Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich weiß nicht...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.05.2007, 23:05   #1
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Meine FireWall meldet127.0.0.0 Mehrfach- Verbindungen, ich habe grau unterlegte Schemata, komme ich nach Tagen in bekannte Foren, finde ich keine neuen Beiträge...als ob ich gerade dort gewesen wäre, den Browser muss ich oft 2x beenden....... und S&D und AdAware finden dauernd was....
Ich tippe einfach subjektiv auf einen Highjacker - hm?
Den IE nutze ich nur zum Updaten, ansonsten Mozilla.

Könnt Ihr hiermit was anfangen?

Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Geändert von Mont (05.05.2007 um 23:28 Uhr)

Alt 05.05.2007, 23:33   #2
myrtille
/// TB-Ausbilder
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Hi,
dein Log scheint unauffällig bis auf die Tatsache, dass du eine Umleitung über die Ukraine hast. Was allerdings meist nen ziemlich bösen Rattenschwanz hinter sich herzieht.

Daher würde ich dich bitten mal einen Scan mit escan zu machen und das Ergebnis der find.bat hier im Forum zu posten.

lg myrtille
__________________


Alt 06.05.2007, 16:02   #3
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Ersteinmal vielen Dank für die schnelle Anteilnahme!
-
Wenn ich eScan installiert habe, so bringt mich kein Browser(IE, Mozilla) auf irgendeine Seite(z.B. zum Update).
Es wird ein Seiten- Ladefehler angezeigt, aber keine richtige Seite.
Leider ist eScan auf dem Stand von 6/2006....
Deinstalliere ich eScan, komme ich(und mein Browser-Highjacker ) überall hin.
Eine Datei namens find.bat habe ich gar nicht(mehrmals mit "Suchen" gesucht und auch per Auge gesucht).
eScan hat beim Installieren einiges umgestellt bei Logon oder sowas.
Weitere Scans mit dieser alten Version brachten aber 0 Auffälligkeiten.
Ukraine...scheint mir logisch, da ich im "Kreml- Clan" bin und Russen und Ukrainer....nunja.
Woran sieht man, daß ich ne Umleitung nehme?
#
Gibt es irgendwo eine neuere Version des eScans?
__________________

Geändert von Mont (06.05.2007 um 16:23 Uhr)

Alt 06.05.2007, 16:27   #4
nochdigger
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Hallo

arbeite mal dieses hier ab --> http://www.trojaner-board.de/38074-s...tml#post263234
Blacklight findest du hier --> Blacklight
poste anschließend das log von Blacklight und ein neues HijackThis log (editiere aber dieses mal bitte alle aktiven Links).

MFG

Alt 06.05.2007, 16:46   #5
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Jo, das mach ich.
Hier schonmal das log von dem X- Fixwareout:

Fixwareout Last edited 4/5/2007
Post this report in the forums please
...
»»»»»Prerun check

»»»»» System restarted

»»»»» Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
»»»»» Misc files.
....
»»»»» Checking for older varients.
....

Search five digit cs, dm, kd, jb, other, files.
The following files NEED TO BE SUBMITTED to one of the following URL'S for further inspection.



Click browse, find the file then click submit.
http://www.virustotal.com/flash/index_en.html
Or http://virusscan.jotti.org/

»»»»» Other



»»»»» Current runs
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe /logon"
"McAfee Guardian"="\"C:\\Programme\\McAfee\\McAfee Shared Components\\Guardian\\CMGrdian.exe\" /SU"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ICQ Lite"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"NWEReboot"=""
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it
»»»»» End report »»»»»


Alt 06.05.2007, 16:52   #6
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Blacklight- Beta fand nix.

05/06/07 17:49:59 [Info]: BlackLight Engine 1.0.61 initialized
05/06/07 17:49:59 [Info]: OS: 5.0 build 2195 (Service Pack 4)
05/06/07 17:50:00 [Note]: 7019 4
05/06/07 17:50:00 [Note]: 7005 0
05/06/07 17:50:02 [Note]: 7006 0
05/06/07 17:50:02 [Note]: 7011 1004
05/06/07 17:50:02 [Note]: 7026 0
05/06/07 17:50:02 [Note]: 7026 0
05/06/07 17:50:04 [Note]: FSRAW library version 1.7.1021
05/06/07 17:52:55 [Note]: 2000 1012
05/06/07 17:52:55 [Note]: 2000 1012

Alt 06.05.2007, 16:59   #7
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Und hier das Highjacklog: mit*** von mir für die Links

Logfile of HijackThis v1.99.1
Scan saved at 17:55:15, on 06.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\ScanPanel\ScnPanel.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINNT\ISW\alice\signup\Tray.exe
C:\WINNT\System32\cidaemon.exe
G:\*ich*\Technik\Antihighjack01\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*ww.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*ww.alice-dsl.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://w*ww.alice-dsl.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Alt 06.05.2007, 17:14   #8
nochdigger
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Hallo

in dem Link von oben steht ein wichtiger Satz bezüglich deiner Internetverbindung dieser könnte jetzt zu tragen kommen.

Deaktiviere den Teatimer von Spybot S&D.

Starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} -

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.110 85.255.112.151

klicke nun auf - fix checked - beende Hijackthis, starte dein System neu und kontrolliere per HijackThis ob die Einträge verschwunden sind.
Der Teatimer kann wieder aktiviert werden.
Berichte ob es noch Probleme gibt.

MFG

Alt 06.05.2007, 18:00   #9
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Oha, der TeaTimer...der sollte ansich nicht laufen - hm?
Mittlerweile zeigt McAffee 7 Stück an 127.0.0.1- Verbindungen an....2 davon mit sich(mir) selber....
Ich mach das erstmal...Soweit danke!
#
PS: Der TeaTimer von Spybot S&D sollte zu diesem Zeitpunkt nicht nur nicht laufen.....S&D war und ist deinstalliert, da es eScan behindert(-e)....

Geändert von Mont (06.05.2007 um 18:14 Uhr)

Alt 06.05.2007, 19:01   #10
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Unten beschriebene Sachen sind erledigt.
(Dann kam ich überall hin, nur nicht hierher...nach 3x trennen/verbinden gings dann)
TeaTimer kam wieder...
Einige S&D- Teile (1 Ordner und 1 Reg.-Eintrag) hab ich noch händisch gelöscht...der Pfad stand ja im Log.
Hm...steht immer noch drin...da muß ich wohl nochmal Neustart machen.
Der McAfee- Guardian soll eigentlich auch nicht laufen.
Die 127.0.0.1 er sind alle noch dabei...
#
Aktuell:
Logfile of HijackThis v1.99.1
Scan saved at 19:50:17, on 06.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\ScanPanel\ScnPanel.exe
C:\WINNT\System32\cidaemon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
G:\*ich*\Technik\Antihighjack01\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = #h##p://w*w.alice-dsl.de#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = #h##p://w*w.alice-dsl.de#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = #h##p://w*w.alice-dsl.de#
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = #h##p://w*w.alice-dsl.de#
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA1D0A04-EEF8-438F-87E3-295B38A295E8}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Alt 06.05.2007, 19:46   #11
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



So.
Das Starten und Beenden scheint mir nun etwas schneller zu verlaufen.
Was die 127er bedeuten, ist mir trotzdem ein Rätsel.
Was bringt eine(1-2) Verbindung 127.0.0.1 [emphemer]- 127.0.0.1 [emphemer] und etliche(5-6) Verbindungen Me [emphemer] - 127.0.0.1 [emphemer]?
Emphemer heißt wohl sowas wie "kurzzeitig, gelegentlich", aber ich mit mir?
Ein kleines Progrämmchen namens "G Data Antiwurm (vormals Remover.exe) 1.009.0148"...eine Freeware könnte ich da evl. mal...-oder
Ansonsten:
S&D ist weder im Ordner Programme..wie im Log angezeigt, noch in der Registry.
Keine Ahnung, was die Anzeige bei highjack.this bedeutet.
S&D sowie eScan sind deinstalliert.

Letztes Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:27:37, on 06.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\ScanPanel\ScnPanel.exe
C:\WINNT\System32\cidaemon.exe
G:\*ich*\Technik\Antihighjack01\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Alt 07.05.2007, 05:10   #12
nochdigger
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Moin

Zitat:
Was bringt eine(1-2) Verbindung 127.0.0.1 [emphemer]- 127.0.0.1 [emphemer] und etliche(5-6) Verbindungen Me [emphemer] - 127.0.0.1 [emphemer]?
Emphemer heißt wohl sowas wie "kurzzeitig, gelegentlich", aber ich mit mir?
Ein kleines Progrämmchen namens "G Data Antiwurm (vormals Remover.exe) 1.009.0148"...eine Freeware könnte ich da evl. mal...-oder
was mir diese Sätze sagen sollen weis ich nicht, evtl. sind dort Programme die ins I-Net wollen, vllt. kann ein Netzwerkspezi was dazu sagen.

Zitat:
S&D ist weder im Ordner Programme..wie im Log angezeigt, noch in der Registry.
Keine Ahnung, was die Anzeige bei highjack.this bedeutet.
S&D sowie eScan sind deinstalliert.
keine Antwort weis
Hast du mal versucht die Einträge (wenn vorhanden) im abgesicherten Modus zu löschen?

MFG

Alt 07.05.2007, 12:00   #13
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Zitat:
Zitat von nochdigger Beitrag anzeigen
Moin
was mir diese Sätze sagen sollen weis ich nicht, evtl. sind dort Programme die ins I-Net wollen, vllt. kann ein Netzwerkspezi was dazu sagen.
Vielleicht ist es ja auch nicht sooo schlimm. Ich las nur von Würmern, die doppelte Erweiterungen bilden(W32/Mytob-M etwa) und mein(t)e, daß es hier ähnlich sein kann. Hm?

Zitat:
Zitat von nochdigger Beitrag anzeigen
Hast du mal versucht die Einträge (wenn vorhanden) im abgesicherten Modus zu löschen?
Da probiere ich nochmal
Nun aber ersteinmal "Vielen Dank!" von HH- Südgrenze nach Hamburg selber und natürlich an myrtille für die Meldung über die ukrainische Umleitung.
Letztere ist hoffenlich nun weg
Ich werde mich hoffentlich bald wieder blicken lassen hier

Alt 07.05.2007, 12:20   #14
irrlicht
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Hallo,
Zitat:
Ich werde mich hoffentlich bald wieder blicken lassen hier
Das hoffen wir eigentlich nicht.....
Das hieße nämlich du hättest schon wieder Probleme und weiter wäre zu schließen, du hättest nichts gelernt....
Ein neues Log von HijackThis könnte Aufschluß darüber geben,ob die Ukrainer nun gegangen sind oder nicht...
Der "netstat -a" Befehl in "ausführen" kann dir Aufschluß über deine Verbindungen geben......
Irrlicht

Alt 07.05.2007, 13:24   #15
Mont
 
Ich weiß nicht... - Standard

Ich weiß nicht...



Habe zunächst im Abgesichterten Modus geladen.
Mit Netzwerktreibern ging es nicht, da das Laden abbrach wg. eines Fehlers der svchost.exe.
Dann nochmal ohne Netzwerktreiber...dauerte sehr lange.
Per Highjack.this fixte ich den TeaTimer.
Danach lud ich normal und hier das Highjack- Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:58:43, on 07.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\ScanPanel\ScnPanel.exe
C:\WINNT\system32\NOTEPAD.EXE
G:\*ich*\Technik\Antihighjack01\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.alice-dsl.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.alice-dsl.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\tbu9\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

##########
Ich führte auch den Befehl netstat -a im "Ausführen" aus.
Kopieren konnte ich folgendes:
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP whiteangel:epmap whiteangel:0 ABHÖREN
TCP whiteangel:microsoft-ds whiteangel:0 ABHÖREN
TCP whiteangel:1025 whiteangel:0 ABHÖREN
TCP whiteangel:1026 whiteangel:0 ABHÖREN
TCP whiteangel:2222 whiteangel:0 ABHÖREN
TCP whiteangel:epmap e176000047.adsl.alicedsl.de:2498 WARTEND
TCP whiteangel:epmap e176082202.adsl.alicedsl.de:1679 WARTEND
TCP whiteangel:epmap e176107043.adsl.alicedsl.de:36377 SCHLIESSEND
TCP whiteangel:epmap e176180008.adsl.alicedsl.de:3276 WARTEND
TCP whiteangel:epmap e176180008.adsl.alicedsl.de:4001 WARTEND
TCP whiteangel:epmap e176226100.adsl.alicedsl.de:58344 WARTEND
TCP whiteangel:epmap e176239212.adsl.alicedsl.de:41958 WARTEND
##
Dann geht das Fenster zu.
Es standen beim 1.Mal aber noch sehr viele andere IP drauf, die ich aber nicht kopiert habe(mußte erstmal gucken, wie das geht)
Mittlerweile blinkt das Fenster bei Befehl nur noch kurz auf und geht sofort wieder zu.

Antwort

Themen zu Ich weiß nicht...
adaware, angezeigt, bekannte, browser, dauernd, editiere, einfach, firewall, foren, gen, grau, highjacker, hijack, hijackthis, links, melde, meldet, neue, neuen, nutze, tagen, update, updaten, verbindungen



Ähnliche Themen: Ich weiß nicht...


  1. Ich weiß nicht mehr weiter :-(
    Plagegeister aller Art und deren Bekämpfung - 06.05.2014 (26)
  2. Weiß nicht weiter
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (35)
  3. Ich weiß nicht ob ich einen Virus habe oder nicht.
    Plagegeister aller Art und deren Bekämpfung - 22.08.2011 (1)
  4. Weiß nicht, was los ist, vielleicht Rootkit?
    Log-Analyse und Auswertung - 22.10.2010 (32)
  5. Ich finde den Fehler nicht und weiß nicht weiter!!
    Log-Analyse und Auswertung - 24.01.2009 (40)
  6. Weiß nicht weiter
    Mülltonne - 26.06.2008 (2)
  7. ich weiß nicht mehr weiter =(
    Log-Analyse und Auswertung - 23.06.2008 (9)
  8. WIN32.Agent.pz lässt sich nicht löschen ....ich weiß nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 12.06.2008 (5)
  9. Weiß nicht ob Pc infiziert wurde ???
    Log-Analyse und Auswertung - 31.05.2008 (2)
  10. Weiß nicht weiter!!??
    Log-Analyse und Auswertung - 22.05.2008 (13)
  11. Ich weiß nicht weiter ...
    Log-Analyse und Auswertung - 20.09.2007 (4)
  12. Ich weiß nicht weiter...
    Mülltonne - 01.06.2007 (0)
  13. weiß nicht wasw los ist....
    Log-Analyse und Auswertung - 03.05.2006 (4)
  14. Also ich weiß nicht mehr weiter...
    Log-Analyse und Auswertung - 12.09.2005 (18)
  15. weiß mir nicht mehr zu helfen.....
    Plagegeister aller Art und deren Bekämpfung - 07.08.2005 (4)
  16. Weiß nicht weiter!!!!!!!
    Plagegeister aller Art und deren Bekämpfung - 08.05.2005 (2)
  17. Weiß nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 23.01.2005 (5)

Zum Thema Ich weiß nicht... - Meine FireWall meldet127.0.0.0 Mehrfach- Verbindungen, ich habe grau unterlegte Schemata, komme ich nach Tagen in bekannte Foren, finde ich keine neuen Beiträge...als ob ich gerade dort gewesen wäre, den Browser - Ich weiß nicht......
Archiv
Du betrachtest: Ich weiß nicht... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.