Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte um auswertung de HIJackThis log-File!! Danke

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 27.09.2006, 10:46   #1
maths04
 
Bitte um auswertung de HIJackThis log-File!! Danke - Standard

Bitte um auswertung de HIJackThis log-File!! Danke



Hallo zusammen.

ich bin neu hier und durch zufall im internet über euch gestolpert.

ich habe mich schon ein wenig eingelesen und den HijackThis Log-File gemacht!
das problem besteht darin das ich manchmal 2 bis 8 mal das Trojanische pferd "TR/Dldr.Agent.UJ171" auf meinem rechner habe.wen ich mein antiVir programm in der aktellen version laufen lasse findet er die TR und ich lösche sie.aber aus irgend welchen gründen kommen sie immer wieder.
währe echt nett von euch wen mir jemand sagen kann was ich nun tun soll.
so nun die Log-File von dem HijackThis und von dem Antivir:


Logfile of HijackThis v1.99.1
Scan saved at 11:41:44, on 27.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\*****\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.*******.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Startup: Verknüpfung mit iTouch.lnk = C:\Programme\Logitech\iTouch\iTouch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154349043406
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158502556281
O17 - HKLM\System\CCS\Services\Tcpip\..\{384421F9-00CC-4F26-B482-5FB89AD454DC}: NameServer = 85.255.116.173,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFDC2499-DC87-43A5-ABAF-3431336F7BA9}: NameServer = 85.255.116.173,85.255.112.72
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe


AntiVir:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Mittwoch, 27. September 2006 10:47

Es wird nach 513368 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 00001******-****-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ****************
Computername: *********

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 14.09.2006 05:38:22
AVSCAN.DLL : 7.0.0.45 41000 14.09.2006 05:38:22
LUKE.DLL : 7.0.0.47 118824 14.09.2006 05:38:23
LUKERES.DLL : 7.0.0.47 9256 14.09.2006 05:38:23
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 05:54:58
ANTIVIR1.VDF : 6.36.0.9 1424384 06.09.2006 05:38:24
ANTIVIR2.VDF : 6.36.0.71 284160 25.09.2006 11:48:15
ANTIVIR3.VDF : 6.36.0.73 7168 26.09.2006 11:48:15
AVEWIN32.DLL : 7.2.0.18 1839616 24.09.2006 10:29:43
AVPREF.DLL : 7.0.0.2 23080 14.09.2006 05:38:22
AVREP.DLL : 6.36.0.5 806952 14.09.2006 05:38:24
AVRPBASE.DLL : 7.0.0.0 2162728 06.05.2006 06:16:56
AVPACK32.DLL : 7.2.0.0 368680 14.09.2006 05:38:26
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 7.0.0.0 9768 14.09.2006 05:38:23
RCIMAGE.DLL : 7.0.0.74 1642536 14.09.2006 05:38:17
RCTEXT.DLL : 7.0.0.107 77864 14.09.2006 05:38:17

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,E,I,J,K,A,G,H
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 2
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: 0
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Mittwoch, 27. September 2006 10:47


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 27 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'K:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 14 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{9B640D9F-C0EA-4FB9-B0A1-30488D9FF754}\RP108\A0074167.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.UJ.171
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{9B640D9F-C0EA-4FB9-B0A1-30488D9FF754}\RP108\A0074196.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.UJ.171
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\system32\CatRoot2\edb.log
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\CatRoot2\tmp.edb
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
I:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
K:\System Volume Information\MountPointManagerRemoteDatabase
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad G:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad H:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Mittwoch, 27. September 2006 11:43
Benötigte Zeit: 56:02 min

Der Suchlauf wurde vollständig durchgeführt.

3666 Verzeichnisse wurden überprüft
175949 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1023 Archive wurden durchsucht
29 Warnungen
1 Hinweise

Vielen Dank im voraus !!!

Maths04

Alt 27.09.2006, 11:17   #2
Cleriker
 
Bitte um auswertung de HIJackThis log-File!! Danke - Standard

Bitte um auswertung de HIJackThis log-File!! Danke



Hi,

Dein Trojaner ist ein s.g Downloader, d.h. er
ist dazu da Trojaner auf dein System zu laden.

Die Anzeichen kann man auch aus deinem Log-File
herauslesen, falls du diese Einträge nicht selber
angelegt hast:
Zitat:
O1 - Hosts: localhost 127.0.0.1
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O17 - HKLM\System\CCS\Services\Tcpip\..\{384421F9-00CC-4F26-B482-5FB89AD454DC}: NameServer = 85.255.116.173,85.255.112.72
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFDC2499-DC87-43A5-ABAF-3431336F7BA9}: NameServer = 85.255.116.173,85.255.112.72
Bin manchen Einträgen bin ich nicht sicher, aber
belese dich mal hier.
Demzufolge wäre es am günstigsten, gleich Neu Aufzusetzen und
die Passwörter eventuell (online-Banking, Ebay, E-Mail) zu ändern.
mfg Cleriker
__________________


Alt 27.09.2006, 12:21   #3
maths04
 
Bitte um auswertung de HIJackThis log-File!! Danke - Standard

Bitte um auswertung de HIJackThis log-File!! Danke



hallo Cleriker,

ich habe keine diese Einträge selber
angelegt.
also was ich dazu sagen kann ist das ich bei versatel bin,aber ob der eintrag dazu gehört weiß ich nicht.
was muss ich den mit den einträgen die du gefunden hast machen??
kann mann sie einfach löschen und dann ist wieder alles gut??

schon mal danke für deine hilfe.

glück auf
maths04
__________________

Alt 27.09.2006, 13:19   #4
Cleriker
 
Bitte um auswertung de HIJackThis log-File!! Danke - Standard

Bitte um auswertung de HIJackThis log-File!! Danke



Äähm...,

ich kann dir dazu keine Aussage mehr geben.
Wenn du dir meinen Link durchgelesen hast,
kannst du dir zusammen reimen, welche Risiken
nun bestehen. Dein (vielleicht) gelöschter Trojaner
kann selbst eine Bagdoorfunktion besitzen oder
durch seine Dowloadfähigkeit andere Bagdoortrojaner
runter geladen haben.
Deine von Antivirus nicht gefundenen Dateien deuten
ja ebenfalls auf nichts Gutes hin. Deine Warnungen
bezüglich "NTUSER" können auf externe Zugriffe
zurückgeführt werden.
Es ist echt am Besten du setzt dein System neu auf.
Anleitung gibt's in der Sig. Wenn du eine Datensicherung
machst, bitte vorher vom Netz gehen. Und folgend erst wieder
online fungieren, wenn du die nötigen Sicherheitseinstellungen
und Passwörter konfiguriert hast.

Edit: versatel währe dann wohl ok

mfg Cleriker

Alt 03.10.2006, 13:57   #5
maths04
 
Bitte um auswertung de HIJackThis log-File!! Danke - Standard

Bitte um auswertung de HIJackThis log-File!! Danke



hallo nochmal,
ist das wirklich die einzigste lösung,
das ganze system neu aufspielen???
gerade war der trojaner sogar 12 mal auf meinem rechner!!
blödes mist ding kann ich nur sagen.
also wen das die lösung meines problems ist werde ich das wohl machen lassen.kann das leider nicht!
habe angst irgend etwas wichtiges zu vergessen zu speichern.

nun gut danke für deine hilfe und bis zum nächsten mal.
oder lieber doch nicht.
weil dann habe ich ja wieder irgend welche vieren!!!

mfg
maths04


Antwort

Themen zu Bitte um auswertung de HIJackThis log-File!! Danke
adobe, antivir, avg, avira, bho, desktop, einstellungen, excel, firefox, hijack, hijackthis, internet, internet explorer, mozilla, mozilla firefox, nicht gefunden, nt.dll, problem, programm, prozesse, quara, registry, rundll, software, suchlauf, system, verweise, virus, virus gefunden, warnung, windows, windows xp



Ähnliche Themen: Bitte um auswertung de HIJackThis log-File!! Danke


  1. Bitte, um Auswertung von HiJackThis Log-File
    Mülltonne - 03.02.2009 (0)
  2. Bitte um Auswertung von HiJackThis Log-File
    Log-Analyse und Auswertung - 01.09.2008 (12)
  3. Bitte um Auswertung von HiJackThis Log-File
    Log-Analyse und Auswertung - 01.09.2008 (4)
  4. Bitte um hijackthis log file auswertung
    Mülltonne - 26.07.2008 (0)
  5. HiJackThis Log-File - bitte um Auswertung!
    Log-Analyse und Auswertung - 07.06.2008 (1)
  6. Bitte um Hijackthis Log File auswertung!
    Log-Analyse und Auswertung - 29.01.2008 (13)
  7. meine HiJackThis Log-File mit der Bitte um Auswertung
    Mülltonne - 26.11.2007 (0)
  8. HiJackThis Log-File. Bitte um Auswertung..
    Mülltonne - 06.11.2007 (1)
  9. Bitte um auswertung, HiJackThis Log-File :)
    Log-Analyse und Auswertung - 28.10.2007 (0)
  10. Log-File bitte Hilfe bei der Auswertung, danke
    Log-Analyse und Auswertung - 13.03.2007 (6)
  11. Bitte, Danke,HiJackTHis Log-File auswerten.
    Log-Analyse und Auswertung - 08.11.2006 (7)
  12. HiJackThis Log-File - ich bitte um Auswertung
    Log-Analyse und Auswertung - 05.10.2006 (2)
  13. hallo bitte um auswertung meines loge-file (DANKE) !!!
    Mülltonne - 25.07.2006 (2)
  14. Bitte um AUSWERTUNG meiner HiJackThis Log-File!
    Log-Analyse und Auswertung - 01.04.2006 (1)
  15. Bitte um Kontrolle meiner HiJackThis Log-File, Danke
    Log-Analyse und Auswertung - 12.12.2005 (2)
  16. Bitte HijackThis Log-File checken, danke!
    Mülltonne - 24.10.2005 (1)
  17. HijackThis Log File auswertung bitte um Hilfe
    Log-Analyse und Auswertung - 13.12.2004 (1)

Zum Thema Bitte um auswertung de HIJackThis log-File!! Danke - Hallo zusammen. ich bin neu hier und durch zufall im internet über euch gestolpert. ich habe mich schon ein wenig eingelesen und den HijackThis Log-File gemacht! das problem besteht darin - Bitte um auswertung de HIJackThis log-File!! Danke...
Archiv
Du betrachtest: Bitte um auswertung de HIJackThis log-File!! Danke auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.