Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijackthis Logfile auswertung <--- trojaner ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.06.2010, 19:36   #1
ancient
 
Hijackthis Logfile auswertung <--- trojaner ? - Standard

Hijackthis Logfile auswertung <--- trojaner ?



guten abend


ich habe 1 komische process gefunden heisst server wenn ich den schliesse
öffnet er sich wieder
mein msn kontakte wurden gelöscht alle sämtliche email wurden gelöscht auch mein Ftp server da stimmt was nicht

HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:34:38, on 04.06.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\imapi.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\No-IP\DUC20.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\User\LOKALE~1\Temp\wexplorer.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.icq.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe
O4 - HKLM\..\Run: [windows.exe] C:\WINDOWS\server.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe
O4 - HKCU\..\Run: [wexplorer] C:\DOKUME~1\User\LOKALE~1\Temp\wexplorer.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\server.exe
O8 - Extra context menu item: &Suche im Duden - res://C:\Programme\Duden-Suche Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{886D74F0-BB72-4143-9C42-D9733159882C}: NameServer = 195.186.1.111,195.186.4.111
O18 - Protocol: {ms-its,ms-itss,its,mk} - (no CLSID) - (no file)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4153 bytes
         
--- --- ---

Alt 04.06.2010, 21:07   #2
Larusso
/// Selecta Jahrusso
 
Hijackthis Logfile auswertung <--- trojaner ? - Standard

Hijackthis Logfile auswertung <--- trojaner ?





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Bitte keine Code Tags.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Temp File Cleaner

Downloade Dir bitte TFC ( von Oldtimer ) und speichere die Datei auf dem Desktop.
Schließe nun alle offenen Programme und trenne Dich von dem Internet.
Doppelklick auf die TFC.exe
Sollte TFC nicht alle Dateien löschen können wird es einen Neustart verlangen. Dies bitte zulassen.


Schritt 2

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extras.txt
__________________

__________________

Alt 05.06.2010, 19:04   #3
ancient
 
Hijackthis Logfile auswertung <--- trojaner ? - Standard

Hijackthis Logfile auswertung <--- trojaner ?



so otl 2 sind in 2 txt daten drin
__________________
Angehängte Dateien
Dateityp: txt Extras.Txt (36,0 KB, 255x aufgerufen)
Dateityp: txt OTL.Txt (91,9 KB, 240x aufgerufen)
Dateityp: txt OTL2.txt (6,7 KB, 196x aufgerufen)

Alt 05.06.2010, 19:16   #4
Larusso
/// Selecta Jahrusso
 
Hijackthis Logfile auswertung <--- trojaner ? - Standard

Hijackthis Logfile auswertung <--- trojaner ?



Note: Ich muss gleich arbeiten fahren

Schritt 1
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
PRC - [2010.06.05 00:31:08 | 000,066,048 | ---- | M] () -- C:\WINDOWS\server.exe
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}"
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe ()
O4 - HKLM..\Run: [windows.exe] C:\WINDOWS\server.exe ()
O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe ()
O4 - HKCU..\Run: [wexplorer] C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\wexplorer.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\install\server.exe ()
O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
[2010.05.09 14:40:35 | 000,000,000 | -H-D | C] -- C:\WINDOWS\sdfsdfsdfssf
[2010.06.05 18:47:41 | 000,057,505 | -H-- | M] () -- C:\Dokumente und Einstellungen\User\Anwendungsdaten\cglogs.dat
[2010.06.05 18:47:17 | 000,029,148 | ---- | M] () -- C:\WINDOWS\server
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
:services
:files
C:\WINDOWS\system32\install

:reg
:Commands
[purity]
[emptytemp]
[reboot]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • Klick auf .
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread


Schritt 2

Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Gmer ist geeignet für => NT/W2K/XP/VISTA.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf "Save" und speichere das Log als "Gmer.txt" auf dem Desktop, Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Schritt 3

Starte bitte OTL.exe und klicke auf den Quick Scan Button.

Bitte poste in Deiner nächsten Antwort
OTL.txt
Gmer.txt
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu Hijackthis Logfile auswertung <--- trojaner ?
adobe, bho, email, excel, explorer, firefox, ftp, hijack, hijackthis, hijackthis logfile, internet, internet explorer, logfile, logfile auswertung, mozilla, no-ip, pdf, programme, server, software, system, temp, trojaner, trojaner ?, windows, windows xp



Ähnliche Themen: Hijackthis Logfile auswertung <--- trojaner ?


  1. Hijackthis Logfile auswertung
    Log-Analyse und Auswertung - 29.06.2012 (1)
  2. Hijackthis Logfile auswertung
    Log-Analyse und Auswertung - 11.10.2010 (2)
  3. HijackThis LogFile Auswertung
    Log-Analyse und Auswertung - 13.06.2008 (1)
  4. Auswertung Hijackthis Logfile
    Log-Analyse und Auswertung - 24.05.2008 (16)
  5. Bitte um HiJackThis Logfile auswertung
    Log-Analyse und Auswertung - 30.04.2008 (14)
  6. Bitte um HiJackThis Logfile auswertung
    Mülltonne - 29.04.2008 (0)
  7. Logfile of HijackThis-Auswertung
    Plagegeister aller Art und deren Bekämpfung - 13.03.2008 (29)
  8. Bitte um Auswertung von HiJackThis-Logfile
    Log-Analyse und Auswertung - 23.02.2008 (9)
  9. Bitte um Hijackthis Logfile auswertung
    Log-Analyse und Auswertung - 16.02.2008 (8)
  10. Bitte um Hijackthis-Logfile Auswertung
    Log-Analyse und Auswertung - 23.12.2007 (0)
  11. HiJackThis Logfile - Bitte auswertung!
    Log-Analyse und Auswertung - 30.10.2007 (1)
  12. Hijackthis und Escan Logfile auswertung
    Log-Analyse und Auswertung - 19.07.2007 (10)
  13. HiJackThis logfile auswertung--> ständig viren/trojaner/wurm meldungen
    Log-Analyse und Auswertung - 27.10.2006 (1)
  14. HijackThis Logfile - Auswertung
    Mülltonne - 25.08.2005 (3)
  15. HijackThis Logfile - Auswertung
    Log-Analyse und Auswertung - 23.08.2005 (3)
  16. Auswertung logfile HijackThis
    Log-Analyse und Auswertung - 06.01.2005 (7)
  17. Hilfe bei Auswertung von hijackthis logfile
    Log-Analyse und Auswertung - 17.12.2004 (2)

Zum Thema Hijackthis Logfile auswertung <--- trojaner ? - guten abend ich habe 1 komische process gefunden heisst server wenn ich den schliesse öffnet er sich wieder mein msn kontakte wurden gelöscht alle sämtliche email wurden gelöscht auch mein - Hijackthis Logfile auswertung <--- trojaner ?...
Archiv
Du betrachtest: Hijackthis Logfile auswertung <--- trojaner ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.