Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijackthis scan auswerten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.06.2004, 17:45   #1
janamira
 
hijackthis scan auswerten - Beitrag

hijackthis scan auswerten



Hallo,
ich habe mich endlich dran gemacht, den nervigen hijacker loszuwerden, der unsere Startseite immer zu smartsearch entführt. Spybot hat einiges gefunden und entfernt aber dieses Problem nicht gelöst. Kann mir jemand helfen, den Scan von HijackThis auszuwerten:

Logfile of HijackThis v1.97.7
Scan saved at 18:32:52, on 25.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Edith\Eigene Dateien\Eigene Downloads\Geschäft\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://svsfjz.t.muxa.cc/h.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gmx.de/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)

Ist die Problem-Datei dabei, und was mache ich jetzt?
Bin zwar nicht ahnungslos, aber nicht besonders weit davon entfernt. Vielen Dank für freundliche Hilfe!

Alt 26.06.2004, 03:10   #2
mmk
 
hijackthis scan auswerten - Pfeil

hijackthis scan auswerten



Schließ alle Internet Explorer sowie alle Windows Explorer-Fenster. Markier in der HijackThis-Auflistung diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://svsfjz.t.muxa.cc/s.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h+tp://svsfjz.t.muxa.cc/h.php?aid=227 (obfuscated)
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe


Klick sodann auf "Fix checked".

</font><blockquote>Zitat:</font><hr />Ist die Problem-Datei dabei, und was mache ich jetzt?</font>[/QUOTE]Das ist (noch) nicht genau zu sagen. Aber:

O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe

Das deutet schwer auf den Wurm Sasser hin. Infos:
http://sasser.klaffke.de

Des Weiteren: Findest du in C:\WINDOWS\ die Datei win.exe? Falls ja, prüf sie bitte hier und poste dann das Ergebnis:

http://www.kaspersky.com/de/scanforvirus


Kurz-, mittel- und langfristig rate ich zudem zu einem Browserwechsel (Mozilla / Firefox / Opera).
__________________

__________________

Alt 26.06.2004, 11:16   #3
janamira
 
hijackthis scan auswerten - Beitrag

hijackthis scan auswerten



Hi,
vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?
Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?
Ich bin unsicher und frag deshalb noch mal.

Den Sasser-Wurm hatten wir und ich dachte ihn erfolgreich bekämpft zu haben. Vielleicht sind doch noch Überbleibsel da.
Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.
Den Browser werde ich sicher wechseln, danke für den Tip!
Gruß
Edith
__________________

Alt 26.06.2004, 13:43   #4
mmk
 
hijackthis scan auswerten - Pfeil

hijackthis scan auswerten



</font><blockquote>Zitat:</font><hr />Original erstellt von janamira:
Hi,
vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?</font>[/QUOTE]Bitte! Nein, das ist ein zu Sasser gehörender Registry-Eintrag. Wie du selbst sagst, möglicherweise ein Rest einer früheren Infektion. Lösch diesen Eintrag (&gt;HijackThis &gt;Scan &gt;Eintrag markieren &gt;Fix checked klicken).

</font><blockquote>Zitat:</font><hr />Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?</font>[/QUOTE]Nein, ist es nicht - der Name soll den unsicheren User täuschen, genau das ist das Ziel! Frage: Findest du diese Datei unter Windows? win.exe? Falls ja: Prüf sie bei Kaspersky!

</font><blockquote>Zitat:</font><hr />Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.</font>[/QUOTE]Wo genau meldet er den?

</font><blockquote>Zitat:</font><hr />Den Browser werde ich sicher wechseln, danke für den Tip!</font>[/QUOTE]Ja, schau die die jeweiligen Kandidaten an, und wenn du Fragen hast, frag nach.
__________________
Grüße, Markus

Alt 26.06.2004, 13:51   #5
Rene-gad
 
hijackthis scan auswerten - Beitrag

hijackthis scan auswerten



</font><blockquote>Zitat:</font><hr />
...vielen Dank für die schnelle Antwort!
Ist "04 - HKLM\....avserve2.exe" nicht ein Bestandteil von antivir?
Und "O4 - HKLM\ ... C:\Windows\win.exe" sieht nach einem Systemprogramm aus, is aber dann wohl keins, oder?
Ich bin unsicher...
</font>[/QUOTE]...wenn mmk etwas empfielt, kannst du schon sicher sein .
</font><blockquote>Zitat:</font><hr />
Den Sasser-Wurm hatten wir und ich dachte ihn erfolgreich bekämpft zu haben.
</font>[/QUOTE]Hast du dein Windows neu aufgesetz? Nur in dem Fall kann man einen Wurm mit Backdoor-Funktion "erfolgreich bekämpfen". Alles anderes ist nur der vergebliche Zeitverlust.


Alt 27.06.2004, 03:53   #6
mmk
 
hijackthis scan auswerten - Idee

hijackthis scan auswerten



Hallo nochmal!

1.) Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html
2.) System im abgesicherten Modus starten: http://www.bsi.de/av/texte/winsave.htm#WindowsXP

Dort dann diese beiden Dateien suchen und - wenn gefunden - löschen.

C:\Windows\system32\XDLDR24.Exe
C:\WINDOWS\win.exe
__________________
--> hijackthis scan auswerten

Alt 27.06.2004, 11:21   #7
janamira
 
hijackthis scan auswerten - Rotes Gesicht

hijackthis scan auswerten



Hi

Ich habe win.exe gefunden und überprüfen lassen, hier das Ergebnis:
win.exe - packed with UPX
win.exe Infiziert: TrojanDownloader.Win32.Delf.ch


"Übrigens meldet Antivir immer wenn die Smart-search Seite aufgeht ein "Trojan. Pferd TR/ Small.Dld.FO", ich sage dann jeweils "Datei löschen", was aber offensichtlich nichts bringt.
--------------------------------------------------------------------------------

Wo genau meldet er den?"

In: Windows\system32\XDLDR24.Exe

Diese Virenwarnung kommt immer zweimal nacheinander.

Manchmal kommt auch eine Trojanerwarnung, die mit "StartPage" aufhört. Da die nicht so zuverlässig (...) kommt, weiß ich da die genaue Bezeichnung und den Pfad nicht.

Noch mal vielen Dank für die kompetente Hilfe, ich zweifle nicht Euer Wissen an. Ich bin nur immer sehr beeindruckt von den Warnungen (z.B. auch bei Hijackthis) nicht zuviel zu löschen, etc.

Wenn ich bei HiJackthis "Fixchecked" eingebe, werden die gemarkerten Dateien restlos gelöscht? Das ging dermaßen schnell und unspektakulär, dass ich mir das kaum vorstellen konnte.

Ich werde die beiden von mir angefragten Teile (O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe)
jetzt auch löschen und schauen, was sich tut.

Für heute noch mal dankeschön und schönes Wochenende!
Gruß
Edith

Alt 28.06.2004, 21:43   #8
janamira
 
hijackthis scan auswerten - Beitrag

hijackthis scan auswerten



Hallo,
ich habe mein Glück versucht und diese Dateien versucht zu löschen:

C:\Windows\system32\XDLDR24.Exe
C:\WINDOWS\win.exe

Die Win.exe scheint jetzt weg zu sein (HiJackThis zeigt sie nicht mehr an), die andere habe ich nicht gefunden.

Das Problem (veränderte StartPage) besteht nach wie vor, ich habe im abgesicherten Modus auch noch mal spybot laufen lassen und dieses Programm hat zwei ergebnisse wieder gezeigt, die ich eigentlich vor ein paar Tagen schon einmal gelöscht hatte. Darunter ein "common hijacker". Hat evt. jemand eine Idee, was ich jetzt machen könnte?

Gruß
Edith

Antwort

Themen zu hijackthis scan auswerten
adobe, ahnungslos, boot, button, dateien, einstellungen, explorer, hijackthis, hilfe, icq, internet, internet explorer, links, messenger, microsoft, obfuscated, problem, programme, scan, seite, software, spybot, startseite, system, system32, vielen dank, windows, windows xp



Ähnliche Themen: hijackthis scan auswerten


  1. OTL-Scan auswerten
    Log-Analyse und Auswertung - 30.12.2012 (3)
  2. HiJackThis Log zum auswerten
    Log-Analyse und Auswertung - 09.05.2011 (14)
  3. HiJackThis Log bi**e mal auswerten
    Log-Analyse und Auswertung - 28.10.2010 (1)
  4. hijackthis auswerten
    Mülltonne - 11.08.2010 (1)
  5. HiJackThis Log auswerten
    Log-Analyse und Auswertung - 05.08.2010 (1)
  6. HiJackThis Log auswerten
    Log-Analyse und Auswertung - 28.04.2010 (3)
  7. Hijackthis psl auswerten
    Log-Analyse und Auswertung - 22.09.2009 (5)
  8. hijackthis auswerten
    Mülltonne - 27.10.2008 (0)
  9. Hijackthis log auswerten
    Mülltonne - 12.02.2008 (0)
  10. Scan mit HiJackThis o.k.??
    Log-Analyse und Auswertung - 23.07.2007 (3)
  11. hijackthis auswerten
    Mülltonne - 13.07.2006 (2)
  12. PopUps!!! Bitte e-scan und HJT Log auswerten, danke!
    Mülltonne - 09.07.2006 (4)
  13. hijackthis auswerten
    Log-Analyse und Auswertung - 08.07.2006 (1)
  14. E-scan auswerten
    Plagegeister aller Art und deren Bekämpfung - 20.08.2005 (4)
  15. HijackThis-Log - wie auswerten?
    Log-Analyse und Auswertung - 14.02.2005 (6)
  16. HIJACKTHIS auswerten.....
    Log-Analyse und Auswertung - 09.01.2005 (8)
  17. hijackthis-log auswerten
    Log-Analyse und Auswertung - 17.10.2004 (3)

Zum Thema hijackthis scan auswerten - Hallo, ich habe mich endlich dran gemacht, den nervigen hijacker loszuwerden, der unsere Startseite immer zu smartsearch entführt. Spybot hat einiges gefunden und entfernt aber dieses Problem nicht gelöst. Kann - hijackthis scan auswerten...
Archiv
Du betrachtest: hijackthis scan auswerten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.