| |
| |||||||
Log-Analyse und Auswertung: Der nächste, bitte ...Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.09.2004, 11:50
| #1 |
| |  Der nächste, bitte ... (logfile checken) Moin moin, zuerst einmal ein herzliches Dankeschön an alle, die in diesem Forum viren-, wurm-, und hijack-geplagten Usern helfen. Allein durch Lesen der Beiträge bin ich bei der Erkennung und Beseitigung der Malware auf meinem Rechner schon ein gutes Stück vorangekommen (hoffe ich jedenfalls). Ursprünglich wurde die Startseite meines IE verändert und bei Eingabe einer URL ohne vorangestelltes http:// immer zu 'heretofind.com' umgeleitet. Dieses Problem habe ich mithilfe von e-scan und hjt in der neuesten Version zumindest vorübergehend gefixt. Nach einiger Zeit tauchen in der Registry aber immer wieder die Verweise auf die inzwischen gelöschten Dateien wuam.exe, PDSched.exe, IEXPLORE.EXE, ati2vid.exe, winamp.exe und lsas.exe auf. Es muss also noch mindestens einen bösen Prozess geben, der im Hintergrund immer wieder versucht die Registry zu ändern. Wäre super, wenn jemand einmal einen Blick auf das Logfile werfen könnte: Logfile of HijackThis v1.98.2 Scan saved at 11:31:22, on 16.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\ibmpmsvc.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\drivers\trcboot.exe C:\Program Files\IBM\Personal Communications\PCS_AGNT.EXE C:\Program Files\NavNT\defwatch.exe C:\Program Files\C4ebreg\isamsmt.exe c:\sdwork\issimsvc.exe C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE C:\Program Files\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\Drivers\ldlcserv.exe C:\WINNT\system32\MsgSys.EXE C:\Program Files\NavNT\vptray.exe C:\WINNT\system32\ltmsg.exe C:\WINNT\system32\S3Tray2.exe C:\WINNT\system32\tp4serv.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\WINNT\system32\PRPCUI.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe C:\Program Files\Lexmark X6100 Series\lxbfbmon.exe C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe C:\WINNT\system32\internat.exe C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe C:\WINNT\explorer.exe C:\Programme\Outlook Express\msimn.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Sony\SonicStage\Omgjbox.exe C:\Program Files\c4ebreg\c4ebreg.exe C:\WINNT\system32\taskmgr.exe E:\Download\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iamapp] "C:\Program Files\Symantec_Desktop_Firewall\IAMAPP.EXE" O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\c4ebreg\c4ebreg.exe" /q O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe" O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9 O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [ConfigSafe] C:\CFGSAFE\NTFSCLUP.EXE O4 - HKLM\..\Run: [CSScheduleCheck] C:\CFGSAFE\SCHWIZEX.EXE -CHECK O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Lexmark X6100 Series] "C:\Program Files\Lexmark X6100 Series\lxbfbmgr.exe" O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [TerraTec Scheduler] C:\Program Files\Common Files\TerraTec\Scheduler\TTTimer.exe O4 - HKLM\..\Run: [TerraTec Remote Control] C:\Program Files\Common Files\TerraTec\Remote\TTTVRC.exe O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\Run: [Microsoft Update] winamp.exe O4 - HKLM\..\Run: [WindowsRegKey update] WINUPDATE.EXE O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe O4 - HKLM\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKLM\..\RunServices: [Microsoft Update] winamp.exe O4 - HKLM\..\RunServices: [WindowsRegKey update] WINUPDATE.EXE O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [WindowsRegKey update] WINUPDATE.EXE O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE O4 - HKCU\..\Run: [ATI VIDEO REGKEY] ati2vid.exe O4 - HKCU\..\Run: [Microsoft Update] winamp.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/208c58cc...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DAB7EE-A2CC-4F49-B695-4A414147DDBA}: NameServer = 217.237.150.225 217.237.150.141 Eine Bemerkung noch: berufsbedingt MUSS ich den IE einsetzen, Browserwechsel ist in meinem Fall also keine Option für die Zukunft  Viele Grüße und schon einmal besten Dank Joschmd Geändert von Joschmd (16.09.2004 um 14:27 Uhr) |
| Themen zu Der nächste, bitte ... |
| ad-aware, adobe, beseitigung, bho, desktop, download, drivers, excel, explorer, firewall, hijackthis, hilfe, hotkey, iexplore.exe, immer wieder, internet, internet explorer, logfile, malware, meinem, microsoft, outlook express, problem, programme, prozess, registry, remote control, super, symantec, system, tcpip, verweise, windows |
Baum-Darstellung