp mal mit HijackThis scannen lassen und hier ist das ergebniss:

Logfile of HijackThis v1.99.1
Scan saved at 0:22:44, on 07.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VVSN\VVSN.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Yahoo!\Messenger\ypager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\sgchost.exe
F1 - win.ini: run=c:\windows\system32\sgchost.exe
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Program Files\IESearchToolbar\1.0\iesearchtoolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765728274} - (no file)
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Program Files\IESearchToolbar\1.0\iesearchtoolbar.dll
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Program Files\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {5EE171B1-F5CF-4C08-A471-391A8A59F4CA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5EE171B1-F5CF-4C08-A471-391A8A59F4CA} - (no file) (HKCU)
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.vxiframe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.vxiframe.biz (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 66.197.161.149
O15 - Trusted IP range: 66.197.161.149 (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/chm.exe
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://vxiframe.biz/adverts/tool/loader2.ocx
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O19 - User stylesheet: (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Also ich bin sicher das die dateien soundman.exe und wsn.exe dort nix zu suchen haben, jedoch дnderte sich am zustand des comps nix nachdem sie deaktiviert wurden..
weiЯ jemand hier einen rat?

Alt 06.03.2006, 22:25   #2
BataAlexander
> MalwareDB
 
Hijackthis...vielleicht kann mir jemand weiterhelfen? - Standard

Hijackthis...vielleicht kann mir jemand weiterhelfen?



Hallo,

auf dem System ist so einiges unterwegs,

auch dieser hier.
Scanne mal:

C:\WINDOWS\System32\dbgwin11.dll
C:\WINDOWS\System32\catsrvut.dll
C:\WINDOWS\SYSTEM32\reset5.dll

online bei Jotti, aber man sollte Dir zu einem Neuaufsetzen des Systems raten, da auch SP2 fehlt! Beachte dabei dann die Anleitung zum Neuaufsetzen in meiner Signatur.

Andere Ideen?

GruЯ

Schrulli
__________________

__________________

Alt 07.03.2006, 11:46   #3
Sabina
 
Hijackthis...vielleicht kann mir jemand weiterhelfen? - Standard

Hijackthis...vielleicht kann mir jemand weiterhelfen?



Hallo

dieser PC sollte schleunigst formatiert werden und dann nach dem Formatieren sofort SP2 laden.
http://virus-protect.org/nachneuinst.html

Zitat:
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\sgchost.exe
F1 - win.ini: run=c:\windows\system32\sgchost.exe
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Program Files\IESearchToolbar\1.0\iesearchtoolbar.dll
O2 - BHO: (no name) - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765728274} - (no file)
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Program Files\IESearchToolbar\1.0\iesearchtoolbar.dll
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - (no file)
O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {5EE171B1-F5CF-4C08-A471-391A8A59F4CA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5EE171B1-F5CF-4C08-A471-391A8A59F4CA} - (no file) (HKCU)
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.vxiframe.biz
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.vxiframe.biz (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 66.197.161.149
O15 - Trusted IP range: 66.197.161.149 (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=dp::/chm.exe
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://vxiframe.biz/adverts/tool/loader2.ocx
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O19 - User stylesheet: (file missing)
O20 - AppInit_DLLs: C:\WINDOWS\System32\dbgwin11.dll
O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\System32\catsrvut.dll
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe
__________________
__________________

Antwort

Themen zu Hijackthis...vielleicht kann mir jemand weiterhelfen?
ad aware, adobe, antispyware, appinit_dlls, bho, browser, desktop, drivers, explorer, firefox, firewall, helper, hijack, hijackthis, icqtoolbar, internet, internet explorer, keine viren, microsoft, mozilla, mozilla firefox, problem, scan, software, suche, system, urlsearchhook, viren, windows, windows xp, windows\system32\drivers, wmi, yahoo



Дhnliche Themen: Hijackthis...vielleicht kann mir jemand weiterhelfen?


  1. trojaner gefunden und eventuell nicht richtig beseitigt... vielleicht kann jemand es ьberprьfen ?
    Log-Analyse und Auswertung - 10.02.2012 (9)
  2. hijackthis, bitte weiterhelfen
    Log-Analyse und Auswertung - 30.07.2009 (17)
  3. Hijackthis - Kann mir jemand helfen??
    Mьlltonne - 07.01.2009 (0)
  4. Vielleicht kann mir jemand helfen, Es geht um FTP-Server
    Netzwerk und Hardware - 15.10.2008 (1)
  5. Kann mir jemand mit diesem Log weiterhelfen
    Log-Analyse und Auswertung - 17.02.2008 (3)
  6. Help trojan-downloader.bat.ftp. virus!!! Kann mir jemand bitte weiterhelfen??
    Log-Analyse und Auswertung - 28.12.2007 (2)
  7. Kann vielleicht jemand meine Log-File durchschauen?
    Mьlltonne - 07.06.2007 (0)
  8. HiJackThis Log-File; Wer kann mir weiterhelfen ?
    Log-Analyse und Auswertung - 16.02.2006 (12)
  9. Bin am verzweifeln. Vielleicht kann jemand helfen...
    Log-Analyse und Auswertung - 04.01.2006 (8)
  10. hallo leute,vielleicht kann jemand sagen ob es was zu retten gibt....
    Log-Analyse und Auswertung - 03.01.2006 (2)
  11. Kann mir jemand weiterhelfen?
    Log-Analyse und Auswertung - 16.11.2005 (2)
  12. eScan Logfile - Kann mir vielleicht jemand helfen?
    Plagegeister aller Art und deren Bekдmpfung - 11.09.2005 (3)
  13. Vielleicht kann mir jemand helfen
    Log-Analyse und Auswertung - 12.02.2005 (4)
  14. bitte kann mir da jemand weiterhelfen?
    Log-Analyse und Auswertung - 31.12.2004 (1)
  15. Kann mir hier vielleicht jemand helfen?????
    Plagegeister aller Art und deren Bekдmpfung - 15.12.2004 (5)
  16. Kann mir jemand helfen? --> Hijackthis log
    Log-Analyse und Auswertung - 02.07.2004 (2)
  17. hijackthis - kann sich das mal jemand anschaun?
    Plagegeister aller Art und deren Bekдmpfung - 06.06.2004 (3)

Zum Thema Hijackthis...vielleicht kann mir jemand weiterhelfen? - hallo, also, es geht hier um den comp von meiner frau die zur zeit in russland ist.. folgendes problem: keine browser arbeiten bei ihr, internet scheint aber zu gehen da - Hijackthis...vielleicht kann mir jemand weiterhelfen?...
Archiv
Du betrachtest: Hijackthis...vielleicht kann mir jemand weiterhelfen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.