Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: trojaner ? bitte hijackthis log anschauen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.07.2007, 22:04   #1
hans hans hansen
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



moin moin,

habe folgendes problem. ich bekomme seit kurzem immer eine "Fehlermeldung" wenn ich mit der rechten maustaste auf eine *.exe datei klicke. da ist es egal welche ich nehme. ich muss nur ca. 5-7 klicks warten dann kommt die fehlermeldung wieder. und zwar mit diesem text "This file has been tampered with and MAY BE INFECTED BY A VIRUS"



hier mal mein hijackthis-Log. ich hoffe ihr koennt mir weiterhelfen. vielen dank!

Logfile of HijackThis v1.99.1
Scan saved at 21:48:54, on 07.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
E:\WINDOWS\system32\svchost.exe
E:\Programme\Wehnus\WehnTrust\WehnServ.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\StartupMonitor.exe
E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Programme\NetMeter\NetMeter.exe
E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
E:\Programme\ProcessExplorerNt\procexp.exe
E:\WINDOWS\system32\rundll32.exe
E:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - E:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [WehnTrustCheck] "E:\Programme\Wehnus\WehnTrust\WehnTrust.exe" CheckSynchronize
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [E:\Programme\NetMeter\NetMeter.exe] E:\Programme\NetMeter\NetMeter.exe
O4 - Startup: Rainlendar.lnk = E:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Verknüpfung mit procexp.lnk = E:\Programme\ProcessExplorerNt\procexp.exe
O4 - Global Startup: WehnTrust.lnk = E:\Programme\Wehnus\WehnTrust\wehntrust.exe
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - E:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O20 - Winlogon Notify: AutorunsDisabled - E:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - E:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - E:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: O&O Defrag - O&O Software GmbH - E:\WINDOWS\system32\oodag.exe
O23 - Service: WehnTrust Monitor Service (WehnServ) - Wehnus, Inc. - E:\Programme\Wehnus\WehnTrust\\WehnServ.exe

Alt 08.07.2007, 00:06   #2
myrtille
/// TB-Ausbilder
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Hi

So direkt sehe ich keine Anzeichen für Infektion, was aber nicht viel heißen will.
Diese Programme kenne ich nicht:
Zitat:
E:\Programme\Wehnus\WehnTrust\WehnTrust.exe"
E:\Programme\ProcessExplorerNt\procexp.exe
Ich vermute mal du kennst sie und weißt ob sie vertrauenswürdig sind?

Einen guten Grund für Probleme auf deinem Rechner sehe ich allerdings:
Zitat:
O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
Mehrere Antivirenprogramme behindern sich gegenseitig und erkennen sich auch gerne mal gegenseitig als furchtbar bösen Virus. Entscheide dich für eins, lösche das andere und melde dich dann hier wieder, ob weiterhin Probleme bestehen.

lg myrtille
__________________


Alt 08.07.2007, 08:53   #3
hans hans hansen
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



E:\Programme\Wehnus\WehnTrust\WehnTrust.exe"
E:\Programme\ProcessExplorerNt\procexp.exe

wehntrust ist ein programm das *.dll dateien und speicherblöcke zufällig vertauscht.

procexp ist aehnlich wie der taskmanager, nur genauer(uebersichtlicher). er zeigt auf einen blick, welche prozesse zu welchen programmen gehoeren.

das mit den beiden virenprogrammen weiss ich und habe antivir erst nach dem fehler installiert. hatte erst avg und dann hab ich nochmal antivir installiert und durchlaufen lassen.

sorry. finde aber gerade nicht den edit-button... daher jetzt noch was zu den fehlermeldungen....






hmmm habe eben nochmal nachgeschaut... kann es sein das ich die fehlermeldung noch bekomme, weil das ding im avg wirus vault ist ???



entschuldigt die umstaendlichkeit.
__________________

Alt 08.07.2007, 09:52   #4
myrtille
/// TB-Ausbilder
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Ich versteh grade nicht so ganz was du damit sagen willst.

Die Bilder sagen ja auf jedenfall schonmal eins, lass bitte einmal die angemeckerten Dateien (also kernel32.dll, user32.dll, ntoskrnl, rochxp.exe, mirc.exe) bei virustotal auswerten.
(aber wenn ichs nicht besser wüßte, würde ich sagen, dass das Windowskomponenten sind! )

Mache dann evtl noch ein eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)
Wenn der auch nichts findet, dürftest du sauber sein.

Was ich bei google zu deinem Problem gefunden hab ist Folgendes:
Die Meldung kommt wenn der Vergleich von Datein mit ihrem erwarteten Hash/Md5-Wert nicht übereinstimmen.
Das schließt die "multiple AVP"-Problematik noch nicht aus.
Hast du Spybot auch erst installiert, nachdem die Meldungen kamen?

Falls du noch rausfinden kannst, von wem diese Popups sind (Windows, AVG, Malware,...)

lg myrtille

Alt 08.07.2007, 11:24   #5
hans hans hansen
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Complete scanning result of "kernel32.dll", processed in VirusTotal at 07/08/2007 11:08:03 (CET).

[ file data ]
* name: kernel32.dll
* size: 1058304
* md5.: 8eea8280a1e0e794edfccad3721c7cab
* sha1: fc0460baa69f17dabc752ef5995c98866062cfc2

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070707 found nothing
DrWeb 4.33/20070707 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070707 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

Complete scanning result of "user32.dll", processed in VirusTotal at 07/08/2007 12:15:48 (CET).

[ file data ]
* name: user32.dll
* size: 579072
* md5.: 492e166cfd26a50fb9160db536ff7d2b
* sha1: 8f63f79cf097750fdca0caa2f816d6b7587167c1

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070708 found nothing
DrWeb 4.33/20070708 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070708 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

Complete scanning result of "ntoskrnl.exe", processed in VirusTotal at 07/08/2007 12:15:59 (CET).

[ file data ]
* name: ntoskrnl.exe
* size: 2182656
* md5.: 2804b72eb675cd43df7994ae4685b894
* sha1: 4537f42e7cc05b5ed9c2e8f89177e6f4465c968d

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070708 found nothing
DrWeb 4.33/20070708 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070708 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

die anderen beiden dateien sind geloescht. hab sie nicht mehr gefunden...

ich komm irgendwie nicht in den abgesicherten modus...

ja, habe spybot erst danach installiert.

Zitat:
Zitat von myrtille Beitrag anzeigen
Falls du noch rausfinden kannst, von wem diese Popups sind (Windows, AVG, Malware,...)

lg myrtille
meinst du meine screenshots?

habe mal nachgeschaut was sich fuer ne datei oeffnet, bzw was der taskmanager anzeigt wenn die fehlermeldung kommt und dabei das hier gefunden.



Geändert von hans hans hansen (08.07.2007 um 11:42 Uhr)

Alt 08.07.2007, 11:40   #6
myrtille
/// TB-Ausbilder
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Den Screenshot ausm ersten Post meinte ich.


Mach mal einen eScan(Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)

Aber ich glaube nicht, dass dein Problem auf Malware zurückzuführen ist. Eher ein Softwareproblem.
Hast du vllt irgendwas verändert in letzter Zeit, dass das Problem auslösen könnte?

lg myrtille

Alt 08.07.2007, 11:49   #7
hans hans hansen
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



ich habe versucht in den abgesicherten modus zu kommen. stelle mich aber anscheinend zu doof an...
--------------------------
Windows XP

Schalten Sie den PC ein, warten Sie auf die Meldung
Windows wird gestartet...

und drücken Sie dann sofort die Taste [F8]. Weiter...
--------------------------

bei mir kommt nirgends diese "Windows wird gestartet..." nachricht. du meinst doch sicherlich den balken der unten voll wird bevor ne windowsmaske kommt oder? der erscheint bei mir nicht mehr... bzw. nur wenn ich aus dem ruhemodus gehe und dann kommt aber nirgends was mit abgesicherter modus.

nachtrag: habe letzen post editiert, da kannst du sehen woher die nachricht kommt.


Complete scanning result of "verclsid.exe", processed in VirusTotal at 07/08/2007 12:55:12 (CET).

[ file data ]
* name: verclsid.exe
* size: 28672
* md5.: 32a71f37940de5997fbb8f7bf76bd246
* sha1: f9afaa9909645f3a26449adbb8125cd7858dfab6

[ scan result ]
AhnLab-V3 2007.7.7.0/20070706 found nothing
AntiVir 7.4.0.39/20070707 found nothing
Authentium 4.93.8/20070707 found nothing
Avast 4.7.997.0/20070706 found nothing
AVG 7.5.0.476/20070707 found nothing
BitDefender 7.2/20070708 found nothing
CAT-QuickHeal 9.00/20070707 found nothing
ClamAV devel-20070416/20070708 found nothing
DrWeb 4.33/20070708 found nothing
eSafe 7.0.15.0/20070706 found nothing
eTrust-Vet 30.8.3769/20070707 found nothing
Ewido 4.0/20070708 found nothing
F-Prot 4.3.2.48/20070706 found nothing
F-Secure 6.70.13260.0/20070707 found nothing
FileAdvisor 1/20070708 found nothing
Fortinet 2.91.0.0/20070708 found nothing
Ikarus T3.1.1.8/20070708 found nothing
Kaspersky 4.0.2.24/20070708 found nothing
McAfee 5069/20070706 found nothing
Microsoft 1.2704/20070708 found nothing
NOD32v2 2384/20070708 found nothing
Norman 5.80.02/20070706 found nothing
Panda 9.0.0.4/20070708 found nothing
Sophos 4.19.0/20070706 found nothing
Sunbelt 2.2.907.0/20070707 found nothing
Symantec 10/20070708 found nothing
TheHacker 6.1.6.143/20070705 found nothing
VBA32 3.12.0.2/20070707 found nothing
VirusBuster 4.3.23:9/20070707 found nothing
Webwasher-Gateway 6.0.1/20070708 found nothing

Geändert von hans hans hansen (08.07.2007 um 11:57 Uhr)

Alt 08.07.2007, 12:05   #8
myrtille
/// TB-Ausbilder
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Ich hab grad mal nachgeschaut.
Ne, der Balken nennt sich "windows wird fortgesetzt", das ist nicht der den wir suchen.

Bootmodus kannst du entscheiden, wenn du auf F8 drückst bevor das Windowsemblem erscheint.
Wenn du deinen Rechner anstellst müsste als erste ein Hinweis aufs Biosmenü erscheinen (Drücken sie f2 oÄ) und sobald dieses Bild verschwindet kannst du dann F8 drücken.

lg myrtille

Alt 08.07.2007, 15:50   #9
hans hans hansen
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



konnte eScan leider net updaten.... habe es dann ohne durchlaufen lassen und das kam raus...


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
E:\DOKUME~1\Hans\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (remote.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (moo.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (mdx.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (views.mdx)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (remote.ini)! Action taken: Keine Aktion vorgenommen.
System found infected with unknown pest Spyware/Adware (moo.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (E:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online_ZusatzSoftware\Virenschutz\NAV\External\NORTON\NAVAPW32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei {} infiziert von "Trojan-Spy.HTML.Bankfraud.ib" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\girc32.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\mIRC.rar/mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1035840.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP740\A1042189.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\girc32.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\mIRC.rar/mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Desktop\Programme\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Eigene Dateien\_Browsergames & IRC\CS&IRC\girc432.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\Dokumente und Einstellungen\Hans\Eigene Dateien\_Browsergames & IRC\WoG\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP674\A1006981.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP674\A1007081.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1035858.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1036138.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1036139.exe//stream//data0010 markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1036142.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP727\A1036212.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP741\A1045236.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP741\A1045382.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP741\A1045385.exe//data0082 markiert als not-a-virus:Client-IRC.Win32.mIRC.601. Keine Aktion vorgenommen.
Datei E:\System Volume Information\_restore{047C7136-E489-49BB-BB3F-D88358AD63F5}\RP741\A1045386.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: E:\DOKUME~1\Hans\LOKALE~1\Temp\cmdlineext02.dll
Offending file found: E:\DOKUME~1\Hans\LOKALE~1\Temp\war3_install.exe
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\girc\remote.ini
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\girc\system\bin\dll\moo.dll
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\quakenet-irc\add-on\tools\superip\mdx\mdx.dll
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\quakenet-irc\add-on\tools\superip\mdx\views.mdx
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\quakenet-irc\remote.ini
Offending file found: E:\Dokumente und Einstellungen\Hans\Desktop\irc backup\quakenet-irc\system\bin\dll\moo.dll
Offending file found: E:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\temp\cmdlineext02.dll
Offending file found: E:\Dokumente und Einstellungen\Hans\Lokale Einstellungen\temp\war3_install.exe
Offending file found: E:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\Programme\Nero\Nero 7\Nero Mobile\SetupNeroMobile.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
E:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 195622
Gefundene Viren: 44
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 248
Dauer des Scans bisher: 02:35:10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:18:40,35
Batchende: 17:18:59,73

Geändert von hans hans hansen (08.07.2007 um 16:19 Uhr)

Alt 21.07.2007, 12:52   #10
myrtille
/// TB-Ausbilder
 
trojaner ? bitte hijackthis log anschauen - Standard

trojaner ? bitte hijackthis log anschauen



Hat sich an deinem Problem mittlerweile etwas geändert?

Der eScan zeigt ne menge IRC-Programme, aber nichts was direkt bedrohlich ist.
Ne weitere Möglichkeit auf Befall wäre ein Rootkit. Ich glaubs zwar eher nicht, aber lass sicherheitshalber noch F-Secure Blacklight drüberlaufen und poste was der meldet.

google sagt zu deinem Problem leider nicht viel.

verclsid.exe ist eine Windowsdatei, die noch relativ neu ist und für mehr Sicherheit sorgen soll. Sie wurde laut Microsoft anfang dieses Jahres per Update eingespielt und führt zu zahlreichen Problemen: microsoft fehlerbehebung

Das von dir beschriebene Problem ist da jedoch nicht dabei und ein manuelles hinzufügen aller Dateien halt ich für sehr umständlich.

Ich würde dir wahrscheinlich empfehlen dich mal in nem Windowsboard umzusehen. Ich kann dir hier leider nicht mehr weiterhelfen. Sry. Ich weiß einfach nicht was man noch machen kann.

lg myrtille

Antwort

Themen zu trojaner ? bitte hijackthis log anschauen
.exe datei, adobe, alert, antivir, avira, bho, browser, desktop, e-mail, einstellungen, explorer, fehlermeldung, google, gservice, hijack, hijackthis, hijackthis log, internet, internet explorer, maus, rundll, server, software, system, trojaner, trojaner ?, vielen dank, virus, windows, windows xp



Ähnliche Themen: trojaner ? bitte hijackthis log anschauen


  1. HiJackThis Log bitte anschauen
    Log-Analyse und Auswertung - 19.09.2009 (1)
  2. HIJackThis Log-File - bitte mal anschauen
    Log-Analyse und Auswertung - 05.05.2009 (7)
  3. Bitte Hijackthis Log-File mal anschauen!!!!
    Mülltonne - 05.10.2007 (3)
  4. Bitte mein HiJackThis Log anschauen :( *verzweifel*
    Log-Analyse und Auswertung - 07.09.2007 (2)
  5. Bitte HiJackThis-Logfile anschauen
    Log-Analyse und Auswertung - 08.05.2007 (9)
  6. PC lahm - Hijackthis log anschauen bitte!
    Log-Analyse und Auswertung - 22.10.2006 (8)
  7. Bitte mal Hijackthis Log anschauen
    Log-Analyse und Auswertung - 21.10.2006 (9)
  8. HiJackThis Log-File Bitte anschauen!
    Log-Analyse und Auswertung - 13.12.2005 (5)
  9. 180search Assistant -- Bitte Hijackthis Log anschauen ;((((
    Log-Analyse und Auswertung - 07.12.2005 (4)
  10. HijackThis Log-File bitte anschauen
    Log-Analyse und Auswertung - 25.11.2005 (1)
  11. Bitte nur mal mein HiJAckThis anschauen
    Log-Analyse und Auswertung - 29.07.2005 (7)
  12. Smitfraud.c Bitte mein Hijackthis-Log anschauen
    Log-Analyse und Auswertung - 20.07.2005 (3)
  13. HiJackThis logfile bitte ma anschauen :)
    Log-Analyse und Auswertung - 03.05.2005 (1)
  14. HiJackThis Log bitte mal anschauen
    Log-Analyse und Auswertung - 11.04.2005 (17)
  15. Bitte anschauen/ hijackthis.log
    Log-Analyse und Auswertung - 19.02.2005 (12)
  16. HijackThis Bericht bitte mal anschauen.
    Log-Analyse und Auswertung - 30.10.2004 (13)
  17. LOG von Hijackthis bitte anschauen!
    Log-Analyse und Auswertung - 07.08.2004 (2)

Zum Thema trojaner ? bitte hijackthis log anschauen - moin moin, habe folgendes problem. ich bekomme seit kurzem immer eine "Fehlermeldung" wenn ich mit der rechten maustaste auf eine *.exe datei klicke. da ist es egal welche ich nehme. - trojaner ? bitte hijackthis log anschauen...
Archiv
Du betrachtest: trojaner ? bitte hijackthis log anschauen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.