Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Ich habe noch keine Erfahrung mit Hijack this

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.10.2004, 20:04   #1
theo-mann
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Hallo
in einem Netzwerk haben mehrere PCs probleme mit "Schädlingen". Ich habe mich in den letzten Tagen in das Trojaner-board eingelesen und möchte einen ersten Versuch machen.

Der PC hat das Betriebssystem WIN 98 SE. Nicht alle Updates von MS sind aufgespielt.

Ich habe entsprechend der im Board vorgeschlagenen Vorgehensweise einen Virenscan normal mit Symantec Antivirus (neuestes Virenupdate) durchgeführt.

Danach wurde im abgesicherten Modus mit neuestem Ad Aware 6.0.181 eine Scan gemacht die gefundenen 6 Data-Mining Cookies wurden entfernt. Ein weiterer Scan mit SpyBot ebenfalls im abgesicherten Modus und mit neuesten Updatestand durchgeführt und mit "No immediate Threats were found" beendet.

Danach wurde ein eScan nach Vorschlag (letztes Update, abgesicherter Modus durchgeführt mit folgendem Ergebnis:

File C:\IBMTOOLS\APPS\PCDR\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

File C:\Eigene Dateien\Privat\PalaceClient3_4_1setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Danach wurde ebenfalls im abgesch.Modus ein Hijack This gemacht.

Logfile of HijackThis v1.98.2
Scan saved at 19:56:00, on 22.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\AVM_UPDATE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.212.210:3128/ken.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.212.210:3128;https=192.168.212.210:3128;ftp=192.168.212.210:3128;socks=192.168.212.210:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253

Bitte unterstützt mich, damit ich dann auch in der Lage bin den z.Zt. noch in Scans befindlichen Übeltäter ( der PC legt im Netzt den KenServer lahm und trennt ihn von den übrigen PCs im Netz.

Alt 22.10.2004, 22:47   #2
*Christian*
Gast
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Dein Log schaut eigentlich sauber aus ...
__________________


Alt 22.10.2004, 22:58   #3
Passat2002
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



hi

kannst du eventuell auch ein logfile, vom vollbetrieb hier posten??
__________________
__________________

Alt 22.10.2004, 23:56   #4
Moskitoman
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Hi theo-mann!

Hab mal noch n bisschen rumgegoogelt, du solltest deshalb noch folgende Sache fixen:

O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF

VLG Moskitoman
__________________
"Man sieht nur mit dem Herzen gut. Das Wesentliche ist für die Augen unsichtbar."

(Antoine de Saint-Exupéry)

Alt 23.10.2004, 04:36   #5
Shadowdance
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Hallo theo-mann,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\INF\ZIBMACC.INF

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===@===

Arbeite nun bitte zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "ZIBMACC.INF-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===@===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===@===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

===@===

Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/den Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD


Alt 24.10.2004, 01:21   #6
theo-mann
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Hallo

zunächst möchte ich mich einmal herzlich für die erhaltene Hilfe bedanken.

Die Vorschläge von Shadowdance habe ich alle in der beschriebenen Reihenfolge abgearbeitet und den Eintrag über die datei "ZIPMACC.inf" ge-fixt.

Hier folgtder neueste HijackThis.log

Logfile of HijackThis v1.98.2
Scan saved at 02:05:26, on 24.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\KEN!\KENCLI.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\KEN!\KENTBCLI.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\HARDCOPY\HARDCOPY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\AVM_UPDATE\AVTOOLS\HIJACK\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253


Die Emails mit den restlichern Daten folgen morgen bzw. heute , denn es ist inzwischen Sonntag 2:30 und der morgige Tag wird lang denn es sind noch weitere 5 PCs zu fixen.

mfg

theo-mann

Geändert von theo-mann (24.10.2004 um 17:33 Uhr)

Alt 25.10.2004, 01:37   #7
Shadowdance
 
Ich habe noch keine Erfahrung mit Hijack this - Standard

Ich habe noch keine Erfahrung mit Hijack this



Hallo theo-mann,

da ich nicht weiß, welche Programme auf Deinem/Eurem System laufen, gebe ich Dir den Link zur automatischen Auswertung. Es sind noch ein paar gelbe Fragezeichen in Deinem Logfile, die unbekannte Programme/Einträge betreffen. Ob Du sie mit Hijack This (Häk'chen setzen und auf fix checked klicken) fixed, liegt an Dir, bzw. daran, ob Du die Programme/Einträge kennst/brauchst: die automatische Auswertung - bitte das Logfile mittels copy&paste dort hineinkopieren. Ich gebe Dir den Link zur HijackThis Anleitung in deutsch: hier erfährst Du, was Du bearbeitest.

Wenn Du Programme/Einträge fixed, dann bitte im abgesicherten Modus, offline. Prozesse musst Du ausserdem beenden und den Pfad dann löschen.

Zitat:
Danach wurde ein eScan nach Vorschlag (letztes Update, abgesicherter Modus durchgeführt mit folgendem Ergebnis:

File C:\IBMTOOLS\APPS\PCDR\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

File C:\Eigene Dateien\Privat\PalaceClient3_4_1setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Es sind keine Viren, die Du auf dem System hast. Solltest Du die Dateien trotzdem vom System entfernen wollen, was nicht notwenig ist, kannst Du so vorgehen: "öffne die mwav.log (im Ordner c:\bases) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Dass dazu diese Funktionen aktiviert bzw. abgeschaltet sein sollten, dürfte bekannt sein: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Es gibt übrigens Browser, die mindestens so gut sind wie der IE, aber wesentlich sicherer:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.

Viel Erfolg.
SD

Antwort

Themen zu Ich habe noch keine Erfahrung mit Hijack this
.html, abgesicherten modus, ad aware, adobe, antivirus, antivirus scan, bho, dateien, email, escan, explorer, ftp, hijack, hijack this, hijackthis, internet, internet explorer, lahm, mehrere, microsoft, netzwerk, programme, registry, rundll, rundll.exe, scan, schädlinge, software, symantec, trojaner-board, updates, windows



Ähnliche Themen: Ich habe noch keine Erfahrung mit Hijack this


  1. Ich, (weiblich .und habe eigentlich keine Ahnung ;) habe mir Keylogger und änliches eingefangen
    Plagegeister aller Art und deren Bekämpfung - 01.03.2013 (3)
  2. HIJACK - auf NETBOOK - und noch - oder nicht mehr? - Habe bereits viele Scans aber kaum Aufzeichnung
    Log-Analyse und Auswertung - 11.07.2012 (29)
  3. Keine Antwort...bei HiJack Forum
    Diskussionsforum - 30.12.2010 (3)
  4. Habe mir etwas eingefangen, anbei HIJACK
    Diskussionsforum - 11.05.2010 (1)
  5. HiJack Logfile - Habe ich noch einen Virus auf meinem PC?
    Log-Analyse und Auswertung - 10.05.2010 (3)
  6. laut Hijack This habe ich keine Firewall und kein Antivirenprogramm ...
    Antiviren-, Firewall- und andere Schutzprogramme - 09.12.2009 (1)
  7. My Hijack Log, Habe Problem mit urlseek
    Mülltonne - 14.05.2008 (0)
  8. Hijack-Logfile / keine gute Systemperformance
    Log-Analyse und Auswertung - 13.02.2008 (0)
  9. Hijack - Virtumonde noch da?
    Mülltonne - 03.02.2008 (0)
  10. Immer noch Pop-Ups nach Hijack und Norton
    Log-Analyse und Auswertung - 23.03.2006 (8)
  11. hab nen hijack log: könnt ihr mir sagen ob i nen trojaner habe???
    Log-Analyse und Auswertung - 07.08.2005 (7)
  12. Hijack LOG, habe Problem _VWUPSRV.EXE
    Log-Analyse und Auswertung - 29.05.2005 (3)
  13. Hijack-log: Habe Trojaner/Startpage.qr !!
    Log-Analyse und Auswertung - 09.02.2005 (3)
  14. Habe keine Ahnung von Viren, o.ä. und habe ein Problem mit about:blank als Startseite
    Plagegeister aller Art und deren Bekämpfung - 01.02.2005 (8)
  15. Neu hier,und noch keine Erfahrung mit Hijack
    Log-Analyse und Auswertung - 26.01.2005 (12)
  16. keine Erfahrung mit Auswertung HiJack, wer kann helfen?
    Log-Analyse und Auswertung - 24.10.2004 (5)
  17. Keine Internetverbindung nach Hijack Kill!
    Log-Analyse und Auswertung - 27.06.2004 (19)

Zum Thema Ich habe noch keine Erfahrung mit Hijack this - Hallo in einem Netzwerk haben mehrere PCs probleme mit "Schädlingen". Ich habe mich in den letzten Tagen in das Trojaner-board eingelesen und möchte einen ersten Versuch machen. Der PC hat - Ich habe noch keine Erfahrung mit Hijack this...
Archiv
Du betrachtest: Ich habe noch keine Erfahrung mit Hijack this auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.