| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus, Trojaner oder einfach nur DAU in Verzweiflung? Bitte Hilfe bei HiJackThis LogWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2004, 19:15
| #1 |
| |  Virus, Trojaner oder einfach nur DAU in Verzweiflung? Bitte Hilfe bei HiJackThis Log Hi @ all, bis dato war ich hier im Board immer nur ein Leser, da ich mangles Wissen eh wenig helfen konnte. Aber jetzt kriege ich langsam graue Haare. Kurz die Vorgeschichte: ich habe ein kleines Netzwerk bestehend aus 2 Win2K Rechnern, die beide über einen DrayTek Router ins Internet gehen. Auf dem Hauptrechner ist der IE 'deinstalliert', Mozilla, AntiVir und AdAware sind installiert. Auf dem Nebenrechner ist nur AntiVir installiert, IE wird zum Browsen genutzt. An der Router-Firewall ist nur das nötigste geblockt, da ich mich damit nicht auskenne (hat ein Bekannter gemacht). Der Router dient Hauptsächlich als Dialer-Blocker  Seit kurzem habe ich das Problem, das der Hauptrechner kurz nach Benutzeranmeldung, aber vor erscheinen der Desktop-Icons eine Internet-Verbindung aufbaut. Soll er nicht, darf er nicht, also begab ich mich auf die Suche nach dem Auslöser. Gefunden habe ich ihn immer noch nicht, obwohl ich alles mögliche und unmögliche (für einen Dau [img]smile.gif[/img] ) angestellt habe. Ich habe die AntiVir und McAffe OnlineScan laufen lassen, unterschiedlichsten Firewalls installiert und wieder deinstalliert (ZoneAlarm, Tiny, SyGate), im Moment läuft die Kerio. Hilft nichts. Ich habe den Process Explorer von SysInternals installiert, Spybot und jetzt halt auch HiJackThis. Bei SpyBot und Process Explorer ist mir jetzt nichts ungewöhnliches aufgefallen, bei dem HijackThis Protokoll bin ich ein wenig überfordert  Es wäre also sehr, sehr lieb, wenn mir jemand helfen könnte, das Protokoll auszuwerten. Hauptsächlich geht es mir natürlich um den Auslöser der Anwahl. Hier also das Protokol: Logfile of HijackThis v1.97.7 Scan saved at 19:45:46, on 15.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\CTsvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\CTHELPER.EXE C:\Programme\CloneCD\CloneCDTray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\mozilla\Mozilla\mozilla.exe C:\temp\Downloads\Programme\Firewalls\reg cleaner\reg überwachung\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0FFDA984-D647-4B5F-8D78-CDBBF763DEDD}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{0FFDA984-D647-4B5F-8D78-CDBBF763DEDD}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{0FFDA984-D647-4B5F-8D78-CDBBF763DEDD}: NameServer = 192.168.1.1 und schon mal ein dickes Danke im voraus. Viele Grüße Blue P.S. ich vergass doch glatt zu erwähnen, das die InternetVerbindung mittlerweile immer früher erstellt wird, mittlerweile schon direkt nach dem öffnen der Benutzeranmeldung - ohne das eine Eingabe erfolgt ist. Geschweige denn eine Anmeldung.... |
| Themen zu Virus, Trojaner oder einfach nur DAU in Verzweiflung? Bitte Hilfe bei HiJackThis Log |
| .inf, acrobat, adobe, antivir, bho, browse, button, danke, escan, explorer, helfen, hijack, icq, internet, internet explorer, langsam, microsoft, mozilla, netzwerk, nicht, object, problem, programme, router, shockwave, software, suche, system, system32, tcpip, temp, windows |
Baum-Darstellung