Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT-File alles OK?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.02.2007, 00:37   #1
smojo
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Hallo miteinander!

Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8

Ich habe sie bei der Erkennung durch Antivir gleich gelöscht.

Meine Fragen:

1. Kann man aufgrund eines HJT-Files beurteilen, ob ein System frei von Trojanern ist?
2. Wie sieht es bei meinem HJT-File aus?
3. Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
4. Und noch eine Frage, die evtl. nicht hierher gehört: Ich habe inzwischen parallel zu XP Ubuntu installiert und bin damit im Netz unterwegs, und hoffe, dadurch besser geschützt zu sein. Trügt diese Hoffnung, da ich ja noch möglicherweise Trojaner auf der Festplatte habe, wenn auch auf einer anderen Partition?

Jetzt ist es doch mehr geworden als ich am Anfang schreiben wollte.
Falls sich jemand die Mühe macht, mir zu antworten: Vielen Dank schon mal im Vorraus!

Grüße!

smojo

Hier mein HJT-File:

Logfile of HijackThis v1.99.1

Scan saved at 23:06:17, on 17.02.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\FRITZ!DSL\IGDCTRL.EXE

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\CloneCD\CloneCDTray.exe

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\DAEMON Tools\daemon.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Programme\WinTV\Ir.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programme\FRITZ!DSL\FwebProt.exe

C:\Programme\FRITZ!DSL\StCenter.exe

C:\Programme\WISO\Sparbuch 2007\rswisoservice.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\msiexec.exe

J:\Hijackthis\HijackThis.exe



O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe

O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe

O4 - Startup: WISO Urteilsmonitor.lnk = ?

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)

O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)

O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

Alt 18.02.2007, 10:10   #2
Sunny
Administrator
> Competence Manager
 

HJT-File alles OK? - Standard

HJT-File alles OK?



Zitat:
Zitat von smojo Beitrag anzeigen
Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8
Ich habe sie bei der Erkennung durch Antivir gleich gelöscht.
Hallo.

Wo wurden die Schädlinge gefunden? Bitte genaue Pfadangabe posten.
(im letzten Report von Antivir sollte das noch vermerkt sein!)

Zitat:
1. Kann man aufgrund eines HJT-Files beurteilen, ob ein System frei von Trojanern ist?
Nein, kann man nicht!
Das Hijacklog gibt nur einen groben Überblick des Systems bzw der laufenden Programme.

Zitat:
2. Wie sieht es bei meinem HJT-File aus?
Ich frage mich bei deinem Log, warum der Antivir-Guard deaktiviert bzw. Antivir nicht vollständig geladen ist?

Zitat:
O23 - Service: AntiVir Service (AntiVirService) - Unknown owner - C:\Programme\AVPersonal\AVGUARD.EXE (file missing)
O23 - Service: AntiVir Update (AVWUpSrv) - Unknown owner - C:\Programme\AVPersonal\AVWUPSRV.EXE (file missing)
Zitat:
3. Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
Eigentlich nicht, denn wenn keine I-Net Verbindung mehr besteht, wie soll dann von außen noch auf dein System zugegriffen werden?

Zitat:
4. Und noch eine Frage, die evtl. nicht hierher gehört: Ich habe inzwischen parallel zu XP Ubuntu installiert und bin damit im Netz unterwegs, und hoffe, dadurch besser geschützt zu sein. Trügt diese Hoffnung, da ich ja noch möglicherweise Trojaner auf der Festplatte habe, wenn auch auf einer anderen Partition?
Du bist nur so sicher wie du dich selbst mit der gesamten Materie auskennst! Abgesehen davon bist du mit keinem Betriebssystem sicher wenn du selbst Crackseiten besuchst, Software installierst welche aus unseriösen Quellen stammt, oder aber auf alles klickst was nicht bei 3 auf dem Baum ist.

Abgesehen davon:
Viren/Trojaner/Malware welche für Windows-System programmiert wurden,
sind auch ausschließlich nur für diese.
D.h. Ubuntu wäre davon nicht betroffen!
(genauso ist es dann natürlich umgekehrt.

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)


Gruß
Sunny
__________________

__________________

Alt 18.02.2007, 22:25   #3
smojo
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Hallo Sunny!

Vielen Dank erst Mal für Deine Antworten!

Ich hab ja jetzt ein paar Dinge zu tun... Ich melde mich dann wieder!

Danke,

smojo
__________________

Alt 19.02.2007, 11:20   #4
smojo
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Hallo Sunny!

Zum Scannen mit Blacklight bin ich noch nicht gekommen. Die übrigen Ergebnisse sind wie folgt:

Zitat:
Zitat:
Ich hatte vor kurzem 3 Trojaner an Bord:
Crypt.FKM.Gen
Crypt.F.Gen
Click.Small.JS.8
Wo wurden die Schädlinge gefunden? Bitte genaue Pfadangabe posten.
(im letzten Report von Antivir sollte das noch vermerkt sein!)
TR/Crypt.FKM.Gen wurde gefunden in C:\WINDOWS\system32\dqetiydv.exe.
Datei wurde gelöscht.

TR/Crypt.F.Gen wurde gefunden in C:\WINDOWS\system32\keoodwks.exe.
Datei wurde gelöscht.

TR/Click.Small.JS.8 wurde gefunden in C:\ukwxbvix.pop.
Datei wurde gelöscht.

Zitat:
Ich frage mich bei deinem Log, warum der Antivir-Guard deaktiviert bzw. Antivir nicht vollständig geladen ist?
Der Antivir-Guard lässt sich nicht starten. Ich bin dem Problem noch nicht weiter auf den Grund gegangen. *schäm!

Zitat:
Zitat:
Ich habe nachdem Erkennen der Trojaner die LAN-Verbindung unter XP deaktiviert, ist mein PC jetzt noch zugänglichvon außen?
Eigentlich nicht, denn wenn keine I-Net Verbindung mehr besteht, wie soll dann von außen noch auf dein System zugegriffen werden?
Stimmt! Aber wie ist es mit Verbindungen nach außen? Kommt es vor, dass eine unerwünschte Software die LAN-Verbindung aktiviert?

Zitat:
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Feb 18 22:53:52 2007 => Version 9.1.4
Sun Feb 18 22:51:04 2007 => Virus-Datenbank Datum: 2/16/2007
Sun Feb 18 22:53:28 2007 => Virus-Datenbank Datum: 2/17/2007
Mon Feb 19 00:40:06 2007 => Virus-Datenbank Datum: 2/17/2007
Mon Feb 19 01:35:45 2007 => Virus-Datenbank Datum: 2/17/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Feb 18 22:54:30 2007 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Feb 19 00:30:56 2007 => Datei D:\Dokumentenmappe\noch aufräumen oder installieren\Quatsch\BEBEN.EXE markiert als not-virus:BadJoke.Win16.Aloap. Keine Aktion vorgenommen.
Mon Feb 19 00:37:02 2007 => Datei F:\Nicht installierte Software\DAEMON Tools\SetupDTSB.exe markiert als not-a-virus:AdTool.Win32.WhenU.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Feb 18 22:54:30 2007 => Offending file found: C:\Dokumente und Einstellungen\Admin\Favoriten\lesezeichen-symbolleiste\ebay.url
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Feb 19 00:40:06 2007 => Gefundene Viren: 3
Mon Feb 19 00:40:06 2007 => Anzahl Fehler: 61
Mon Feb 19 00:40:06 2007 => Dauer des Scans bisher: 01:46:04
Mon Feb 19 00:40:06 2007 => Gescannte Dateien: 146475
Sun Feb 18 22:53:52 2007 => Specherüberprüfung: Aktiviert
Sun Feb 18 22:53:52 2007 => Registry Überprüfung: Aktiviert
Sun Feb 18 22:53:52 2007 => System-Ordner Überprüfung: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Dienste: Aktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Feb 18 22:53:52 2007 => Überprüfung aller Festplatten :Aktiviert

Vielen Dank für Deine und Eure Hilfe!

Gruß

smojo

Alt 19.02.2007, 20:21   #5
smojo
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Hallo!

Hier ist noch das Ergebnis vom Blacklight-Scan:

02/19/07 19:58:28 [Info]: BlackLight Engine 1.0.55 initialized

02/19/07 19:58:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)

02/19/07 19:58:30 [Note]: 7019 4

02/19/07 19:58:30 [Note]: 7005 0

02/19/07 19:58:35 [Note]: 7006 0

02/19/07 19:58:35 [Note]: 7011 2620

02/19/07 19:58:35 [Note]: 7026 0

02/19/07 19:58:35 [Note]: 7026 0

02/19/07 19:58:42 [Note]: FSRAW library version 1.7.1021

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:01:53 [Note]: 2000 1012

02/19/07 20:02:56 [Note]: 7007 0


Danke und Gruß

smojo


Alt 19.02.2007, 21:15   #6
irrlicht
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Hallo,
du siehst die beiden "tagged files" ?
Folge dem angegebenen Pfad zur angemeckerten Datei und lösche sie.
Soweit ist dann alles in Ordnung
Irrlicht

Alt 20.02.2007, 11:46   #7
smojo
 
HJT-File alles OK? - Standard

HJT-File alles OK?



Das hört sich ja prima an! Danke!

Eine Frage noch:
Wie bekomme ich meinen AntivirGuard wieder aktiviert. Das Programm selbst gibt keinen Tipp dazu. De- und wieder installieren?

Gruß smojo

Antwort

Themen zu HJT-File alles OK?
adobe, anfang, antivir, avg, avira, bho, computer, dll, dsl, excel, explorer, festplatte, frage, hijack, hijackthis, internet, internet explorer, lan-verbindung, microsoft, programme, rundll, sparbuch, system, trojaner, trojaner auf der festplatte, unknown file in winsock lsp, vielen dank, windows, windows xp, wiso



Ähnliche Themen: HJT-File alles OK?


  1. 5. win 10 clean install, anfangs alles ok, nach einiger zeit ruckelt alles bei zirka 50 % aller startups
    Log-Analyse und Auswertung - 17.09.2015 (3)
  2. Virus löscht alles nach neustart alles normal?
    Log-Analyse und Auswertung - 25.03.2013 (1)
  3. PWS:Win32/Zbot malware : Trojan.Phex.TGen (File) und Trojan.Agent.IET (Registry Value und File)
    Log-Analyse und Auswertung - 16.01.2013 (15)
  4. File Restore / File Recovery - bin ich wieder clean?
    Plagegeister aller Art und deren Bekämpfung - 03.11.2012 (1)
  5. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 30.03.2012 (13)
  6. "Failed to save all components from the file System32\00001590. The file is corrupted unreadable.."
    Log-Analyse und Auswertung - 29.12.2011 (14)
  7. failed to save all components to file system 32 0000198f this file is corrupted unreadable
    Log-Analyse und Auswertung - 11.11.2011 (24)
  8. HiJackThis Log File und Gmer file Für Rootkit Problem
    Log-Analyse und Auswertung - 28.02.2009 (12)
  9. HiJack Log-File, Malwarebytes Log File und DSS, bitte um Rat!:-(
    Log-Analyse und Auswertung - 18.06.2008 (2)
  10. Alles in ORdnung? HJT Log file
    Mülltonne - 23.05.2008 (0)
  11. Log fIle von combofix und erneutes HiJack Log-file
    Mülltonne - 03.05.2008 (0)
  12. Log-File, alles in Ordnung?
    Mülltonne - 24.08.2006 (1)
  13. HJT Log-file , ist alles ok?
    Log-Analyse und Auswertung - 10.01.2006 (1)
  14. Log-File ist hier alles in ordnung?
    Log-Analyse und Auswertung - 04.01.2006 (5)
  15. Wie siehts jetzt mit meiner File aus? Bin nicht sicher ob alles bereinigt wurde
    Log-Analyse und Auswertung - 03.12.2005 (2)
  16. Könnt Ihr mal meinen LOG FILE ANSCHAUEN.. alles okay ?
    Log-Analyse und Auswertung - 18.08.2005 (5)
  17. escan File zu "Alles neu und immer noch..."
    Log-Analyse und Auswertung - 25.07.2005 (5)

Zum Thema HJT-File alles OK? - Hallo miteinander! Ich hatte vor kurzem 3 Trojaner an Bord: Crypt.FKM.Gen Crypt.F.Gen Click.Small.JS.8 Ich habe sie bei der Erkennung durch Antivir gleich gelöscht. Meine Fragen: 1. Kann man aufgrund eines - HJT-File alles OK?...
Archiv
Du betrachtest: HJT-File alles OK? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.