Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: hijackthislogs

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 20.08.2004, 00:37   #1
bromden
 
hijackthislogs - Standard

hijackthislogs



hi habe ein problem mit dieser blöden search bar.
hier mein log von hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 01:02:01, on 20.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\McAfee\QuickClean\Plguni.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
D:\runterladers\hijackthis1982\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Alarm.lnk = C:\Programme\pics\Alarm.exe
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} - http://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...2ce89775140bcf
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/27b229aa...dxIE601_de.cab
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

danke im voraus für eure mühe
salut bromden

Alt 20.08.2004, 10:36   #2
FancyAndy
 
hijackthislogs - Standard

hijackthislogs



Zu fixen sind :

O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe

O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)


stutzig bin ich bei den beiden, mein Bauchgefühl sagt :
"Weg damit"

O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://sessa.isprime.com:8080/tel2net/CABDialer.cab

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe


Kleiner Tip für die Zukunft :

Nimm Mozilla - FireFox, Easy zu bedienen, sicher und 1000 mal prektischer als IE (www.mozilla.org)

Sollte ich mich bei o.g. geirrt haben möre man jetzt sprechen, oder für immer schweigen.
__________________

__________________

Alt 20.08.2004, 11:17   #3
Rene-gad
 
hijackthislogs - Standard

hijackthislogs



Add zum Beitrag von FancyAndy
Zitat:
R3 - Default URLSearchHook is missing
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
h--p://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - h--p://63.217.29.115/cax.cab
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} - http://h--p://www.thepaymentcentre.c...d/preload2.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://h--p://public.windupdates.com...2ce89775140bcf
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - http://h--p://sessa.isprime.com:8080.../CABDialer.cab
Alles Fixen!!!!
Preispiratei ist IMHO kein "böses" Tool .
EDIT: Ratsam ist - das System neu aufzuspielen und alle Passwörter zu ändern.
__________________

Geändert von Rene-gad (20.08.2004 um 16:05 Uhr)

Alt 20.08.2004, 12:21   #4
bromden
 
hijackthislogs - Standard

hijackthislogs



Danke für die prompte antwort
noch eine frage, warum sollten alle passwörter geändert werden?
Ist es wirklich nötig das system neu aufzuspielen?
danke im voraus
salut
bromden

Alt 20.08.2004, 12:52   #5
mmk
 
hijackthislogs - Standard

hijackthislogs



Frage vorab: Nutzt du Analog oder ISDN, sodass sich ein Dialer einwählen könnte? Oder ausschl. DSL ohne Verbindungsmöglichkeit über die erstgenannten?

Falls sich ein Dialer einwählen konnte, diesen bitte erst sichern (z.B. auf Disektte), dann löschen.


Diese Einträge markieren, Fix checked wählen:

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Was ist das? Selbst installiert? Falls nein, ebenfalls fixen:
O4 - Startup: Alarm.lnk = C:\Programme\pics\Alarm.exe


Das sind alles Dialer und Trojaner, löschen:

O16 - DPF: {00000000-0000-0000-0000-000020030000} - h*tp://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - ht*p://63.217.29.115/cax.cab
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} - ht*p://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ht*p://public.windupdates.com/get_file.php
O16 - DPF: {FFA6CE4C-2199-4A4F-9542-12E0163D6841} - ht*p://sessa.isprime.com:8080/tel2net/CABDialer.cab

__________________
Grüße, Markus

Alt 20.08.2004, 16:50   #6
Andreas Ebert
 

hijackthislogs - Standard

hijackthislogs



"Ist es wirklich nötig das system neu aufzuspielen?"

Wenn du deinen Haustürschlüssel verlierst und erst nach 3 Wochen auf der Straße wiederfindest, ist es dann wirklich nötig die Schlösser austauschen zu lassen?

Die Entscheidung kann dir keiner abnehmen.

Andreas
__________________
--> hijackthislogs

Antwort

Themen zu hijackthislogs
acrobat, adobe, bho, button, check, components, ebay, explorer, file missing, hijack, hijackthis, hijackthislog, homepage, internet, internet explorer, links, log, mcafee, mein log, nvcpl.dll, problem, programme, rundll, rundll32.exe, system, system32, tools, urlsearchhook, windows, windows xp



Zum Thema hijackthislogs - hi habe ein problem mit dieser blöden search bar. hier mein log von hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 01:02:01, on 20.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) - hijackthislogs...
Archiv
Du betrachtest: hijackthislogs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.