| |
| |||||||
Log-Analyse und Auswertung: Neu hier,und noch keine Erfahrung mit HijackWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
30.10.2004, 13:29
| #1 |
| |  Neu hier,und noch keine Erfahrung mit Hijack Hallo, nach dem meine Festplatte den Geist aufgab und ich win xp neu ins. Nach dem ich online ging und mir einige Sicherheitstools geladen hatte (Antivir,Spybot,Trojanhunter,Ad-aware6) fand ich mehr als 50 Tro.,Vir.,Würmer usw. Nun mal ne Frage an die Profis hier,z.Z.läuft mein PC schnell und gut,finde auch mit den oben benannten Programmen so gut wie nix mehr,ich traue aber dem Frieden nicht,deshalb hier mein Logfile,und füpr eine Auswertung ob ich noch was löschen sollte wäre ich sehr dankbar,Gruß Bahiano Logfile of HijackThis v1.98.2 Scan saved at 14:09:32, on 30.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\updatetc.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Uwe Sauder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ENQNI1IB\hijackthis_198[1]\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - (no file) O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\Run: [Local Service] runddl32.exe O4 - HKLM\..\Run: [Windows Compliant] ntbkrh.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe" O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe O4 - HKLM\..\RunServices: [Local Service] runddl32.exe O4 - HKLM\..\RunServices: [Windows Compliant] ntbkrh.exe O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Local Service] runddl32.exe O4 - HKCU\..\Run: [Windows Compliant] ntbkrh.exe O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...47fc1a7f1aedfb O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098287619503 O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{FE02A784-8097-4C15-8A8E-882495F49D2C}: NameServer = 217.237.150.33 217.237.151.161 |
|
30.10.2004, 15:03
| #2 |
   | Neu hier,und noch keine Erfahrung mit Hijack Leider ist dein Rechner völlig verseucht, zum Teil mit Backdoorprogrammen, die die Manipulation deines Systems ermöglichen. Fast alle deine Starteinträge gehören zu Schädlingen, du kannst sie ja mal spaßeshalber bei Google suchen. Das liegt daran, dass du nach der Neuinstallation dein System nicht ordentlich abgesichert oder wahlweise offline gepatched hast, bevor du online gegangen bist. Das Beste wäre daher eine erneute Neuinstallation, allerdings unter strikter Beachtung der folgenden Anleitung:
__________________http://board.protecus.de/showtopic.p...me=1097944155& |
|
30.10.2004, 15:21
| #3 |
 | Neu hier,und noch keine Erfahrung mit Hijack So bin wieder zurück
__________________ und hier meinen Kommentar MountainKing hat leider recht  dein gesamtes System ist korrumpiert.Zum Spass liste ich mal all das auf was PFUI ist... Der Prozess C:\WINDOWS\updatetc.exe ist auch Pfui... sämtliche Einträge mit diesem Link : R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php dann sämtliche Einträge in denen Du u.g. findest in selber und/oder ähnlicher Form O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\Run: [Local Service] runddl32.exe (Kommentar : die Richtige heißt rundll...) O4 - HKLM\..\Run: [Windows Compliant] ntbkrh.exe O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe Dazu kommt dass viele Einträge lediglich Platzverschwendung sind... Mein Zusatzrat zu dem von MountainKing (Huhu erstmal !) SÄMTLICHE Passwörter schleunigt ändern. Tu es einfach.  Gruß Andy
__________________ |
|
30.10.2004, 15:21
| #4 |
| | Neu hier,und noch keine Erfahrung mit Hijack Logfile of HijackThis v1.98.2 Scan saved at 16:19:00, on 30.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Uwe Sauder\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ENQNI1IB\hijackthis_198[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Local Service] runddl32.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 4.0\THGuard.exe" O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Local Service] runddl32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Local Service] runddl32.exe O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098287619503 O17 - HKLM\System\CCS\Services\Tcpip\..\{FE02A784-8097-4C15-8A8E-882495F49D2C}: NameServer = 217.237.150.33 217.237.151.161 Dat sieht doch nun glaube ich viel besser aus oder? Nur noch 3 Sachen mit ? wo ich nicht weiß wat machen mit Gruß Bahiano |
|
30.10.2004, 15:33
| #5 |
| | Neu hier,und noch keine Erfahrung mit Hijack Setz Deinen Rechner neu auf. Es gibt keine Alternative. Cobra |
|
30.10.2004, 15:40
| #6 |
| | Neu hier,und noch keine Erfahrung mit Hijack Auch wenn ich nun alles runter habe was geht??? http://www.hijackthis.de/index.php findet nix mehr auser den grünen Häkchen |
|
30.10.2004, 15:54
| #7 |
| | Neu hier,und noch keine Erfahrung mit Hijack Natürlich auch dann. Mach Dir bitte bewußt, daß ein Backdoor-Befall nicht allein Dein Problem ist, sondern potentiell viele betreffen kann. Mach Dir auch bewußt, daß dieser Befall Dich in erhebliche finanzielle und rechtliche Schwierigkeiten bringen kann. Und werde Dir letztlich darüber im klaren, daß kein Tool existiert, das diese Kompromittierung wirklich verläßlich aufspüren könnte. Cobra |
|
30.10.2004, 15:59
| #8 |
| | Neu hier,und noch keine Erfahrung mit Hijack Huhu Andy @ Bahiano Du hast auch noch nicht alles runter: O4 - HKLM\..\Run: [Local Service] runddl32.exe Das Problem ist, dass eine Zeitlang dein Rechner von außen manipulierbar war/ist und Schädlinge so versteckt sein können, dass sie in den Logs diverser Programme oder auch bei Virenscannern nicht ohne Weiteres auftauchen. Deswegen können diese Programme keine 100%ige Sicherheit garantieren, das geht auf dem schnellsten Wege durch eine Neuinstalllation. |
|
| Themen zu Neu hier,und noch keine Erfahrung mit Hijack |
| ad-aware, antivir, auswertung, avg, bho, content.ie5, einstellungen, explorer, festplatte, frage, hijack, hijackthis, internet, internet explorer, logfile, löschen, microsoft, neu, outlook express, programme, software, system, system32, t-online, tcpip, update, windows, windows media player, windows xp |
Hybrid-Darstellung
