Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijachthis.log auswerten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Thema geschlossen
Alt 23.01.2007, 09:47   #1
molosser
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



So eine juten morgen, mein computer läuft sehr schneckenmäßig und pestpatrol bleibt hängen.
Wäre sehr dankbar wenn jemand mal meine .log file inzpizieren könnte und mir einen kundigen rat gibt.
Logfile of HijackThis v1.99.1
Scan saved at 10:41:16, on 23.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\ATKKBService.exe
H:\Programme\FRITZ!DSL\IGDCTRL.EXE
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Programme\Java\jre1.5.0_09\bin\jusched.exe
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
H:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\FRITZ!DSL\FwebProt.exe
H:\Programme\FRITZ!DSL\StCenter.EXE
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\WinRAR\WinRAR.exe
H:\DOKUME~1\Horst\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Windows Live
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.samsungodd.com/liveupdate.asp?type=en
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] "H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [CaISSDT] "H:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "H:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: FRITZ!DSL Protect.lnk = H:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - H:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - H:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{684D6A5B-CC8F-4261-989E-4CFB9733379A}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - H:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - H:\WINDOWS\ATKKBService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - H:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - H:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - H:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

Vielen dank so weit ...

Geändert von molosser (23.01.2007 um 10:46 Uhr)

Alt 23.01.2007, 10:42   #2
Cleriker
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



Hi,

am besten erst mal folgendes fixen:
Zitat:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Windows Live
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
hier wirst du in die USA geleitet:
Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{684D6A5B-CC8F-4261-989E-4CFB9733379A}: NameServer = 192.168.122.252,192.168.122.253
also am besten auch fixen.

Mit dem Eintrag kann ich gar nichts anfangen:
Zitat:
O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - (no file)
Wenn niemand eine Erklärung oder Einspruch hat, würde ich die
auch fixen.

Aber irgendeine Infizierung kann ich nicht finden.

mfg Cleriker
__________________


Alt 23.01.2007, 10:54   #3
KarlKarl
/// Helfer-Team
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



O17 Einträge, in denen die IP(s) mit 192.168 anfangen, sind ok. Ein Nummernbereich reserviert für lokale Netzwerke, der wird überhaupt nicht im Internet geroutet, deshalb kann es einen auch nicht in die USA leiten.

Wenn im Whois eine Organisation in den USA steht, dann ist das die IANA (= Internet Assigned Numbers Authority), die verwalten die Nummern und deshalb stehen die bei diesen Bereichen eingetragen. Nur weil Du was persönlich nicht kennst muß es noch lange nicht gefixt werden.

Ich würde zwar keine Microsoftseiten in meinen R*-Einträgen haben wollen, aber ein Grund sie zu fixen sind sie nicht. Anscheinend kennst Du nur ICQ, denn den R1-Eintrag hast Du seltsamerweise ausgelassen.

Der O21 kann wirklich weg, Überrest einer nicht komplett auskurierten Smitfraud-Infektion.
__________________

Alt 23.01.2007, 11:35   #4
Yopie
Moderator, a.D.
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



@Cleriker,

meinst du nicht auch, du solltest lieber noch etwas lesen und dabei lernen und sicherer werden, bevor du Tips gibst, die das System eines Hilfesuchenden verschlimmbessern? Meinjanur...

Gruß
Yopie

Alt 23.01.2007, 11:38   #5
Yopie
Moderator, a.D.
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



Leicht Off-topic:
Zitat:
Zitat von KarlKarl Beitrag anzeigen
O17 Einträge, in denen die IP(s) mit 192.168 anfangen, sind ok. Ein Nummernbereich reserviert für lokale Netzwerke, der wird überhaupt nicht im Internet geroutet,
Ja, so sollte es eigentlich sein. Aber:
D-Link-Suche mit nmap [Fabians Blog-Surrogat]
(via http://www.trojaner-board.de/35582-w...meinem-nw.html )

Ich kann mir da nicht so recht einen Reim drauf machen.

Gruß
Yopie


Alt 23.01.2007, 15:13   #6
Cleriker
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



zum 2. ihr beiden *g*,

Zitat:
meinst du nicht auch, du solltest lieber noch etwas lesen und dabei lernen und sicherer werden, bevor du Tips gibst, die das System eines Hilfesuchenden verschlimmbessern? Meinjanur...
Habe ich mir auch bei den Posts so gedacht. Aber allein durch äure
Richtigstellungen lerne ich viel schneller (zuzüglich dem Lesen)

mfg Cleriker

Alt 23.01.2007, 16:21   #7
Sunny
Administrator
> Competence Manager
 

hijachthis.log auswerten - Standard

hijachthis.log auswerten



Zitat:
Zitat von Cleriker Beitrag anzeigen
Habe ich mir auch bei den Posts so gedacht. Aber allein durch äure
Richtigstellungen lerne ich viel schneller (zuzüglich dem Lesen)
Das mag wohl so sein das du es so schneller lernst, aber es sind nicht ständig Moderatoren oder Regulars anwesend, die dein Beiträge kontrollieren.

Demnach hättest du seit gestern (bei dem was auch ich schon von dir gelesen habe!) mindestens 2.Systeme "zerschossen", die danach mit großer Wahrscheinlichkeit keinen Weg mehr ins Internet gefunden hätten, wenn sie deinen Anweisungen gefolgt wären..

Und wir wollen doch helfen, und nicht verschlimmern, oder?!

Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 23.01.2007, 16:53   #8
Cleriker
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



ja ...

ich halte meine Finger ab jetzt still ...

Alt 23.01.2007, 20:29   #9
molosser
 
hijachthis.log auswerten - Standard

hijachthis.log auswerten



Na der dialog verunsichert schon leicht...
Und lieben gruss an die heilige inquisition...

Geändert von molosser (23.01.2007 um 20:35 Uhr)

Alt 26.02.2007, 11:59   #10
Schneipi
 

hijachthis.log auswerten - Standard

hijachthis.log auswerten



Thema geschlossen, siehe:
http://www.trojaner-board.de/255860-post3.html

Thema geschlossen

Themen zu hijachthis.log auswerten
adobe, antivirus, antivirus scan, auswerten, bho, computer, dsl, explorer, firefox, helper, hijack, hijackthis, internet, internet explorer, internet security, kaspersky, mozilla, mozilla firefox, nvidia, object, rundll, security, security suite, shockwave, software, symantec, system, temp, tuneup utilities, unknown file in winsock lsp, windows, windows xp



Ähnliche Themen: hijachthis.log auswerten


  1. Verdacht auf Trojaner-Befall! Bitte um HijachThis LogFile Analyse
    Log-Analyse und Auswertung - 30.03.2013 (16)
  2. OTL Log auswerten
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (0)
  3. Hilfe, habe Virus!! habe HiJachThis Log
    Mülltonne - 03.02.2009 (0)
  4. HiJachThis Log-File bitte prüfen
    Mülltonne - 03.08.2008 (0)
  5. HiJachThis und Combofix LOG-File Auswertung
    Log-Analyse und Auswertung - 08.06.2008 (2)
  6. Log zum Auswerten
    Log-Analyse und Auswertung - 14.05.2008 (1)
  7. pls auswerten
    Mülltonne - 04.02.2008 (0)
  8. Log Auswerten
    Log-Analyse und Auswertung - 13.09.2007 (9)
  9. HJT Log auswerten!
    Log-Analyse und Auswertung - 10.07.2007 (19)
  10. HiJachThis - Log-File
    Mülltonne - 22.11.2005 (1)
  11. Log auswerten
    Log-Analyse und Auswertung - 07.08.2005 (1)
  12. Eintrag mit HijachThis fixen ? Bitte Hilfe .
    Log-Analyse und Auswertung - 16.02.2005 (0)
  13. hijachthis-log bitte anschauen.
    Log-Analyse und Auswertung - 16.02.2005 (0)
  14. Auswerten der Log
    Log-Analyse und Auswertung - 17.01.2005 (3)
  15. log plz auswerten
    Log-Analyse und Auswertung - 15.12.2004 (3)
  16. Log auswerten
    Log-Analyse und Auswertung - 06.11.2004 (20)
  17. HJT-Log auswerten
    Log-Analyse und Auswertung - 26.08.2004 (3)

Zum Thema hijachthis.log auswerten - So eine juten morgen, mein computer läuft sehr schneckenmäßig und pestpatrol bleibt hängen. Wäre sehr dankbar wenn jemand mal meine .log file inzpizieren könnte und mir einen kundigen rat gibt. - hijachthis.log auswerten...
Archiv
Du betrachtest: hijachthis.log auswerten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.