Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HiJackThis-Log bitte überprüfen.... Trojaner etc.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 14.10.2004, 22:13   #1
meadchen
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



Hallo...

Ich hab ziemlich viele Probleme:
Der Trojaner Dldr.IstBar.PT geht einfach nicht weg! Ständig bekomme ich Meldungen von meinem AntiVirus-Programm. Der Worm Sdbot.39936.B ist auch nach jedem Neustart wieder auf dem PC und einige andere auch, z.B. Rbot.SC. Im TaskManager sind auch einige merkwürdige Prozesse: zB. stach.exe oder netstar.exe, löschen bringt nichts. Ich bin am verzweifeln..

Den HiJackThis-Log hab ich schon versucht über dieses Erkennungsprogramm im Internet auswerten zu lassen, hab auch alles gefixt, aber gebracht hat das irgendwie nichts?? Kenne mich auch nichts wirklich aus.. Ich hoffe, mir kann jemand helfen.

Hier ist mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:02:13, on 14.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wvsvc.exe
C:\WINDOWS\System32\winser32.exe
C:\WINDOWS\System32\winser32.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\AVPersonal\INETUPD.EXE
C:\WINDOWS\System32\winmon.exe
c:\netstar.exe
C:\WINDOWS\System32\crsss32.exe
c:\netstar.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\System32\winser32.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\System32\winmon32.exe
C:\WINDOWS\System32\winser32.exe
C:\WINDOWS\System32\sdin.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\netstar.exe
c:\netstar.exe
c:\netstar.exe
c:\netstar.exe
C:\unzipped\hijackthis1982[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOKUME~1\xxx\LOKALE~1\Temp\5.tmp.exe
O4 - HKLM\..\Run: [REGRUN] C:\arsetup.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\Run: [wvsvc] wvsvc.exe
O4 - HKLM\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [CRC Value Verifier] crsss32.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\Run: [SDIN Adapter] sdin.exe
O4 - HKLM\..\RunServices: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\RunServices: [wvsvc] wvsvc.exe
O4 - HKLM\..\RunServices: [Windows32 Serivces] winser32.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] crsss32.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\RunServices: [SDIN Adapter] sdin.exe
O4 - HKLM\..\RunOnce: [Windows Messenger] msmsgs.exe
O4 - HKLM\..\RunOnce: [SDIN Adapter] sdin.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Messenger] msmsgs.exe
O4 - HKCU\..\Run: [wvsvc] wvsvc.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\RunOnce: [Windows Messenger] msmsgs.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097783661809
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{35E976CA-C12F-4218-8D30-4F40ED422A15}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{525F9BA6-3B14-4DCA-BD96-561F931E4E2B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{35E976CA-C12F-4218-8D30-4F40ED422A15}: NameServer = 217.237.149.225 217.237.151.97

Alt 14.10.2004, 22:31   #2
Wattewuschel
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



hallo.

erstmal hast du eine ungepatchte version von win xp, geh mal auf windows update und bring dein windows auf den neuesten stand (sicherheitslücken flicken)

auch den internetexplorer würde ich mal auf updates überprüfen oder am besten auf einen sichereren alternativen browser (z.b. mozilla firefox) umsteigen.

hast du schon mal versucht, die sachen im abgesicherten modus zu fixen? guck auch mal, was sich alles beim systemstart so mit läd (ausführen - msconfig).
beende die laufenden prozesse im taskmanager und versuche dann das fixen.

schon adaware, spybot und so versucht?
__________________


Alt 14.10.2004, 23:07   #3
meadchen
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



danke erstmal für die schnelle antwort.

also.. das update mache ich gerade.

beim systemstart läd sich z.B. winmon, winmon32, msnmsng, wvsvc, winser32 mit. ich hab die jetzt deaktiviert aber das heißt ja nicht, dass die weg sind, oder?? also wie krieg ich die weg und was sind das überhaupt für dinger? ich blick nicht durch... *g*

sowas wie adaware etc. hab ich noch nicht probiert...
hab lediglich nen antivirenscanner, auch keine firewall oder so. kenn mich auch nicht mit sowas aus.
__________________

Alt 14.10.2004, 23:21   #4
MountainKing
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



Dein Rechner ist leider komplett verseucht mit Schädlingen, die einem Angreifer die Möglichkeit eröffnen, dein System völlig zu manipulieren und zu verändern.
Kleine Auswahl:

http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.RT
http://www.sophos.de/virusinfo/analy...2forbotap.html
http://de.trendmicro-europe.com/ente...e=WORM_RBOT.QQ

Daher gilt:

http://oschad.de/wiki/index.php/Kompromittierung

und als einzig vernünftige Lösung:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) keine alten Passworte wiederverwenden, sondern alle neu anlegen


Wie gesagt dürfte dein bisheriger Verzicht auf Updates eine der wesentlichen Ursachen sein, daher solltest du darauf achten, das regelmäßig zu tun und die Neuinstallation genau nach der Anleitung vornehmen.
Weitere sehr wichtige Erkenntnisse und umzusetzende Hinweise für die Zukunft findest du leichtverständlich hier:

http://www.mathematik.uni-marburg.de...ompromise.html

Alt 14.10.2004, 23:22   #5
Cidre
Administrator, a.D.
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



@ meadchen

Das Update kannst du dir zum jetzigen Zeitpunkt ersparen, denn dein Rechner ist dermassen mit Backdoor Trojaner durchseucht, dass zur deiner eigenen Sicherheit nur ein Neuaufsetzen deines System in Frage kommt.
Anleitung dazu findest du hier:
http://www.trojaner-board.de/showpos...28&postcount=2

EDIT:
MK war schneller.

__________________
Gruß, Cidre


Alt 14.10.2004, 23:24   #6
meadchen
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



vielen dank für die websites.
hab schon gemerkt, dass mein rechner total verseucht ist... ich wollte nur tortzdem alles versuchen, weil ich auf bestimmte dateien nicht verzichten wollte, die ich momentan auf meinem PC hab.. aber es lässt sich anscheinend nicht vermeiden =(

Alt 14.10.2004, 23:27   #7
MountainKing
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



Kannst du sie denn nicht sichern, auf CD, einer zweiten Partition o.A.?

huhu Cidre

Alt 14.10.2004, 23:28   #8
Wattewuschel
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



also durch winmon manifestiert sich der wurm W32/Agobot-KA.

msnmsng ist der wurm W32/Sdbot-PZ

das andere sind auch irgendwelche würmer.

formatieren ist wohl das beste/ einfachste.

welchen virenscanner verwendest du? wird der auch regelmäßig geupdatet?

und installiere eine firewall, wenn du dein system neu zusammengebastelt hast!

guck mal hier wegen ner firewall und evetuell einem besseren virenscanner (weiß ja nicht, was du grad hast):

http://www.trojaner-info.de/softwarecenter.shtml

Alt 14.10.2004, 23:33   #9
meadchen
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



@ MountainKing:

Um sie auf CD oder so zu sichern, sind es zu viele.. Naja, ich muss halt damit leben.

@ Wattewuschel:

Nein, ich habe die alle beim Systemstart (Ausführen - msconfig) deaktiviert.
Ich verwende den Virenscanner Luke Filewalker, Version 6... irgendwas, hab ihn erst heute geupdatet und der findet ja auch alle aber kann die nur löschen, überschreiben.. in ein Quarantäneverzeichnis legen oder sowas und dann kommen sie immer wieder.

Alt 14.10.2004, 23:51   #10
Wattewuschel
 
HiJackThis-Log bitte überprüfen.... Trojaner etc. - Standard

HiJackThis-Log bitte überprüfen.... Trojaner etc.



dieser luke filewalker ist das Antivir PE (H+BEDV), so nennt sich die scanfunktion. prüf einfach, was von deinen liebgewordenen programm wiederbeschaffbar ist, und wenn man 3-4 cds für die sicherung nimmt, was solls. sind doch inzwischen cent-artikel.

Antwort

Themen zu HiJackThis-Log bitte überprüfen.... Trojaner etc.
.inf, adapter, auswerten, dll, explorer, hijack, icq, internet, internet explorer, löschen, mein log, meinem, messenger, microsoft, monitor, msn, neustart, programme, prozesse, rundll, software, sun java, system, taskmanager, tcpip, temp, trojaner, windows, windows messenger, windows xp, windows32, worm



Ähnliche Themen: HiJackThis-Log bitte überprüfen.... Trojaner etc.


  1. Hijackthis log überprüfen bitte
    Log-Analyse und Auswertung - 17.10.2009 (1)
  2. Bitte HiJackThis Log überprüfen
    Log-Analyse und Auswertung - 04.09.2009 (1)
  3. Bitte überprüfen ! hijackthis
    Log-Analyse und Auswertung - 29.05.2009 (1)
  4. Bitte hijackthis-Log überprüfen
    Mülltonne - 28.12.2008 (0)
  5. HijackThis-Log bitte überprüfen
    Mülltonne - 11.11.2008 (0)
  6. Mal bitte HIjackthis überprüfen! thx
    Mülltonne - 29.06.2008 (0)
  7. HiJackThis Log BITTE überprüfen!!
    Mülltonne - 07.10.2007 (0)
  8. Bitte Hijackthis Log überprüfen!
    Log-Analyse und Auswertung - 28.07.2007 (4)
  9. Bitte HiJackthis Log überprüfen!!!
    Log-Analyse und Auswertung - 05.07.2007 (5)
  10. Bitte Hijackthis Log überprüfen
    Mülltonne - 08.03.2007 (7)
  11. Trojaner Swizzor - Bitte hijackthis log überprüfen
    Log-Analyse und Auswertung - 01.03.2007 (4)
  12. HijackThis Log bitte überprüfen
    Log-Analyse und Auswertung - 04.03.2006 (5)
  13. HiJackThis Log - Bitte überprüfen
    Log-Analyse und Auswertung - 03.03.2006 (3)
  14. HiJackThis Log - Bitte überprüfen
    Log-Analyse und Auswertung - 28.02.2006 (1)
  15. hijackthis log, bitte überprüfen
    Log-Analyse und Auswertung - 28.08.2005 (7)
  16. HiJackThis-Log - Bitte überprüfen
    Log-Analyse und Auswertung - 07.08.2005 (5)
  17. HijackThis Log - Bitte Überprüfen
    Log-Analyse und Auswertung - 13.06.2005 (3)

Zum Thema HiJackThis-Log bitte überprüfen.... Trojaner etc. - Hallo... Ich hab ziemlich viele Probleme: Der Trojaner Dldr.IstBar.PT geht einfach nicht weg! Ständig bekomme ich Meldungen von meinem AntiVirus-Programm. Der Worm Sdbot.39936.B ist auch nach jedem Neustart wieder auf - HiJackThis-Log bitte überprüfen.... Trojaner etc....
Archiv
Du betrachtest: HiJackThis-Log bitte überprüfen.... Trojaner etc. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.