Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 24.04.2009, 09:28   #1
Ela36
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



von meinem Freund der Sohn hat grosse Probleme mit seinem PC und da ich hier schon desöfteren hilfreiche tipps erlesen konnte nur wir leider nicht weiterkommen bräuchte ich mal eure hilfe .... wir haben den Hijack mal rüber laufen lassen und ich stelle es hier rein *ich hoffe ich mache es nun richtig*




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:11:15, on 24.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\chbu.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winknmqxx.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\nunmv.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\siaj.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\uambog.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winfpmdgb.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Thomas\LOKALE~1\Temp\xsdu.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winlvbuoi.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\pylux.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winlfcsc.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\axasna.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\jtud.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wingatsf.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\xnsy.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\qlekq.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\leljy.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\urvc.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\dgsnt.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winfeiyi.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winmrwau.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winebglw.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winuwqgeb.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\sino.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\rkkk.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wincxbxm.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winvyjbl.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winhnroj.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winngsfa.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winjwln.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [wgskasc] "c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\wgskasc.exe" wgskasc
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6131 bytes

Alt 24.04.2009, 10:51   #2
Angel21
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



Hallöchen,

du hast W32/sality drauf, dies ist ein Fileinfector.
Hier sind Infos zu diesem: Eset - Win32/Sality.NAJ
Eset - Win32/Sality.NAO

Ich muss dich darauf hinweisen, dass deine Passwörter ausgelesen wurden.
Externe Speichermedien wie USB-Sticks, ext. Festplatten und Co sind wahrscheinlich auch infiziert.
Der Sality legt ein Autorun.inf an auf die Sticks und Festplatten. Beim Formatieren von diesen bitte die SHIFT-Taste beim Einstecken der Sticks oder Festplatten gedrückt halten um den Autostart zu vermeiden.

Jeder Rechner der mit diesem Fileinfector in Kontakt getreten ist durch an/abstecken der ext. Speichermedien sollte auf Sality überprüft werden.

Hier eine genau Anleitung zum Neu Aufsetzen des Rechners: http://www.trojaner-board.de/51262-a...sicherung.html

Zudem hattest du noch Navipromo drauf, an diesem Eintrag zu erkennen:
Zitat:
O4 - HKCU\..\Run: [wgskasc] "c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\wgskasc.exe" wgskasc
Infos dazu hier: Navipromo ist zurück
__________________

__________________

Alt 24.04.2009, 19:55   #3
Ela36
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



ich bedanke mich erstmal für die schnelle antwort und ich werde es so weitergeben
__________________

Alt 24.04.2009, 19:58   #4
Angel21
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



Lade bitte folgende Datein bei uns gemäß dieser Anleitung http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.

Zitat:
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winmrwau.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winebglw.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\winuwqgeb.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\sino.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\rkkk.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\wincxbxm.exe
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 24.04.2009, 21:18   #5
Ela36
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



ich habe bis eben drangesessen um euch die dateien zu schicken ist gar nicht so einfach die zu finden vor allem wenn man vorher nicht weiss wo die exe dateien hingehören jedenfalls haben wir nun gesehen das sie alle zum programm TeamViewer gehören und der ist clean........ diesen Fileinfector bekomme ich den auch irgendwie anders vom pc runter oder muss der komplett platt gemacht werden und neuaufsetzen ???


Geändert von Ela36 (24.04.2009 um 21:25 Uhr)

Alt 24.04.2009, 21:35   #6
myrtille
/// TB-Ausbilder
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



Hi,

es würde mich sehr wundern, wenn die Dateien zu Teamviewer gehören. Könntest du sie bitte trotzdem hochladen?

Die Dateinamen sind etwas unglücklich, ausgeschrieben lautet der Ordner:
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp

Dort die Dateien suchen.
Danke.

lg myrtille
__________________
--> Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*

Alt 24.04.2009, 21:38   #7
Ela36
 
Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - Standard

Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*



ja genau so heisst der ordner und dort sitzt auch das programm TeamViewer drinne sobald ich wieder zugriff auf seinem pc habe schicke ich euch die dateien rüber .... ich selbst habe das programm ja auch und habe mal bei mir geschaut und bei mir ist es auch im gleichen ordner drinne .... alles klar ich habe es gefunden hast recht es gehört nicht zum programm habe mal den gleichen weg an meinem pc durchgeführt und da fand ich den ordner lokale einstellungen den ich bei thomas nicht fand obwohl ich die versteckten freigab ... wie gesagt sobald ich wieder zugriff habe schicke ich euch die dateien rüber ..... sorry mein fehler und danke das ihr so viel zeit für uns überhabt um lösungen zu finden .... *mir peinlich ist *

Geändert von Ela36 (24.04.2009 um 21:46 Uhr)

Antwort

Themen zu Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*
adobe, antivir, avg, avgnt, avgnt.exe, avira, bho, einstellungen, explorer, google, hijack, hijackthis, hijackthis log-file, hkus\s-1-5-18, home, internet, internet explorer, log-file, nvidia, object, programme, rundll, software, system, temp, thomas, windows, windows xp



Ähnliche Themen: Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*


  1. Bitte schaut euch mal mein Log an
    Log-Analyse und Auswertung - 28.01.2009 (2)
  2. Bitte schaut es euch mal an..
    Log-Analyse und Auswertung - 15.09.2008 (2)
  3. Bitte schaut euch dieses HiJackThis Log-File an
    Log-Analyse und Auswertung - 14.07.2008 (6)
  4. Bitte schaut euch die Log an (Notebook)
    Log-Analyse und Auswertung - 23.04.2007 (2)
  5. Bitte um Hilfe - schaut euch mal das Log an
    Log-Analyse und Auswertung - 09.02.2007 (1)
  6. Bitte schaut doch einmal nach: HiJackThis Log-File
    Log-Analyse und Auswertung - 19.10.2006 (1)
  7. schaut euch doch mal bitte drüber: LOG-FILE
    Log-Analyse und Auswertung - 23.03.2006 (3)
  8. schaut euch das bitte mal an!
    Log-Analyse und Auswertung - 07.03.2006 (1)
  9. Schaut euch diese mal bitte an
    Log-Analyse und Auswertung - 13.11.2005 (1)
  10. bitte schaut doch mal über mein HiJackThis Log-file
    Log-Analyse und Auswertung - 07.11.2005 (9)
  11. Bitte schaut euch das mal an !
    Log-Analyse und Auswertung - 08.08.2005 (6)
  12. Bitte schaut euch mal meinen HJT an
    Log-Analyse und Auswertung - 29.07.2005 (7)
  13. schaut euch das bitte mal an
    Log-Analyse und Auswertung - 08.04.2005 (1)
  14. bitte schaut euch das mal an
    Log-Analyse und Auswertung - 13.03.2005 (16)
  15. schaut euch das mal bitte an
    Log-Analyse und Auswertung - 12.03.2005 (3)
  16. Bitte schaut euch das mal an...
    Log-Analyse und Auswertung - 15.02.2005 (6)
  17. Schaut euch das bitte mal an
    Log-Analyse und Auswertung - 05.11.2004 (3)

Zum Thema Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* - von meinem Freund der Sohn hat grosse Probleme mit seinem PC und da ich hier schon desöfteren hilfreiche tipps erlesen konnte nur wir leider nicht weiterkommen bräuchte ich mal eure - Bitte schaut euch mal das HiJackThis Log-File an *Wichtig*...
Archiv
Du betrachtest: Bitte schaut euch mal das HiJackThis Log-File an *Wichtig* auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.