Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJackThis Log-File auswertung

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 10.06.2008, 07:15   #1
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



servus,
seit dem ich vor ein paar tagen, ein programm runtergeladen hab,erscheint beim anmelden links oben ein kleines fenster in dem steht "persönliche einstellungen einrichten azur". "hijack this" sagt mir dass die datei svshosts.exe gefährlich ist, diese kann ich aber nicht finden.
ausversehn hab ich dann die datei svchost.exe an einen Virenscanner im netz geschickt (name fällt mir leider im moment nicht ein) und nur einer von 36 stück (prevx v2) konnte in dieser datei einen Trojaner lokalisieren.
Bin dann auf das programm security task manager gestoßen, der mir auch sagt dass die datei svshosts.exe gefährlich ist, und auch eine enorm hohe cpu auslastung bewirkt. durch das programm konnte ich die datei unter quarantäne stellen so dass sie beim system start nicht gelanden wird, beim nächsten reboot kam dann die meldung "persönliche einstellungen einrichten azur" auch nicht mehr. wars dass schon? oder ist mein rechner immer noch infiziert.

der logfile hab ich bevor ich security task manager installiert und die datei unter quarantäne gestellt hab erstellt.

danke schon mal im Voraus

amd 3200+ 64bit
1gb ram
asus k8v board


Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Geändert von Sunny (10.06.2008 um 08:01 Uhr)

Alt 10.06.2008, 11:53   #2
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



ich hoff das ist nun besser. wenn nicht alle guten dinge sind 3 =).

Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:43:59, on 07.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svshosts.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
F:\WLAN Monitor\wlconfig.exe
F:\asus\asus probe\AsusProb.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
F:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\DOKUME~1\ALLUSE~1\ANWEND~1\AccSys\FD4C32~1\accwpac.exe
F:\FIREFOX\FIREFOX.EXE
F:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - f:\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WLAN Quick Starter] "f:\WLANQU~1\WLAN Quick Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "F:\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [ASUS Probe] f:\asus\asus probe\AsusProb.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [LDM] f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svshosts.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://F:\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\ICQLiteICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bw+0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - f:\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: offline-8876480 - {31E0B1AE-7F19-49B3-BC27-BF29E199CA54} - f:\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O23 - Service: AccSys WLAN Control Service (accvssvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 19697 bytes
         
__________________


Alt 11.06.2008, 07:12   #3
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



guten morgen,
ich weis ich kann das nicht als selbstverständlich ansehn dass ihr mir bei meinem problem hilft. wär euch aber richtig dankbar wenn ihr mir sagen könnt wie ich das wieder hinbekomm. mit hilfe des programm "security task manager"
hab ich die Datei "IAdHide5.dll" ebenfalls wie die datei "svshosts.exe" in quantäne gestellt.

wie bekomm ich mein system wieder sicher?

vielen dank im voraus für eure bemühungen.
__________________

Alt 11.06.2008, 09:15   #4
salahlok
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



can you speake arabic !!!
becaus I'am in alger

Alt 11.06.2008, 09:52   #5
myrtille
/// TB-Ausbilder
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



Hi,
das sieht relativ bös aus...
Wenn die Datei zu dem Trojaner gehört, den ich vermute war es das definitiv noch nicht.

Erstell bitte ein Log mit Combofix: Anleitung und poste es hier.

Lass bitte außerdem auch die Dateien svshosts.exe und IAdHide5.dll bei virustotal auswerten und poste das gesamte Ergebnis hier.
Wo war die IAdHide5.dll denn? Inwiefern wurde sie als böse eingstuft?

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Geändert von myrtille (11.06.2008 um 09:57 Uhr)

Alt 11.06.2008, 13:11   #6
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



danke werd das mit dem combofix gleich mal heute abend machen, sobald ich wieder daheim bin.

combofix muss ich dann aus der wiederherstellungskonsole öffnen oder nicht? wenn nein muss ich diese dann zwingend installieren?

die datei svshosts.exe kann man nicht finden, er sagt zwar sie befindet sich unter C:\windows\system32\ aber dort findet man sie nicht auch wenn ich die geschützen systemdatein anzeigen lasse.

die datei IAdHide.dll steht unter C:\dokumente und einstellungen\***\Lokale einstellungen\temp\
das programm "security task manager" hat diese als potential gefährlichste datei eingestuft, drum hab ich sie mal rausgenommen.

aber wie gesagt seit dem ich die datei svshost.exe unter quantäne gestellt habe, erscheint nach dem anmelden, dieses fenst links oben nicht mehr: persönliche einstellungen einrichten für azur"

danke für die rasche antwort

Alt 11.06.2008, 13:16   #7
myrtille
/// TB-Ausbilder
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



Nein Combofix muss nicht aus der Herstellungskonsole gestartet werden.
Es ist allerdings vorzuziehen die Wiederherstellungskonsole zu installieren, weil sie uns mehr Möglichkeiten für eine Bereinigung gibt.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 11.06.2008, 17:47   #8
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



also hab nun den combofix durchlaufen lassen, einmal ohne die svshosts.exe und das eine mal hab ich sie aus der quantäne gelassen und erneut einen log-file erstellen lassen.

zuerst den log OHNE die svshosts.exe

Code:
ATTFilter
ComboFix 08-06-10.5 - *** 2008-06-11 17:33:35.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.662 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))
.

2008-06-09 22:36 . 2008-06-11 17:36	<DIR>	d--------	C:\Programme\Crawler
2008-06-09 22:00 . 2008-06-10 22:16	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-06-06 21:51 . 2008-06-06 21:51	132,242	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-06 21:49 . 2008-06-06 21:49	14,901,760	--a------	C:\WINDOWS\AntiVir 2008.exe
2008-06-06 20:04 . 2008-06-06 20:13	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-06-05 23:12 . 2008-06-05 23:12	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-05 22:09 . 2008-06-05 22:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-03 20:17 . 2008-06-03 20:18	<DIR>	d--------	C:\Programme\Google
2008-06-03 20:17 . 2008-06-09 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 20:11 . 2008-06-03 20:11	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-05-30 21:24 . 2008-05-30 21:24	5,883	--a------	C:\fw.htm
2008-05-21 12:46 . 2008-05-21 12:46	3,932,214	--a------	C:\WINDOWS\InvaderDark1280.bmp
2008-05-21 12:45 . 2008-05-21 12:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Stardock
2008-05-21 12:45 . 2003-02-26 22:27	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2008-05-21 12:45 . 2008-05-21 12:45	42	--a------	C:\WINDOWS\wb.ini
2008-05-20 10:45 . 2008-06-06 21:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 20:35	---------	d-----w	C:\Programme\Spyware Terminator
2008-06-09 20:20	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator
2008-06-05 21:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-06-03 18:09	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-05-23 20:12	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-21 18:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-05-21 15:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-05-21 09:55	98,304	----a-w	C:\WINDOWS\DUMP345e.tmp
2008-05-02 11:38	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-05-02 11:38	---------	d-----w	C:\Programme\Gemeinsame Dateien\AccSys
2008-05-02 11:38	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys
2007-11-26 23:10	3,932	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat
2007-11-26 23:10	268	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]
"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]
"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Skype\\Phone\\Skype.exe"=
"E:\\Age of Empires\\empires2.exe"=
"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"D:\\eMule.de\\emule.exe"=
"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"F:\\ICQLiteICQ6\\ICQ.exe"=
"E:\\volley\\volley.exe"=
"F:\\SmartFTP Client\\SmartFTP.exe"=
"f:\\FlashFXP\\FlashFXP.exe"=
"E:\\Counter - Strike - Zero\\czero.exe"=
"E:\\Medal - of - Honor\\MOHAA.exe"=
"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=
"E:\\Need - for - Speed - Underground - 1\\speed.exe"=
"F:\\iTunes\\iTunes.exe"=
"F:\\Zattoo\\zattood.exe"=
"F:\\Zattoo\\Zattoo1.exe"=
"E:\\Cossacks - Back To War\\dmcr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Age of Empires III\\age3.exe"=
"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=
"F:\\Skype\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]
R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]
R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]
S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []
S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]
\Shell\AutoRun\command - L:\preinst.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]
C:\WINDOWS\system32\svshosts.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 17:40:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\snmp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
F:\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
F:\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 17:43:23 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-11 15:43:10

              12 Verzeichnis(se),  2,318,340,096 Bytes frei
              16 Verzeichnis(se),  2,562,936,832 Bytes frei

159
         
und nun der log MIT der svshosts.exe

Code:
ATTFilter
ComboFix 08-06-10.5 - *** 2008-06-11 18:09:06.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.686 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-11 bis 2008-06-11  ))))))))))))))))))))))))))))))
.

2008-06-09 22:36 . 2008-06-11 18:03	<DIR>	d--------	C:\Programme\Crawler
2008-06-09 22:00 . 2008-06-11 18:05	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-06-06 21:51 . 2008-06-06 21:51	132,242	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2008-06-06 21:49 . 2008-06-06 21:49	14,901,760	--a------	C:\WINDOWS\AntiVir 2008.exe
2008-06-06 20:04 . 2008-06-06 20:13	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-06-05 23:12 . 2008-06-05 23:12	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-06-05 22:09 . 2008-06-05 22:14	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-03 20:17 . 2008-06-03 20:18	<DIR>	d--------	C:\Programme\Google
2008-06-03 20:17 . 2008-06-09 21:53	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-03 20:11 . 2008-06-03 20:11	<DIR>	d--h-----	C:\WINDOWS\system32\GroupPolicy
2008-05-30 21:24 . 2008-05-30 21:24	5,883	--a------	C:\fw.htm
2008-05-21 12:46 . 2008-05-21 12:46	3,932,214	--a------	C:\WINDOWS\InvaderDark1280.bmp
2008-05-21 12:45 . 2008-05-21 12:45	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Stardock
2008-05-21 12:45 . 2003-02-26 22:27	36,864	--a------	C:\WINDOWS\system32\wbsys.dll
2008-05-21 12:45 . 2008-05-21 12:45	42	--a------	C:\WINDOWS\wb.ini
2008-05-20 10:45 . 2008-06-06 21:24	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-09 20:35	---------	d-----w	C:\Programme\Spyware Terminator
2008-06-09 20:20	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Spyware Terminator
2008-06-05 21:06	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-06-03 18:09	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-05-23 20:12	---------	d-----w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\AdobeUM
2008-05-21 18:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-05-21 15:31	---------	d-----w	C:\Programme\Gemeinsame Dateien\Ahead
2008-05-21 09:55	98,304	----a-w	C:\WINDOWS\DUMP345e.tmp
2008-05-02 17:18	3,930	----a-w	C:\WINDOWS\system32\ealregsnapshot1.reg
2008-05-02 11:38	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-05-02 11:38	---------	d-----w	C:\Programme\Gemeinsame Dateien\AccSys
2008-05-02 11:38	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AccSys
2007-11-26 23:10	3,932	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMLayout.dat
2007-11-26 23:10	268	----a-w	C:\Dokumente und Einstellungen\***\Anwendungsdaten\LMCPaper.dat
2001-08-18 12:00	15,184,335	--sha-w	C:\WINDOWS\system32\svshosts.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-06-11_17.42.58.29   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-11 15:40:30	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
+ 2008-06-11 16:07:37	2,048	--s-a-w	C:\WINDOWS\bootstat.dat
- 2008-06-11 15:40:33	219,207	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-11 16:07:41	219,203	----a-w	C:\WINDOWS\system32\inetsrv\MetaBase.bin
+ 2008-06-11 15:58:24	16,384	----atw	C:\WINDOWS\Temp\Perflib_Perfdata_740.dat
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="f:\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2006-07-13 18:54 36864]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-22 23:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"wlconfig"="F:\WLAN Monitor\wlconfig.exe" [2007-08-31 12:40 1492536]
"ASUS Probe"="f:\asus\asus probe\AsusProb.exe" [2002-12-06 16:07 617984]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-03-05 21:24 2957824]
"Acrobat Assistant 8.0"="F:\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\robin\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - F:\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2006-07-13 18:54:36 196608]
Logitech SetPoint.lnk - F:\Logitech\SetPoint\SetPoint.exe [2006-04-09 14:25:40 528384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
F:\AlienGUIse\fastload.dll 2001-12-20 23:34 24576 F:\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Skype\\Phone\\Skype.exe"=
"E:\\Age of Empires\\empires2.exe"=
"F:\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"D:\\eMule.de\\emule.exe"=
"C:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"F:\\ICQLiteICQ6\\ICQ.exe"=
"E:\\volley\\volley.exe"=
"F:\\SmartFTP Client\\SmartFTP.exe"=
"f:\\FlashFXP\\FlashFXP.exe"=
"E:\\Counter - Strike - Zero\\czero.exe"=
"E:\\Medal - of - Honor\\MOHAA.exe"=
"E:\\Quake - 3\\Quake III\\QUAKE3\\quake3.exe"=
"E:\\Need - for - Speed - Underground - 1\\speed.exe"=
"F:\\iTunes\\iTunes.exe"=
"F:\\Zattoo\\zattood.exe"=
"F:\\Zattoo\\Zattoo1.exe"=
"E:\\Cossacks - Back To War\\dmcr.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"E:\\Age of Empires III\\age3.exe"=
"F:\\Gamez2\\Delta Force\\dfbhdlc.exe"=
"F:\\Skype\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-03-05 21:24]
R1 tvtool;tvtool;f:\TVTool\tvtool.sys [1996-04-03 20:33]
R2 accvssvc;AccSys WLAN Control Service;C:\Programme\Gemeinsame Dateien\AccSys\AccVSSvc.exe [2007-08-29 18:07]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;C:\WINDOWS\system32\DRIVERS\WlanUZXP.sys [2007-05-07 13:43]
S3 ASUSHWIO;ASUSHWIO;C:\WINDOWS\system32\drivers\ASUSHWIO.sys []
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys []
S3 DT154_A02;T-Sinus 154data Driver;C:\WINDOWS\system32\DRIVERS\TS154USB.sys []
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-05-22 06:40]
S3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 w32n5223;w32n5223 Protocol Driver;C:\PROGRA~1\T-COM\T-COMW~1\INSTAL~1\WINXP\w32n5223.SYS []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77468c2c-c8a3-11da-98f2-000ea6748993}]
\Shell\AutoRun\command - L:\preinst.exe

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CAB7B150-B41B-B8F0-F160-F2F006DD303D}]
C:\WINDOWS\system32\svshosts.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-25 12:07:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 18:10:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 18:10:46
ComboFix-quarantined-files.txt  2008-06-11 16:10:43
ComboFix2.txt  2008-06-11 15:43:23

              12 Verzeichnis(se),  2,568,708,096 Bytes frei
              15 Verzeichnis(se),  2,559,217,664 Bytes frei

139
         
vielen dank wie immer im voraus

Alt 11.06.2008, 23:02   #9
myrtille
/// TB-Ausbilder
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



Hi,
Zitat:
C:\WINDOWS\AntiVir 2008.exe
lass die Datei bitte mal bei virustotal auswerten und poste die kompletten Ergebnisse hier.
(Wenn du die Datei hochlädst und oben auf der Seite Die Datei wurde bereits analysiert: erscheint. Klicke bitte unten auf den Link neben Permalink: und poste den Inhalt der erscheinenden Seite.).

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 12.06.2008, 09:45   #10
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



hm,
ich glaub ich hab die datei gestern gelöscht, (bin mir nicht ganz sicher ob es genau diese war, oder sie unter einem anderen verzeichnis stand) wiel es mir suspekt vorkam dass die datei noch da ist, weil ich dachte von avira antivir alles gelöscht zuhaben. avira antivir ist das programm welches ich installieren wollte und anschließend die probleme ihren lauf nahmen.

danke für die schnelle auswertung der log-files.

Außerdem habe ich ein Verzeichnis mit Passware\ gefunden, dass ich aber defenitiv nicht installiert habe. Google sagt mit dass dies ein Passwort wiederherstellungsprogramm ist.

Geändert von stopfkopf (12.06.2008 um 10:44 Uhr)

Alt 12.06.2008, 20:46   #11
myrtille
/// TB-Ausbilder
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



Hi,
das ist natürlich ärgerlich...

Erstell bitte ein neues Log mit Combofix und erstelle ein Log mit Smitfraudfix.

Auf der Seite einfach die Anleitung zu Suche abarbeiten.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 12.06.2008, 20:56   #12
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



hab die datei wiederherstellen können, virustotal hat nichts gefunden, das ist die log dazu

Code:
ATTFilter
File size: 14901760 bytes
MD5...: a422e301072e04a6c348c42e5204e7a6
SHA1..: d78dba84d71f9a9412c2e0339b8aa24e2a04af05
SHA256: 12cb19170c0514b5c4f9afb8a73080a67296f4e1df6dd59cd71703d0cde44a89
SHA512: 7955cee56152877caa43403427923ae7eb6cfbd1e13e6c9ecb13f4fb5ab26a7c
8ba45106445920b2e4b69344906f2f32f98e73812cb7b339001caf90c51431e7
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x438d6c1c (Wed Nov 30 09:08:44 2005)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13000 0x12600 6.46 53468de97666db941961271ee7d0e342
.data 0x14000 0x7000 0xa00 4.73 269bd2f0d4c4a03fbcb3319118ee6c3e
.idata 0x1b000 0x1000 0x1000 5.02 7f9440e32acb299f3bda96288136b63a
.rsrc 0x1c000 0x10c24 0x10e00 4.45 d52f3cbc3e1e7a1c97acbd06434ea9b7

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )
         

Alt 12.06.2008, 21:16   #13
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



und hier gleich noch die log von smitfraudfix,
danke für deine engagierte mitarbeit.

habs wie in der anleitung beschrieben im abgesicherten modus gestartet

Code:
ATTFilter
SmitFraudFix v2.323

Scan done at 22:04:00,04, 12.06.2008
Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="wbsys.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7704DCAA-B986-40E0-8D85-2E92BF1E8CD1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7704DCAA-B986-40E0-8D85-2E92BF1E8CD1}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2EDC5480-9A9E-4CFE-ACB5-C7D6654EEA19}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         

Alt 12.06.2008, 21:27   #14
myrtille
/// TB-Ausbilder
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



Hi,
das sieht gut aus.

Lass bitte die svshosts.exe bei virustotal auswerten.

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
  • nichts am Rechner getan werden
  • nach jedem Scan der Rechner neu gestartet werden
Gmer scannen lassen
  • Lade dir GMER von dieser Seite runter und entpacke es auf deinen Desktop.
  • Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
  • Füge das Log aus der Zwischenablage in deine Antwort hier ein.
Catchme scannen lassen
  • Lade dir Catchme runter auf deinen Desktop.
  • Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
  • Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
  • Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 12.06.2008, 22:34   #15
stopfkopf
 
HiJackThis Log-File auswertung - Standard

HiJackThis Log-File auswertung



wollte gerade den scan von GMER posten, der hat aber 111782 zeichen und erlaubt sind "nur" 25000 zeichen

log splitten? in 5teile

die datei svshosts.exe kann ich im system nicht finden
nur die datei SVSHOSTS.EXE-29581A17.pf

Geändert von stopfkopf (12.06.2008 um 22:42 Uhr)

Antwort

Themen zu HiJackThis Log-File auswertung
anmelden, auslastung, auswertung, cpu, cpu auslastung, datei, einstellungen, gefährlich, hijack, hijack this, hijackthis, hijackthis log-file, hohe cpu auslastung, links, log-file, logfile, micro, programm, quara, rechner, scan, security, start, svchost.exe, system, trend, trojaner



Ähnliche Themen: HiJackThis Log-File auswertung


  1. Hijackthis log-File auswertung
    Plagegeister aller Art und deren Bekämpfung - 01.08.2011 (3)
  2. Hilfe bei HiJackThis Log-File Auswertung
    Log-Analyse und Auswertung - 30.06.2009 (0)
  3. HiJackThis Log File Auswertung
    Mülltonne - 03.02.2009 (0)
  4. Bitte, um Auswertung von HiJackThis Log-File
    Mülltonne - 03.02.2009 (0)
  5. HiJackThis Log-File auswertung + Problem!
    Mülltonne - 26.01.2009 (0)
  6. Auswertung der HiJackThis Log-File
    Log-Analyse und Auswertung - 28.07.2008 (4)
  7. Hijackthis Log-File auswertung
    Plagegeister aller Art und deren Bekämpfung - 09.07.2008 (10)
  8. Hilfe bei HiJackThis Log-File auswertung
    Log-Analyse und Auswertung - 22.06.2008 (4)
  9. hIJackThis log-file - Auswertung
    Log-Analyse und Auswertung - 19.06.2008 (2)
  10. HiJackThis Log-File - bitte um Auswertung!
    Log-Analyse und Auswertung - 07.06.2008 (1)
  11. Auswertung hijackthis log-file
    Log-Analyse und Auswertung - 23.05.2008 (29)
  12. HijackThis Log-File Auswertung
    Mülltonne - 20.03.2008 (0)
  13. Bitte um Hijackthis Log File auswertung!
    Log-Analyse und Auswertung - 29.01.2008 (13)
  14. HiJackThis Log-File. Bitte um Auswertung..
    Mülltonne - 06.11.2007 (1)
  15. HiJackThis Log-File - Auswertung
    Log-Analyse und Auswertung - 27.06.2007 (9)
  16. HiJackThis Log-File Auswertung?
    Mülltonne - 10.04.2007 (1)
  17. Hilfe bei Auswertung hijackthis-log file?
    Log-Analyse und Auswertung - 20.10.2004 (1)

Zum Thema HiJackThis Log-File auswertung - servus, seit dem ich vor ein paar tagen, ein programm runtergeladen hab,erscheint beim anmelden links oben ein kleines fenster in dem steht "persönliche einstellungen einrichten azur". "hijack this" sagt mir - HiJackThis Log-File auswertung...
Archiv
Du betrachtest: HiJackThis Log-File auswertung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.