Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT Log

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 12.04.2007, 10:07   #1
wodKa
 
HJT Log - Standard

HJT Log



Hi,

cih werd mal einfach meinen HJT log posten in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?




Logfile of HijackThis v1.99.1
Scan saved at 10:01:17, on 12.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Steam\Steam.exe
C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe
C:\WINDOWS\system32\??sks\r?gsvr32.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\wodKa\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4396A234-10F4-1977-F640-6CE33998A9CF} - C:\WINDOWS\system32\hbn.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [SRFirstRun] rundll32 srclient.dll,CreateFirstRunRp
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Stru] "C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Nssb] C:\WINDOWS\system32\??sks\r?gsvr32.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Alt 12.04.2007, 10:19   #2
Franz1968
/// Helfer-Team
 
HJT Log - Standard

HJT Log



Hallo.
Ich schieße mal aus der Hüfte und tippe hier
Zitat:
Zitat von wodKa Beitrag anzeigen
O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
auf Backdoor-Befall.

Aber erzähl du doch erst mal, was du damit
Zitat:
cih werd mal einfach meinen HJT log posten in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?
meinst, was du loswerden möchtest, wieso du auf Schädlings-Befall kommst, was nicht in Ordnung ist, was möglicherweise schon durch welche AV-Programme gefunden wurde - kurz: halte dich bitte an die NUB.
Zitat:
5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.
__________________

__________________

Alt 12.04.2007, 12:03   #3
wodKa
 
HJT Log - Standard

HJT Log



oja sry war ein bisschen voreilig

also betribssystem is windows xp pro
version 2002 sp2

antivir:

...\eigene dateien\oracle\userinit.exe
ist das trojanische pferd TR/Dldr.PurityScan.EE

c:\programme\gemeinsame dateien\{68F3FCD5-07D2-1031-0803-040411050031}\update.exe
ist das trojanische pferd TR/Dldr.Agent.14336.1

c:\dokumente und einstellungen\wodka\lokale einstellungen\temp\!update.exe
ist das trojanische pferd TR/Dldr.PurityScan.EE

c:\dokumente und einstellungen\wodka\lokale einstellungen\temporary internet files\content.ie5\Q01B3V5O\122[1].net
enthält signatur des droppers DR/Softomate.U.65

c:\dokumente und einstellungen\wodka\lokale einstellungen\temporary internet files\content.ie5\XP80JKC4\131[1].net
enthält die signatur des droppers DR/DollarRevenu.B.2

c:\programme\free ftp manager\mc-110-12-0002397.exe
ist das trojanische pferd TR/Dldr.Agent.bdr.141

c:\programme\free ftp manager\ysbinstall_1002748.exe
ist das trojanische pferd TR/Dldr.IstBar.4096.8

(haha der hat sowieso nich funktioniert :> )

c:\programme\gemeinsame dateien\yazzle1739OinAdmin.exe
enthält verdächtigen code: HEUR/Malware

c:\programme\gemeinsame dateien\{68F3FCD5-07D2-1031-0803-040411050031}\system.dll
ist das trojanische pferd TR/Dldr.Agent.6656.2


oder direkt zum sperrmüll gehen? :x
__________________

Alt 12.04.2007, 12:36   #4
Franz1968
/// Helfer-Team
 
HJT Log - Standard

HJT Log



Zitat:
Zitat von wodKa Beitrag anzeigen
(haha der hat sowieso nich funktioniert :> )
Nein? Deine versammelten Downloader und Dropper haben aber offenbar ganze Arbeit geleistet, wie man hier sieht (ohne Anspruch auf Vollständigkeit):
Zitat:
C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.exe
C:\WINDOWS\system32\??sks\r?gsvr32.exe
O2 - BHO: (no name) - {4396A234-10F4-1977-F640-6CE33998A9CF} - C:\WINDOWS\system32\hbn.dll
O4 - HKCU\..\Run: [Stru] "C:\DOKUME~1\wodKa\EIGENE~1\RACLE~1\userinit.e xe" -vt yazb
O4 - HKCU\..\Run: [Nssb] C:\WINDOWS\system32\??sks\r?gsvr32.exe
O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
Zitat:
oder direkt zum sperrmüll gehen? :x
Wäre meines Erachtens eine Überlegung wert. Aber dann mach es bitte richtig.

Ich würde allerdings zunächst eine Überprüfung mit eScan durchführen, einfach um zu wissen, was genau auf deinem Rechner los ist. Eine Anleitung dazu (die du bitte genau beachtest) gibt es hier in den FAQ.
__________________
Alle Tipps und Anleitungen ohne Gewähr

Alt 12.04.2007, 14:19   #5
wodKa
 
HJT Log - Standard

HJT Log



hm danke,

dann werd ich das demnächst mal machen


Alt 12.04.2007, 15:05   #6
Franz1968
/// Helfer-Team
 
HJT Log - Standard

HJT Log



Zitat:
Zitat von wodKa Beitrag anzeigen
dann werd ich das demnächst mal machen
Demnächst?

Du hast gefragt,
Zitat:
in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd?
und dachtest wohl, man sagt dir "Lösche hier, fixe da" und - hokuspokus - ist dein "Virus" weg. So einfach geht es meistens aber nicht.

Also meine Bitte: Schieb das nicht auf die lange Bank, surfe nicht mit einem evtl. kompromittierten Rechner in der Gegend herum. Denn damit bist du eine Gefahr nicht nur für dich selbst (Passwörter z. B.), sondern auch für andere.
__________________
--> HJT Log

Alt 12.04.2007, 22:57   #7
wodKa
 
HJT Log - Standard

HJT Log



es hätte ja sein können ich wusste ja nich dass du mir gleich an die gurgel willst? :>


als ich das letze mal nen trojaner drauf hatte gabs daztu ein einfaches tutorial mit 2lösche dies, fixe das" um den wieder loszuwerden.. von daher.. ja... hab ich gehofft :P

Antwort

Themen zu HJT Log
adobe, antivir, avg, avira, bho, dateien, desktop, downloader, einstellungen, explorer, hijack, hijackthis, hotkey, internet, internet explorer, log, pdf, photoshop, programme, rundll, rundll32, spyware, system, windows, windows xp



Zum Thema HJT Log - Hi, cih werd mal einfach meinen HJT log posten in der hoffnung dass hier jmd ganz genau weiss wie ich die wieder los werd? Logfile of HijackThis v1.99.1 Scan saved - HJT Log...
Archiv
Du betrachtest: HJT Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.