Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HJT log File durchchecken

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.07.2008, 11:38   #1
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



Hallo,

vor kurzem habe ich mit Antivir eine vollständige Systemprüfung lassen machen und habe gleich 7 Funde gehabt.
es handelt sich um dateien die durch diese beiden schädlinge infiziert waren

Trojanische Pferd TR/Expl.Aluigi.GW
Backdoorprogramm BDS/Hupigon.bzjy

nun bin ich mir nicht sicher ob wirklich alles entfernt wurde, oder ob sich da immer noch irgendetwas in meinem system eingenestet hat und im hintergrund weiterarbeitet.
ich habe eine hijack this log file erstellt und bitte euch nun darum diese mal durchzuchecken und mir zu sagen ob noch gefahr besteht.

------------------------------


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:27:45, on 12.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214940334468
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6117 bytes



-------------------------



vielen dank schonmal im voraus

Alt 12.07.2008, 19:56   #2
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



Hi ATAR! und

Dein Hijackthis-Logfile ist unauffällig, aber wenn es sich wirklich um einen Backdoor-Befall gehandelt hat, müssen wir auf jeden Fall tiefer graben .


lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt

4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.



gruß

schrauber
__________________

__________________

Alt 12.07.2008, 23:49   #3
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



ich habe wie sie gesagt haben die dss.exe heruntergeladen und auf dem desktop gespeichert.
ich habe alle laufenden anwendungen beendet und alle fenster geschlossen.
dann habe ich die dss.exe gestartet
es lief alles ganz gut, jedoch kurz bevor der ladebalken zuende ist kommt die meldung: dss.exe hat ein problem festgestellt und muss beendet werden

PS: es gibt nur ein benutzerkonto am pc, also administratorrechte habe ich
__________________

Alt 12.07.2008, 23:51   #4
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



das ist jetzt schon das zweite mal heute das dss nicht funktioniert

dann eben anders:

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.
  • Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
    Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

    => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
    => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
    => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
    => Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
    => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 13.07.2008, 11:26   #5
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 13. Juli 2008 12:22:53
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 13/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 845408
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 113671
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:47:12

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071320080714\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\********\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A50726B6-8E63-4985-B9CB-955833E328E8}\RP12\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\91b248e7de3cb77526b7\%temp%dd_msxml_retMSI.txt Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.


Alt 13.07.2008, 13:36   #6
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



Mache jetzt noch bitte zwei Scans mit F-Secure und NOD32.



gruß

schrauber
__________________
--> HJT log File durchchecken

Alt 13.07.2008, 17:51   #7
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



hier schonmal der f-secure scan
war ein fund, aber tracking cookie is eher harmlos oder?


Scanning Report
Sunday, July 13, 2008 17:50:47 - 18:48:27

Computer name: PC
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\
Result: 1 malware found
Tracking Cookie (spyware)

* System

Statistics
Scanned:

* Files: 41625
* System: 3180
* Not scanned: 7

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 1
* Submitted: 0

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Hydra: 2.8.8110, 2008-07-13
* F-Secure AVP: 7.0.171, 2008-07-13
* F-Secure Pegasus: 1.20.0, 2008-04-15
* F-Secure Blacklight: 1.0.68

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics

Geändert von ATAR! (13.07.2008 um 18:21 Uhr)

Alt 13.07.2008, 18:56   #8
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



Hi,

ja, die sind zu vernachlässigen. Wenn NOD32 auch sauber ist, würd ich sagen das war es.

Aber:

Bei einem Backdoor-Befall, wie es bei Dir angeblich einer war, gibt es keine Sicherheit, wenn Du wirklich sicher gehen willst, dass Dein System sauber ist, würd ich es einmal richtig neuaufsetzen, und alle Passwörter ändern.



gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 13.07.2008, 20:45   #9
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



also von der nod32 prüfung habe ich 2 sachen zu berichten:

1. während der prüfung hat antivir alarm geschlagen und dies waren die befunde:

Trojaner: TR/Crypt.XPACK.Gen
C:dokumente und einstellungen\*******\Lokale Einstellungen\Temp\NODD43A.tmp

enthält verdächten code:HEUR/Malware
C:dokumente und einstellungen\*******\Lokale Einstellungen\Temp\NODD42C.tmp

enthält verdächten code:HEUR/Malware
C:dokumente und einstellungen\*******\Lokale Einstellungen\Temp\NODD3FF.tmp


ist das ein richtiger treffer oder sind das nod32 dateien und fehlalarm?


2. NOD32 hat bei einer .exe datei von einem spiel dies hier gemeldet:
"probably a variant of WIN32/Agent trojan (deleted)"

Alt 13.07.2008, 20:49   #10
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



Die Dateien stammen von NOD32.

Das Spiel würd ich dann mal weglassen, aber wie schon erwähnt, einmal Platt machen wär das beste. Also ich würd es so machen .


gruß

schrauber
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 14.07.2008, 11:11   #11
ATAR!
 
HJT log File durchchecken - Standard

HJT log File durchchecken



also das dumme is nur das das backdoor programm ja auch auf meiner externen war.
und die will ich nich formatieren weil da so viel musik, filme, bilder, spiele, dokumente drauf sind.

und was ich mich immer mal gefragt habe is:
was bedeutet dieser ordner "System Volume Information"

oft infizieren die trojaner und andere viren immer dateien in diesem ordner.

Alt 14.07.2008, 11:21   #12
Silent sharK
 

HJT log File durchchecken - Standard

HJT log File durchchecken



Tut mir leid schrauber, das ich die Frage gerade beantworte, aber du bist nicht da

Zu dir ATAR!, mit Hilfe einer Live CD kannst du Musik, Bilder, Textdokumente sichern, Spiele sind da eher heikel.
Der Ordner System Volume Information gehört zu der Systemwiederherstellung, wenn jetzt ein Schadprogramm dort sich einnistet wird er mit wiederhergestellt, da die meisten Leute denken, durch die Systemwiederherstellung wäre er damit beseitigt.

Zudem hat so gut wie kein AV Zugriff auf diesen Ordner.

Hoffe, das alle Fragen beantwortet sind,
mfg
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 14.07.2008, 12:07   #13
schrauber
/// the machine
/// TB-Ausbilder
 

HJT log File durchchecken - Standard

HJT log File durchchecken



@Dark_Viruz:

no prob, so hätt ich es auch erklärt
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu HJT log File durchchecken
adobe, antivir, antivirus, avg, avira, bho, bonjour, explorer, file, firefox, handel, hijack, hijack this, hijackthis, hkus\s-1-5-18, icq, infiziert, internet, internet explorer, launch, log, log file, microsoft, mozilla, mozilla firefox, nicht sicher, programme, software, tuneup.defrag, urlsearchhook, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: HJT log File durchchecken


  1. Kurz durchchecken erbeten
    Log-Analyse und Auswertung - 24.07.2015 (5)
  2. Einmal kurz durchchecken
    Plagegeister aller Art und deren Bekämpfung - 11.07.2015 (11)
  3. Einfach mal durchchecken
    Mülltonne - 11.10.2008 (0)
  4. Bitte mal durchchecken...
    Log-Analyse und Auswertung - 05.08.2008 (9)
  5. bitte HJT-log-file durchchecken
    Mülltonne - 14.07.2008 (1)
  6. Kann das mal jemand durchchecken?
    Mülltonne - 01.07.2008 (0)
  7. Bitte durchchecken
    Mülltonne - 23.10.2007 (0)
  8. HiJackTHis-Log - bitte durchchecken
    Mülltonne - 03.05.2007 (0)
  9. Bitte mal durchchecken!!!
    Mülltonne - 16.10.2006 (1)
  10. Bitte mal durchchecken
    Log-Analyse und Auswertung - 09.10.2006 (8)
  11. Bitte durchchecken
    Log-Analyse und Auswertung - 08.10.2006 (9)
  12. bitte durchchecken
    Log-Analyse und Auswertung - 17.03.2006 (4)
  13. Bitte meine Log-File durchchecken!
    Log-Analyse und Auswertung - 23.08.2005 (5)
  14. einma durchchecken bitte ~~
    Log-Analyse und Auswertung - 28.06.2005 (1)
  15. Mein Log, bitte durchchecken
    Log-Analyse und Auswertung - 23.11.2004 (12)
  16. Durchchecken Bitte
    Log-Analyse und Auswertung - 11.10.2004 (3)
  17. Datei durchchecken
    Archiv - 12.01.2003 (10)

Zum Thema HJT log File durchchecken - Hallo, vor kurzem habe ich mit Antivir eine vollständige Systemprüfung lassen machen und habe gleich 7 Funde gehabt. es handelt sich um dateien die durch diese beiden schädlinge infiziert waren - HJT log File durchchecken...
Archiv
Du betrachtest: HJT log File durchchecken auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.