Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: ...schaut mal bitte in meine Logs

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 25.08.2004, 21:41   #1
der_fall
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Hi,
hab alle Tools probiert, bekomm den Hijacker aber nicht weg.
Kann mir einer helfen ?
Hier mein Log:


Logfile of HijackThis v1.98.2
Scan saved at 22:36:56, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Sti_Trace.log:iztwr
C:\WINDOWS\System32\WT32EXE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\addqp32.exe
C:\Dokumente und Einstellungen\tomdog\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CA3DBCBC-A9A8-DC34-BDB0-DC89DBF6BD82} - C:\WINDOWS\sdkeg.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winfeu32.exe
O4 - HKLM\..\Run: [addqp32.exe] C:\WINDOWS\system32\addqp32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABE50CF0-C8AC-4145-9901-92602429FBAC}: NameServer = 192.168.1.1

Wäre echt dankbar
ciao, der fall

Alt 26.08.2004, 07:25   #2
Shadowdance
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



@ der_fall - guten Morgen,

bitte fixe im abgesicherten Modus offline mittels Hijack This folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\bbpvy.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {CA3DBCBC-A9A8-DC34-BDB0-DC89DBF6BD82} - C:\WINDOWS\sdkeg.dll

Überprüfe bitte mittels Online-Scan bei Kaspersky folgende Dateien:

C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\System32\WT32EXE.EXE
C:\windows\system32\winfeu32.exe
C:\WINDOWS\system32\addqp32.exe

Ausserdem solltest Du Hijack This in einen eigenes Verzeichnis kopieren wegen der Updates.

Vielleicht lädst Du Dir zur Sicherheit noch eScan runter und führst den Scan offline im abgesicherten Modus durch, nachdem Du ihn online geupdatet hast. Du findest den Link und die Anweisungen zu eScan in meiner Signatur unter "TI Hijacker-Rubrik".

Zu überlegen wäre ein Browserwechsel:

Mozilla
Mozilla Firefox
Opera

SD
__________________


Alt 26.08.2004, 11:47   #3
der_fall
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Hi shadowdance,
Danke für deine Hilfe, hab ihn leider immer noch nicht wegbekommen.
Hijackthis konnte die Files zwar eliminieren, aber nur so lange ich offline war, sobald ich wieder online gegangen bin, hat sich der hijacker wieder eingenistet.
Ich surf jetz mit mozilla, denn hier greift der hijacker zum Glück nicht ein.
Aber das kann doch nicht sein, das man den nicht wegbekommt, hab seit gestern abend alles probiert, ohne Erfolg.
Aber wollte mir eh bald ne neue Platte zulegen, dann wird XP neu aufgesetzt und nur noch mit mozilla firefox gesurft.
Wenn jemand noch nen Tip hat, bitte posten, wäre sehr dankbar :-)
__________________

Alt 26.08.2004, 12:06   #4
Shadowdance
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Hallo der_fall,

versuch's bitte mit diesem Programm SpHjfix.exe.
Alles was Du dazu wissen mußt, ist in meinem Link angegeben, auch der Download-Link ist dort zu finden.

SD

[edit] (obfuscated) müsste hinter der *.dll/sp.html stehen ... leider steht hinter der *.dll/sp.html #29126 ... aber vielleicht funktioniert es trotzdem? [/edit]

Geändert von Shadowdance (26.08.2004 um 12:14 Uhr)

Alt 26.08.2004, 12:28   #5
der_fall
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



...hab ich schon probiert, geht nicht.


Alt 26.08.2004, 12:32   #6
Lutz
 

...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Zitat:
Zitat von Shadowdance
[edit] (obfuscated) müsste hinter der *.dll/sp.html stehen ... leider steht hinter der *.dll/sp.html #29126 ... aber vielleicht funktioniert es trotzdem? [/edit]
Wofür dieser Hinweis auf der verlinkten Seite wohl steht?!?
Wie deutlich muss es eigentlich dort stehen, dass man/frau es versteht?!?

@der_fall
Hast Du es schon mit eScan versucht?
Wobei, wenn Du eh neu aufsetzen willst, würde ich mir gar nicht die Mühe machen...
__________________
--> ...schaut mal bitte in meine Logs

Alt 26.08.2004, 18:23   #7
Shadowdance
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Hallo Lutz,

Zitat:
Zitat von Lutz
Wofür dieser Hinweis auf der verlinkten Seite wohl steht?!?
Wie deutlich muss es eigentlich dort stehen, dass man/frau es versteht?!?
... ich hab's befürchtet Was freue ich mich, Dich hier zu sehen
Sind die vielen Kisten Bier schon bei Dir angekommen? Unzählige User würden sich gerne bei Dir bedanken. Ohne Deinen Einsatz hätten sie ihre Computer vielleicht doch aus dem Fenster geworfen. Was dabei alles passieren kann ....

Eine Frage an Dich und Euch Fachleute:

Ihr habt dieses Programm entwickelt für Einträge, die auf *.dll/sp.html (obfuscated) enden. Könnt Ihr das Programm nicht erweitern auf Einträge, die auf *.dll/sp.html #29126 enden ???

Ich bin kein Fachmann, auch keine Fachfrau .. es ist nur eine Frage ...



SD

Alt 26.08.2004, 19:35   #8
Lutz
 

...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



Zitat:
Zitat von Shadowdance
Was freue ich mich, Dich hier zu sehen
...

Zitat:
Sind die vielen Kisten Bier schon bei Dir angekommen?
Nein. Das wäre auch nicht 'bedarfsorientiert'.

Zitat:
Unzählige User würden sich gerne bei Dir bedanken.
Woher weißt Du das? Haben Sie (die User) Dir das erzählt?

Zitat:
Ohne Deinen Einsatz hätten sie ihre Computer vielleicht doch aus dem Fenster geworfen. Was dabei alles passieren kann ....
Kein Kommentar...

Zitat:
Ihr habt dieses Programm entwickelt für Einträge, die auf *.dll/sp.html (obfuscated) enden. Könnt Ihr das Programm nicht erweitern auf Einträge, die auf *.dll/sp.html #29126 enden ???
Zitat:
von der Seite:
Leider gibt es mittlerweile verschiedene Variante, die ebenfalls eine leere Startseite mit 'about:blank' vortäuschen, sich aber in der Art der Infektion deutlich von der ursprünglichen Variante unterscheiden.
Noch fragen?

Das Tool wurde nicht von uns, sondern ganz alleine von seeker entwickelt. Wir (Roman, raman, paff und ich) haben nur zugearbeitet!
Wenn die Weiterentwicklung so einfach wäre, hätte seeker das bestimmt bereits getan. Aber Nasivin lässt sich auch nicht so eben auf Heuschnupfen 'umprogrammieren'...
Außerdem sollte das Tool nur eine Zwischenlösung darstellen. Zum damaligen Zeitpunkt war noch nicht abzusehen, dass die Weiterentwicklung des CWShredders eingestellt werden würde...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 27.08.2004, 05:06   #9
Shadowdance
 
...schaut mal bitte in meine Logs - Standard

...schaut mal bitte in meine Logs



@ Lutz


Zitat:
Zitat von Lutz
... Woher weißt Du das? Haben Sie (die User) Dir das erzählt?
ja

Zitat:
Noch fragen?
nein

Zitat:
Das Tool wurde nicht von uns, sondern ganz alleine von seeker entwickelt. Wir (Roman, raman, paff und ich) haben nur zugearbeitet!
finde ich toll.

Zitat:
Wenn die Weiterentwicklung so einfach wäre, hätte seeker das bestimmt bereits getan. Aber Nasivin lässt sich auch nicht so eben auf Heuschnupfen 'umprogrammieren'...
... tja .. ich programmiere nicht, entwickle nicht .. ich wende nur an.
Eben deswegen hatte ich eine Frage gestellt.

Herzlichen Dank für Deine Anwort.

SD

Antwort

Themen zu ...schaut mal bitte in meine Logs
about, avg, bho, bla, check, desktop, dumprep, einstellungen, explorer, gen, hijacker, hijackthis, internet, internet explorer, log, mein log, microsoft, programme, search, software, system, system32, tcpip, tools, urlsearchhook, windows, windows xp



Ähnliche Themen: ...schaut mal bitte in meine Logs


  1. Bitte kurz meine Logs auswerten :)
    Log-Analyse und Auswertung - 12.08.2013 (25)
  2. schaut mal meine LOG File an da mein Win 7 64 Bit nicht schnell genug startet
    Log-Analyse und Auswertung - 20.04.2011 (1)
  3. Wonach schaut ihr bei den Logs?
    Diskussionsforum - 07.09.2010 (1)
  4. Schaut euch bitte mal meine eScan find.bat an! So viele Viren?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (18)
  5. Kann sich jemand mal meine Logs anschauen, bitte.
    Mülltonne - 09.12.2008 (0)
  6. Sind meine Logs Ok???
    Mülltonne - 02.10.2008 (2)
  7. TR/Crypt.XPACK.Gen-Trojan: Bitte checkt meine logs
    Log-Analyse und Auswertung - 08.09.2008 (6)
  8. Könnte bitte jemand meine Logs prüfen? irgendetwas stimmt nicht
    Log-Analyse und Auswertung - 10.11.2007 (2)
  9. Könnte bitte jemand meine Logs prüfen? kein download mehr möglich
    Log-Analyse und Auswertung - 04.11.2007 (3)
  10. bitte prüfen meine logs
    Log-Analyse und Auswertung - 05.03.2006 (1)
  11. Bitte schaut euch meine Hijack log an.
    Log-Analyse und Auswertung - 30.01.2006 (4)
  12. Bitte meine Logs überprüfen...
    Log-Analyse und Auswertung - 15.11.2005 (1)
  13. kann bitte jemand mal meine logs prüfen
    Log-Analyse und Auswertung - 09.05.2005 (6)
  14. Bitte schaut euch meine Logfile mal an
    Log-Analyse und Auswertung - 27.04.2005 (10)
  15. kann einer bitte meine logs anschauen?
    Log-Analyse und Auswertung - 24.01.2005 (27)
  16. Blick in meine Logs
    Log-Analyse und Auswertung - 25.08.2004 (2)
  17. Schaut euch bitte mal meine Log an!
    Plagegeister aller Art und deren Bekämpfung - 07.06.2004 (14)

Zum Thema ...schaut mal bitte in meine Logs - Hi, hab alle Tools probiert, bekomm den Hijacker aber nicht weg. Kann mir einer helfen ? Hier mein Log: Logfile of HijackThis v1.98.2 Scan saved at 22:36:56, on 25.08.2004 Platform: - ...schaut mal bitte in meine Logs...
Archiv
Du betrachtest: ...schaut mal bitte in meine Logs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.