Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Log auswerten

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 02.11.2004, 00:44   #1
steveman
 

Log auswerten - Standard

Log auswerten



hi

könnt ihr mal bitte diese log hier auswerten und mir sagen was ich löschen muss?

danke!

Logfile of HijackThis v1.98.2
Scan saved at 00:41:36, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\webHancer\Programs\whSurvey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\webHancer\Programs\whAgent.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINDOWS\System32\prnrafma.exe
C:\Programme\180Solutions\sais.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Cracks\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...count_id=56715
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...count_id=56715
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=56715
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...count_id=56715
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\fibeiaz.dll
O2 - BHO: (no name) - {1F8E3149-B3F1-CBA8-9843-9C9EFA921871} - C:\WINDOWS\System32\kepuhih.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\tfqiypkr.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ghnqvgvh] C:\WINDOWS\System32\prnrafma.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [gzkjyd] C:\WINDOWS\gzkjyd.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Privat\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093449935484
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EEED311-8A14-49E8-AE28-AC55709AA5A3}: NameServer = 217.237.151.97 217.237.150.33
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plmcfgkj.dll

Alt 02.11.2004, 01:08   #2
Wattewuschel
 
Log auswerten - Standard

Log auswerten



hallo.

da ist aber viel müll auf deinem rechner...

Zitat:
Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Zu deinem log:

Starte im abgesicherten Modus (Neustart - F8 drücken, bevor das Windows-Logo erscheint) und deaktiviere die Systemwiederherstellung (Arbeitsplatz - rechte Maustaste, Systemwiederherstellung, Häkchen rein).

Folgende Einträge solltest du fixen:

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

C:\Programme\ISTsvc\istsvc.exe

C:\Program Files\Internet Optimizer\actalert.exe

C:\Programme\180Solutions\sais.exe

C:\Programme\Web_Rebates\WebRebates0.exe

C:\Programme\Web_Rebates\WebRebates1.exe

Alle diese Prozesse fixen und manuell (im angegebenen Verzeichnis) löschen.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...ccount_id=56715

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...ccount_id=56715

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...ccount_id=56715

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search

R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll

O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\fibeiaz.dll

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll

O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"

O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\tfqiypkr.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe

O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O10 - Hijacked Internet access by WebHancer

O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plmcfgkj.dll

Folgende Einträge solltest du fixen, wenn du das Programm/ die Website nicht kennst:

C:\Program Files\webHancer\Programs\whSurvey.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE

C:\Program Files\webHancer\Programs\whAgent.exe

C:\WINDOWS\System32\prnrafma.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=56715

O2 - BHO: (no name) - {1F8E3149-B3F1-CBA8-9843-9C9EFA921871} - C:\WINDOWS\System32\kepuhih.dll

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll

O4 - HKLM\..\Run: [ghnqvgvh] C:\WINDOWS\System32\prnrafma.exe

O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe

O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Privat\LOKALE~1\Temp\djtopr1150.exe"

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll

Danach wieder in den normalen Modus starten und Systemwiederherstellung aktivieren.

Probier doch mal diese Programme:

Spybot Search & Destroy
Adaware
Spy Sweeper (30-Tage-Testversion)
PestPatrol (Demoversion)

Ab und zu mal drüberlaufen lassen (updaten!!!), dann trägst du dazu bei, dass das system nicht wieder so zumüllt. und vielleicht solltest du mal dein surfverhalten überprüfen.

poste bitte mal auch das neue hijack this-log.
__________________

__________________

Alt 02.11.2004, 01:11   #3
Lidius
 
Log auswerten - Standard

Log auswerten



HALT

Vor dem fixen unbeding den lsp-fix herunterladen
http://www.cexx.org/lspfix.htm

könnte nämlich passieren das deine internet verbindung nach dem fixen nicht mehr funktioniert.
__________________

Alt 02.11.2004, 02:04   #4
steveman
 

Log auswerten - Standard

Log auswerten



Logfile of HijackThis v1.98.2
Scan saved at 02:01:45, on 02.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\webHancer\Programs\whSurvey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Program Files\webHancer\Programs\whAgent.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\prnrafma.exe
C:\programme\180solutions\sais.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Cracks\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F8E3149-B3F1-CBA8-9843-9C9EFA921871} - C:\WINDOWS\System32\kepuhih.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [ghnqvgvh] C:\WINDOWS\System32\prnrafma.exe
O4 - HKLM\..\Run: [gzkjyd] C:\WINDOWS\gzkjyd.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093449935484
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EEED311-8A14-49E8-AE28-AC55709AA5A3}: NameServer = 217.237.151.97 217.237.150.33

Alt 02.11.2004, 02:16   #5
Haui45
 
Log auswerten - Standard

Log auswerten



Bist du sicher, dass du alles gemacht hast? Schaut nämlich nicht so aus. Wie lautet das Ergebnis von eScan?


Alt 02.11.2004, 02:23   #6
steveman
 

Log auswerten - Standard

Log auswerten



nein eScan hab ich noch nicht laufen lassen.

aber manche programme die ich manuell fixen soll lassen sich nicht löschen.

Alt 02.11.2004, 02:31   #7
Haui45
 
Log auswerten - Standard

Log auswerten



Warum lassen sie sich nicht löschen?
Erscheint eine Fehlermeldung, dass die Datei gerade verwendet wird? Dann versuch es im abgesicherten Modus.
Geht das?
Wenn nicht bekommt du überhaupt eine Meldung? Wie lautet sie?
Mehr Infos, mehr Infos......

Alt 02.11.2004, 02:45   #8
steveman
 

Log auswerten - Standard

Log auswerten



jo ich probiers dann mal im abgesicherten modus.

auserdem hab ich noch nen problem:
pestpatrol findet auch einige schädlinge aber ich kann sie nicht löschen!

PS: das is gar nicht mein PC, ich sitz grad vor dem von meinem Kumpel.

Alt 02.11.2004, 02:47   #9
Haui45
 
Log auswerten - Standard

Log auswerten



Versuchs mit Pestpatrol auch mal im abgesicherten Modus.

Alt 02.11.2004, 03:06   #10
steveman
 

Log auswerten - Standard

Log auswerten



wo bekomm ich ne älterne escan version her, die die daten selber löscht???

EDIT:
bei pestpatrol kommt immer folgende meldung:
Miniaturansicht angehängter Grafiken
Log auswerten-unbenannt.jpg  

Geändert von steveman (02.11.2004 um 11:25 Uhr)

Alt 02.11.2004, 11:40   #11
Haui45
 
Log auswerten - Standard

Log auswerten



Bei Pestpatrol steht doch da was los ist:
"Die Testversion kann die gefundene Malware weder löschen noch in Quarantäne stecken."
Zu eScan: Mach einfach mal einen Scan und poste dann was gefunden wurde.

Alt 02.11.2004, 17:02   #12
steveman
 

Log auswerten - Standard

Log auswerten



ok das hier findet escan:

C:\Programme\ISTsvc\istsvc.exe infected by "TrojanDownloader.Win32.IstBar.fr" Virus. Action Taken: No Action Taken.

C:\WINDOWS\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.

C:\WINDOWS\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.

C:\Programme\ISTsvc\istsvc.exe infected by "TrojanDownloader.Win32.IstBar.fr" Virus. Action Taken: No Action Taken.

C:\WINDOWS\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.

C:\WINDOWS\UnstSA2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\ICD1.tmp\ContentBrowser.exe infected by "Trojan.Win32.Dialer.ck" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\ICD2.tmp\ContentBrowser.exe infected by "Trojan.Win32.Dialer.ck" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\sidefind.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\THI218F.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\THI3E7E.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temp\THI7E3.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PE3SH6V\prompt[1].php infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5OLABKH\kkq21[1].gif infected by "TrojanSpy.Win32.Qukart.gen" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5U7KLYN\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5U7KLYN\prompt[1].htm infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5U7KLYN\prompt[1].php infected by "TrojanDownloader.JS.IstBar.a" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5U7KLYN\sidefind[1].exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

es sind noch viel mehr aber bis ich die alle hier rein kopiert hab.
was muss ich machen???

Alt 02.11.2004, 22:18   #13
*Christian*
Gast
 
Log auswerten - Standard

Log auswerten



Leere deinen Temp. Internet Files- und Temp-Ornder mit diesem Tool: http://www.clearprog.de/programme/clearprog/index.php

Alt 05.11.2004, 20:26   #14
steveman
 

Log auswerten - Standard

Log auswerten



ok hab ich gemacht. muss ich noch was machen?

die ganzen virenscanner finden immer wieder neue viren und trojaner. was kann das sein?

außerdem kommt immer wenn man eine neue IE seite öffnet, ein geräusch, wie wenn ein regentropfen ins wasser fällt. (blubb)

Geändert von steveman (05.11.2004 um 21:05 Uhr)

Alt 05.11.2004, 21:28   #15
steveman
 

Log auswerten - Standard

Log auswerten



kann denn keiner helfen?

mfg

EDIT: SpyBot S&D findet außerdem immer "DSO Exploit" auch wenn ich es immer wieder entferne.

Geändert von steveman (05.11.2004 um 21:37 Uhr)

Antwort

Themen zu Log auswerten
.inf, adobe, auswerten, bho, dateien, dll, drivers, explorer, google, hijack, hijackthis, icqtoolbar, internet, internet explorer, log, log auswerten, löschen, messenger, microsoft, nvcpl.dll, programme, rundll, seite, software, sun java, system, system32, tcpip, temp, update, urlsearchhook, windows, windows xp



Ähnliche Themen: Log auswerten


  1. OTL Log auswerten
    Plagegeister aller Art und deren Bekämpfung - 01.10.2010 (0)
  2. OTL file auswerten
    Log-Analyse und Auswertung - 04.07.2010 (6)
  3. Auswerten - Tutorial
    Log-Analyse und Auswertung - 03.06.2010 (1)
  4. Bitte Log in Auswerten
    Mülltonne - 17.05.2008 (0)
  5. Log zum Auswerten
    Log-Analyse und Auswertung - 14.05.2008 (1)
  6. pls auswerten
    Mülltonne - 04.02.2008 (0)
  7. Log Auswerten
    Log-Analyse und Auswertung - 13.09.2007 (9)
  8. HJT Log auswerten!
    Log-Analyse und Auswertung - 10.07.2007 (19)
  9. auswerten von Logfile
    Log-Analyse und Auswertung - 26.11.2006 (1)
  10. Log auswerten
    Log-Analyse und Auswertung - 07.08.2005 (1)
  11. Bitte Auswerten :>
    Log-Analyse und Auswertung - 29.07.2005 (3)
  12. Bitte log auswerten!
    Log-Analyse und Auswertung - 28.07.2005 (1)
  13. Logfile auswerten
    Log-Analyse und Auswertung - 20.05.2005 (2)
  14. bitte auswerten
    Log-Analyse und Auswertung - 20.05.2005 (8)
  15. Auswerten der Log
    Log-Analyse und Auswertung - 17.01.2005 (3)
  16. log plz auswerten
    Log-Analyse und Auswertung - 15.12.2004 (3)
  17. HJT-Log auswerten
    Log-Analyse und Auswertung - 26.08.2004 (3)

Zum Thema Log auswerten - hi könnt ihr mal bitte diese log hier auswerten und mir sagen was ich löschen muss? danke! Logfile of HijackThis v1.98.2 Scan saved at 00:41:36, on 02.11.2004 Platform: Windows XP - Log auswerten...
Archiv
Du betrachtest: Log auswerten auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.