Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.02.2008, 08:00   #1
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Ich habe auf dem Rechner Adaware, Spybot, Antivir & HJT laufen lassen.

Das 1.tmp Thema ist nach HJT Anwendung soweit dass beim Windows Start keine Fehlermeldung (...\1.tmp Datei nicht gefunden) mehr erscheint, der zugehörige O23 Eintrag lässt sich naber icht permanent entfernen

Es scheint aber das nach wie vor weitere Schädlingsdateien auf dem Rechner sind. Ich Bitte hiermit um fachkräftige Unterstützung und Anweisung zu weiteren Massnahmen um eine vollständige Säuberung und folgenden nachhaltigen Schutz zu bewerkstelligen ist.

Danke im voraus!

Folgend das HJT Logfile
___________________________________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:08, on 06.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ntfsloc.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\System32\win32bootcfg.exe
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\System32\taskmngr32.exe
O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
O4 - HKLM\..\Run: [Windows Help] winhelp32.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows Help] winhelp32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1.tmp (file missing)
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

--
End of file - 5265 bytes

Alt 07.02.2008, 09:34   #2
Chris4You
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Hi,

da kreucht und fleucht ganz schön was auf Deinem Rechner rum:

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\ntfsloc.exe (W32/Sdbot-CSG Wurm und IRC backdoor)
C:\WINDOWS\System32\win32bootcfg.exe (Covert.Sys.Exec)
C:\WINDOWS\System32\dllsys64.exe (Trojan/Backdoor)
C:\WINDOWS\System32\taskmngr32.exe
C:\WINDOWS\System32\mstskmgr.exe
C:\WINDOWS\System32\winhelp32.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\spoollv.exe
C:\WINDOWS\win32host.exe
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste mit Filenamen die Ergebnisse, die nicht erkannten unten aus den Scripten entfernen...


Also:
Avenger
The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:
Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Core Kernel Update
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Task Manager Win32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MS Task Manager 32
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Help

Files to delete:
C:\WINDOWS\system32\ntfsloc.exe
C:\WINDOWS\System32\win32bootcfg.exe
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\System32\taskmngr32.exe
C:\WINDOWS\System32\mstskmgr.exe
C:\WINDOWS\System32\winhelp32.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\spoollv.exe
C:\WINDOWS\win32host.exe
C:\WINDOWS\System32\Rpcmon.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Zitat:

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)
O23 - Service: spool - Unknown owner - C:\WINDOWS\spoollv.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1.tmp (file missing)
O4 - HKLM\..\Run: [Windows Core Kernel Update] C:\WINDOWS\System32\win32bootcfg.exe
O4 - HKLM\..\Run: [MS DLL Library Manager] C:\WINDOWS\System32\dllsys64.exe
O4 - HKLM\..\Run: [MS Task Manager 32] C:\WINDOWS\System32\mstskmgr.exe
O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\System32\taskmngr32.exe
O4 - HKLM\..\Run: [Windows Help] winhelp32.exe
O4 - HKLM\..\RunServices: [Windows Help] winhelp32.exe
Danach Combofix durchführen:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Poste ein neues HJ-Log...

Der Rechner ist so verseucht, Du solltest neu aufsetzen!

Chris
__________________

__________________

Alt 08.02.2008, 08:55   #3
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Vielen Dank für die Anleitung,

kann spätestens Sonntag Abend wieder an den Rechner und werde nach durchführung deiner Anweisungen entsprechende Rückmeldung posten.

Bis dann,
STom
__________________

Alt 09.02.2008, 16:10   #4
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Hallo Chris,

folgend die Posts lt. deiner Anleitung. Am Ende habe ich zusätzlich den aktuellen HJT log gepostet. Bitte lass mich wissen ob weitere Massnahmen notwendig sind (Danke schon mal im voraus):

C:\WINDOWS\system32\ntfsloc.exe

Ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.6.10 2008.02.05 Win32/IRCBot.worm.variant
AntiVir 7.6.0.62 2008.02.08 HEUR/Crypted
Authentium 4.93.8 2008.02.08 Possibly a new variant of W32/Backdoor-based
Avast 4.7.1098.0 2008.02.08 Win32:Trojan-gen {Other}
AVG 7.5.0.516 2008.02.09 BackDoor.Generic3.RNN
BitDefender 7.2 2008.02.09 DeepScan:Generic.Sdbot.966B164F
CAT-QuickHeal None 2008.02.08 -
ClamAV 0.92 2008.02.09 Trojan.Vanbot-51
DrWeb 4.44.0.09170 2008.02.09 BackDoor.IRC.Sdbot.965
eSafe 7.0.15.0 2008.01.28 Win32.VanBot.ad
eTrust-Vet 31.3.5522 2008.02.08 Win32/Rbot.GGV
Ewido 4.0 2008.02.08 -
FileAdvisor 1 2008.02.09 -
Fortinet 3.14.0.0 2008.02.09 -
F-Prot 4.4.2.54 2008.02.08 W32/Heuristic-162!Eldorado
F-Secure 6.70.13260.0 2008.02.09 W32/Smalldoor.KBO
Ikarus T3.1.1.20 2008.02.09 Backdoor.Win32.VanBot.ad
Kaspersky 7.0.0.125 2008.02.09 Backdoor.Win32.VanBot.ad
McAfee 5226 2008.02.08 W32/Sdbot.worm.gen.n
Microsoft 1.3204 2008.02.09 Worm:Win32/Agent
NOD32v2 2861 2008.02.09 probably a variant of Win32/Genetik
Norman 5.80.02 2008.02.08 W32/Smalldoor.KBO
Panda 9.0.0.4 2008.02.09 -
Rising 20.29.22.00 2008.01.30 Backdoor.SdBot.wix
Sophos 4.26.0 2008.02.09 W32/Sdbot-DAL
Sunbelt 2.2.907.0 2008.02.09 -
Symantec 10 2008.02.09 W32.Spybot.Worm
TheHacker 6.2.9.213 2008.02.09 -
VBA32 3.12.6.0 2008.02.09 Backdoor.Win32.VanBot.ad
VirusBuster 4.3.26:9 2008.02.09 Backdoor.VanBot.AD
Webwasher-Gateway 6.6.2 2008.02.09 Heuristic.Crypted
weitere Informationen
File size: 187828 bytes
MD5: a36bdf9f87f3586f9ce72edcc795dbc8
SHA1: 400f448fcb32160fcec81980ce10def9e8fd816d
PEiD: ASProtect v1.23 RC1
packers: PE_Patch, Aspack
packers: PE_Patch

____________________________________________

C:\WINDOWS\System32\win32bootcfg.exe
C:\WINDOWS\System32\dllsys64.exe
C:\WINDOWS\System32\taskmngr32.exe
C:\WINDOWS\System32\mstskmgr.exe
C:\WINDOWS\System32\winhelp32.exe
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\spoollv.exe
C:\WINDOWS\win32host.exe

=> Datei konnte auf Rechner nicht gefunden werden
____________________________________________

ComboFix 08-02.05.3 - Mama 2008-02-09 16:57:20.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.105 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mama\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-09 bis 2008-02-09 ))))))))))))))))))))))))))))))
.

2008-02-06 20:59 . 2008-02-06 20:59 <DIR> d-------- C:\Programme\Trend Micro
2008-02-06 20:18 . 2008-02-06 20:18 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-02-06 20:17 . 2008-02-06 20:17 <DIR> d-------- C:\Programme\Lavasoft
2008-02-06 20:17 . 2008-02-06 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-06 18:37 . 2008-02-06 18:38 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-06 18:37 . 2008-02-06 18:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-06 18:22 . 2005-11-15 03:07 131,072 --a------ C:\WINDOWS\_detmp.2
2008-02-06 18:22 . 2008-02-03 14:56 76,102 --a------ C:\WINDOWS\_detmp.1
2008-02-06 18:21 . 2008-02-06 20:16 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-03 15:59 . 2008-02-03 15:59 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\Panasonic
2008-02-03 15:55 . 2005-03-07 19:44 45,056 --a------ C:\WINDOWS\system32\PhDi2.sys
2008-02-03 15:53 . 2008-02-03 15:55 <DIR> d-------- C:\Programme\Panasonic
2008-02-03 15:52 . 2008-02-03 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\Mama\Anwendungsdaten\InstallShield
2008-02-03 14:48 . 2008-02-06 18:23 <DIR> d-------- C:\Programme\FRITZ!DSL
2008-02-03 14:48 . 2008-02-03 14:48 <DIR> d-------- C:\Programme\FRITZ!Box
2008-02-03 14:48 . 1998-11-17 13:44 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-02-03 14:48 . 2006-01-20 13:43 55,808 -ra------ C:\WINDOWS\system32\avmadd32.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 14:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-02-06 19:22 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-02-03 14:55 --------- d--h--w C:\Programme\InstallShield Installation Information
1997-09-03 23:00 311,296 ----a-w C:\Programme\Gemeinsame Dateien\msacc8.olb
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-18 13:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 10:24 145920]
"SMSERIAL"="sm56hlpr.exe" [2004-06-29 17:42 569344 C:\WINDOWS\sm56hlpr.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-09 14:04 98304]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-06 20:19 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-18 13:00 13312]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
LUMIX Simple Viewer.lnk - C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe [2008-02-03 15:53:00 57344]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-02-06 20:19]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-02-06 20:19]
S2 dllmgr64;dllmgr64;"C:\WINDOWS\dllmgr64.exe" []
S2 NTFSFLS;NTFS File Location Service;"C:\WINDOWS\system32\ntfsloc.exe" []
S2 PDM;Windows Protocol Deployment Manager;C:\WINDOWS\system32\1.tmp []
S2 Rpcmon;Remote Procedure Call (RPC) Monitoring;C:\WINDOWS\System32\Rpcmon.exe []
S2 Win32Kernel;Win32 Kernel Update;"C:\WINDOWS\win32host.exe" []
S4 spool;spool;"C:\WINDOWS\spoollv.exe" []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 16:58:03
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 16:58:32
ComboFix-quarantined-files.txt 2008-02-09 15:58:24
ComboFix2.txt 2008-02-09 15:54:55
___________________________________________________________
Aktueller HJT log 09Feb2008 (nach Ausführung deiner empfohlenen Aktionen):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:55, on 09.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.aol.de/e60/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: dllmgr64 - Unknown owner - C:\WINDOWS\dllmgr64.exe (file missing)
O23 - Service: NTFS File Location Service (NTFSFLS) - Unknown owner - C:\WINDOWS\system32\ntfsloc.exe (file missing)
O23 - Service: Windows Protocol Deployment Manager (PDM) - Unknown owner - C:\WINDOWS\system32\1.tmp (file missing)
O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe (file missing)
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe (file missing)

--
End of file - 4579 bytes

Alt 09.02.2008, 16:44   #5
undoreal
/// AVZ-Toolkit Guru
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Halli hallo.

Du hast leider den Jackpot gewonnen..

Bei dir läuft dieser nette Besucher und hat bestimmt schon einigen Blödsinn veranstalltet sodass dein System leider nichtmehr sciher zu bereinigen ist..

Setzte es nach Anleitung aus meiner Signatur neu auf und ändere danach alle Zugangsdaten und Passwörter..

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 11.02.2008, 08:50   #6
STom
 
Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Standard

Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen



Danke an undoreal und Chris4you für die Unterstützung. Werde das System der Anleitung entsprechend neu Aufsetzen.

THX

Antwort

Themen zu Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen
1.tmp, ad-aware, adobe, antivir, auswerten, avg, avira, bho, entfernen, explorer, fehlermeldung, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, keine fehlermeldung, log, log auswerten, messenger, micro, microsoft, nicht gefunden, programme, s-1-5-18, schutz, software, system, windows, windows xp



Ähnliche Themen: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen


  1. Surfen kann mir bitte jeman das auswerten Danke !
    Log-Analyse und Auswertung - 14.07.2009 (1)
  2. kann malware nicht entfernen. bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 20.04.2009 (1)
  3. Kann das mal jemand auswerten bitte hab da was gefunden
    Mülltonne - 18.12.2008 (0)
  4. Kann mir mal bitte jemand das auswerten?
    Mülltonne - 28.07.2008 (1)
  5. kann mir den bitte jemand auswerten
    Mülltonne - 06.04.2008 (0)
  6. Kann den HiJackThis Log-File bitte jemand auswerten?
    Log-Analyse und Auswertung - 19.02.2008 (7)
  7. Kann mir jemand bitte diesen hjt Bericht auswerten???
    Mülltonne - 18.02.2008 (0)
  8. kann jem. bitte mein Log-file auswerten?
    Log-Analyse und Auswertung - 23.01.2008 (0)
  9. Kann mir jemand bitte meinen HiJackThis-Bericht auswerten?
    Mülltonne - 06.09.2007 (0)
  10. Kann bitte jemand mein logfile auswerten?
    Mülltonne - 06.04.2007 (1)
  11. Kann mal bitte wer das Log-File auswerten???
    Mülltonne - 31.12.2006 (1)
  12. Hallo-Kann sich das mal bitte jemand anschauen und auswerten.Danke!
    Mülltonne - 16.10.2006 (1)
  13. Kann bitte jemand meinen Logfile auswerten !
    Log-Analyse und Auswertung - 02.02.2006 (7)
  14. Kann das bitte jemand auswerten
    Log-Analyse und Auswertung - 17.01.2006 (3)
  15. kann mir bitte jemand mein logfile auswerten?
    Log-Analyse und Auswertung - 24.08.2005 (1)
  16. wer kann bitte logfile auswerten ?
    Log-Analyse und Auswertung - 10.04.2005 (2)
  17. kann bitte mal jemand auswerten??
    Log-Analyse und Auswertung - 02.03.2005 (6)

Zum Thema Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen - Ich habe auf dem Rechner Adaware, Spybot, Antivir & HJT laufen lassen. Das 1.tmp Thema ist nach HJT Anwendung soweit dass beim Windows Start keine Fehlermeldung (...\1.tmp Datei nicht gefunden) - Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen...
Archiv
Du betrachtest: Bitte HJT log auswerten - Kann 1.tmp & konsorten nicht entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.