Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: HIghjackthis

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.02.2011, 10:18   #1
Trojanbored
 
HIghjackthis - Standard

HIghjackthis



Wenn ich gmer3 oder so durchlaufen lasse der rootkits prüft und so stand dort das ich danach den text kopieren soll und dann posten soll aber mein rechner fährt wenn der scan beendet ist automatisch runter das ich das ergebniss nicht kopieren kann







HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:09:35, on 26.02.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetCologne\signup\wlanmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\alle\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NV2DHMHR\HiJackThis204[2].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.netcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9740CBEA-42CB-4539-B989-96C8DAA7B28B}: NameServer = 81.173.194.69 81.173.194.77
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

--
End of file - 3155 bytes
         
--- --- ---
Ich kenn mich damit nicht so aus würde gerne eine meinung von einem hören der sich damit auskennt.




Combofix Logfile:
Code:
ATTFilter
ComboFix 11-02-25.01 - alle 26.02.2011  11:44:47.1.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.315 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\alle\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\1.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\a.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\b.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\c.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\d.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\e.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\f.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\g.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\h.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\i.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\J.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\k.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\l.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\m.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\mru.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\n.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\o.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\p.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\q.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\r.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\s.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\t.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\u.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\v.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\w.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\x.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\y.xml
c:\dokumente und einstellungen\alle\Anwendungsdaten\PriceGong\Data\z.xml

.
(((((((((((((((((((((((   Dateien erstellt von 2011-01-26 bis 2011-02-26  ))))))))))))))))))))))))))))))
.

2011-02-24 18:49 . 2011-02-24 18:49	--------	d-----w-	C:\430cbaebaeff397b5e979caa
2011-02-14 15:10 . 2011-02-24 18:41	--------	d-----w-	C:\Medion
2011-02-14 11:23 . 2011-02-14 11:23	--------	d-----w-	C:\ATI

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Metin2\\metin2.bin"=

R0 PDDSLHND;PDDSLHND;c:\windows\system32\drivers\PDDSLHND.SYS [05.05.2005 21:38 15187]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [24.02.2011 20:31 135336]
R3 PDDSLADP;ProDyne DSL Adapter;c:\windows\system32\drivers\PDDSLADP.SYS [05.05.2005 21:35 15571]
S3 PDNETCTL;ProDyne MicroPPPoE;c:\windows\system32\drivers\pdnetctl.sys [07.09.2005 23:09 39936]
.
Inhalt des "geplante Tasks" Ordners

2011-02-26 c:\windows\Tasks\User_Feed_Synchronization-{2F49C6D4-01D1-49AF-AB84-EEBCCAC2F681}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

2011-02-26 c:\windows\Tasks\User_Feed_Synchronization-{3FB7BA56-4209-4459-BDE9-F220D3C0E9C2}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.netcologne.de
mWindow Title = Internet Explorer bereitgestellt von NetCologne
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-02-26 11:51
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2011-02-26  11:54:45
ComboFix-quarantined-files.txt  2011-02-26 10:54

Vor Suchlauf: 8 Verzeichnis(se), 64.367.312.896 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 65.416.945.664 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 49806E2C38E13EF900D0A4C372B5679C
         
--- --- ---

Geändert von Larusso (26.02.2011 um 12:04 Uhr)

Alt 26.02.2011, 19:34   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
HIghjackthis - Standard

HIghjackthis



Bitte beachten => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Und speziell noch was => Combofix niemals auf eigene Faust ausführen
__________________

__________________

Antwort

Themen zu HIghjackthis
antivir, antivir guard, avg, avira, button, check, desktop, einstellungen, explorer, highjackthis, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, metin2, micro, microsoft, programme, rootkits, scan, software, system, system32, windows, windows recovery, windows xp



Ähnliche Themen: HIghjackthis


  1. highjackthis problem
    Antiviren-, Firewall- und andere Schutzprogramme - 04.01.2013 (2)
  2. HighjackThis LogFile 104 laufende Prozesse
    Log-Analyse und Auswertung - 06.08.2011 (2)
  3. HighJackthis logfile auswerten
    Log-Analyse und Auswertung - 25.01.2009 (2)
  4. bitte um auswertung von highjackthis logfile
    Log-Analyse und Auswertung - 15.11.2008 (0)
  5. HighJackThis Logfile
    Mülltonne - 16.10.2008 (0)
  6. Mein Highjackthis Logfile
    Mülltonne - 02.09.2007 (0)
  7. Würmer und Trojaner, HighjackThis Log angegeben
    Log-Analyse und Auswertung - 03.12.2006 (3)
  8. Bitte um Auswertung des Highjackthis-Logfile...dangöööö
    Mülltonne - 16.07.2006 (2)
  9. Highjackthis logfile
    Log-Analyse und Auswertung - 18.04.2006 (1)
  10. HighJackThis Logfile, Danke.
    Log-Analyse und Auswertung - 19.11.2005 (1)
  11. Mein Highjackthis Logfile
    Log-Analyse und Auswertung - 31.05.2005 (3)
  12. highjackthis und anderes - scheint nicht zu fixen:(
    Log-Analyse und Auswertung - 07.05.2005 (2)
  13. Mein erster Highjackthis Logfile
    Log-Analyse und Auswertung - 02.01.2005 (2)
  14. Highjackthis Log Prüfung?
    Log-Analyse und Auswertung - 05.10.2004 (3)
  15. HighJackThis-Log - könnte mal jemand schauen?
    Log-Analyse und Auswertung - 08.07.2004 (37)
  16. Frage zu HighJackThis - Prog schließt automatisch
    Log-Analyse und Auswertung - 05.07.2004 (6)
  17. Anleitung für HighJackThis
    Plagegeister aller Art und deren Bekämpfung - 06.02.2004 (8)

Zum Thema HIghjackthis - Wenn ich gmer3 oder so durchlaufen lasse der rootkits prüft und so stand dort das ich danach den text kopieren soll und dann posten soll aber mein rechner fährt wenn - HIghjackthis...
Archiv
Du betrachtest: HIghjackthis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.