Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: bitte einmal übers hijack gucken...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.03.2009, 21:36   #1
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



also bezugnehmend auf das problem hier:
www.trojaner-board.de/70816-tr-crypt-pepm-gen.html

hab eich meine platte formatiert, aktuelles windows xp home mit sp3 draufgespielt, alle windowsupdates gemacht etc. nachdem ich fertig war mit soweit allem habe ich im abgesicherten modus vollsuche gemacht mit antivirus, dann komplettsuche mit spybot - search and destroy, dann im normalen modus spyware doctor vollsuche ( nicht im abgesicherten sondern im normalen weil programm sagt im abgesicherten wäre nicht zu empfehlen ) und dann noch, nachdem mir in nem anderen fred ( www.trojaner-board.de/71026-frage-zu-escan.html ) von escan ab und zu kaspersky - avp tool geraten wurde mit eben diesem auch nochmal gescannt.

bei allen programmen wurde nix gefunden.
( wie bereits gesagt immer vollsuche, also auch rootkits und so...)

um ganz sicher zu gehen habe ich aber nochmal nen hijack log gemacht und möchte euch bitten da mal drüber zu gucken, ob ich nun alles los bin.

vielen dank im voraus !

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:14:40, on 24.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
D:\Internet_downs\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-21-861567501-179605362-1801674531-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237867509278
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4049 bytes

Alt 24.03.2009, 22:04   #2
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



hab jetzt doch nochmal escan laufen lassen und da sind die ergebnisse scheinbar wieder weniger erfreulich - weiss das jetzt echt nicht mehr einzuschätzen bzw nciht mehr wieter, bräuchte dringend mal euren rat - hab ich jetzt noch was gefährliches drauf, bin ich infiziert, ode rmacht escan falschmeldungen ?

hier das log, wie immer zu gross zum direkten posten:

www.file-upload.net/download-1548256/eScan_neu.txt.html
__________________


Alt 24.03.2009, 22:09   #3
myrtille
/// TB-Ausbilder
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



Hi,

das Log ist soweit sauber, ich würd dir statt Spybot/Spyware Doctor eher Malwarebytes oder SUPERAntiSpyware empfehlen, aber das ist letzendlich deine Entscheidung. (Die beiden scannen afaik auch besser im normalen als im abgesicherten Modus).

Um zu testen ob alles was du installiert hast aktuell ist, kannst du noch secunia vorbeischauen und alles veraltete aktualisieren.

EDIT: Bzgl des eScan logs: Hast du Kaspersky vor Escan angewandt?

lg myrtille
__________________
__________________

Geändert von myrtille (24.03.2009 um 22:15 Uhr)

Alt 24.03.2009, 22:23   #4
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



ja, hab kaspersky vorher laufen lassen...

Alt 24.03.2009, 22:40   #5
myrtille
/// TB-Ausbilder
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



Bagle benutzt eine Datei, die ursprünglich von einem legitimen Programm stammt und auch von Kaspersky benutzt wird.

Wenn man also das Kaspersky Removal Tool laufen lässt, kann es sein, dass einige Programme danach Bagle auf dem Rechner finden. Das heißt nicht das der Rechner infiziert ist, da die Datei von Kaspersky kommt.

Der Rest sind Dateien die nicht geöffnet werden konnten, was zb dann der Fall ist wenn sie bereits von anderen Programmen geöffnet wurden, und bei den betroffenen Dateien auch unbedenklich ist.

Die lange Liste der 127.0.0.1 am Schluss stammt wahrscheinlich von Spybot, damit werden bösartige Webseiten unerreichbar.

Fazit: In dem Log ist eigentlich nichts beunruhigendes!

lg myrtille

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 24.03.2009, 23:42   #6
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



ok super danke - dann weiss ich ja jetzt, dass alles was ich auf den platten habe sauber ist - super, format edann nochmal jetzt die eine partition, setze windows endgültig neu auf und dann passt alles - also myrtille, danke für deine hilfe.

laufen uns siche rnoch das ein oder andere mal hier über den weg....

Alt 25.03.2009, 01:04   #7
myrtille
/// TB-Ausbilder
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



Na, ich hoffe mal, dass es zugunsten deiner Freizeit eher seltener sein wird.

Ich setz das dann mal als gelöst.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 25.03.2009, 22:29   #8
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



hey, kannste hier noch einmal drübe rgucken - ist final version - müsste aber alles ok sein eigentlich - thx

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:18, on 25.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spyware Doctor\pctsTray.exe
D:\Ablage\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.mwti.net/link.asp?pid=5BD
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4606 bytes

Alt 25.03.2009, 22:48   #9
myrtille
/// TB-Ausbilder
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



Sieht sauber aus. Wieso wurde das Log im abgesicherten Modus gemacht?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 26.03.2009, 10:14   #10
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



kein plan, hab irgendwo gelesen, dass man es da machen soll....

wieso, nicht gut?
soll ich nochmal eins im normalen modus machen ?

Alt 26.03.2009, 10:19   #11
myrtille
/// TB-Ausbilder
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



Nein, reine Neugier.
In der Regel werden Logs nur dann im abgesicherten gemacht, wenn der normale Modus nicht mehr zur Verfügung steht.

Wollte nur sichergehen, dass das bei dir nicht der Fall ist.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 26.03.2009, 12:41   #12
prantez
 
bitte einmal übers hijack gucken... - Standard

bitte einmal übers hijack gucken...



nönö. passts chon - dank dir !

Antwort

Themen zu bitte einmal übers hijack gucken...
abgesicherten modus, adobe, antivir guard, antivirus, avg, avgnt, avgnt.exe, avira, avp, bho, desktop, explorer, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, kaspersky, logfile, problem, programm, programme, security, software, spyware, system, tuneup.defrag, windows, windows xp



Ähnliche Themen: bitte einmal übers hijack gucken...


  1. Hijack logfile bitte einmal durchschauen
    Mülltonne - 08.07.2008 (0)
  2. bitte einmal mein Hijack prüfen
    Log-Analyse und Auswertung - 01.01.2008 (0)
  3. bitte mal gucken
    Log-Analyse und Auswertung - 01.08.2007 (1)
  4. bitte mal gucken
    Log-Analyse und Auswertung - 31.07.2007 (4)
  5. Bitte ma gucken
    Log-Analyse und Auswertung - 01.07.2007 (3)
  6. Bitte mal gucken...
    Mülltonne - 03.04.2007 (0)
  7. hijack.-log einmal bitte checken.
    Log-Analyse und Auswertung - 06.10.2006 (3)
  8. Bitte einmal drüber gucken
    Log-Analyse und Auswertung - 20.05.2006 (1)
  9. einmal gucken bitte!
    Log-Analyse und Auswertung - 10.04.2006 (3)
  10. Bitte mal gucken...
    Log-Analyse und Auswertung - 07.02.2006 (1)
  11. Bitte mal drauf gucken
    Log-Analyse und Auswertung - 05.02.2006 (2)
  12. Bitte mal durch gucken
    Log-Analyse und Auswertung - 24.06.2005 (0)
  13. Hijack This, bitte mal gucken.
    Log-Analyse und Auswertung - 13.03.2005 (5)
  14. Bitte mal gucken
    Log-Analyse und Auswertung - 20.02.2005 (10)
  15. Bitte mal drüber gucken!
    Log-Analyse und Auswertung - 20.11.2004 (3)
  16. bitte mal drueber gucken
    Log-Analyse und Auswertung - 18.11.2004 (5)
  17. Hijack-Log hier. Mal gucken bitte.
    Plagegeister aller Art und deren Bekämpfung - 06.06.2004 (2)

Zum Thema bitte einmal übers hijack gucken... - also bezugnehmend auf das problem hier: www.trojaner-board.de/70816-tr-crypt-pepm-gen.html hab eich meine platte formatiert, aktuelles windows xp home mit sp3 draufgespielt, alle windowsupdates gemacht etc. nachdem ich fertig war mit soweit allem - bitte einmal übers hijack gucken......
Archiv
Du betrachtest: bitte einmal übers hijack gucken... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.