|
Log-Analyse und Auswertung: könnt ihr mir die hijack auslesenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
18.11.2004, 20:30 | #1 |
| könnt ihr mir die hijack auslesen hallo, ich habe mit hijack-seiten noch überhaupt keine erfahrung, und HijackThis kann ich auch noch nicht auswerten. kann mir jemand meine log auswerten und vielleicht beschreiben wie ich meinen hijack für immer loswerde, ohne dass ich den PC neu aufsetzen muss. habe schon alles probiert CWShredder, adaware, sphjfix, spybot usw. Die Startseite kommt immer wieder nach ca. 24 Stunden "about blank". Ich krieg schon die Krise. hier meine log. bitte helft mir. C:\Programme\Messenger\MSMSGS.EXE C:\Programme\ASUS\ASUS FM Radio\ezagent.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\psimsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\mk\LOKALE~1\Temp\Rar$EX00.469\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background O4 - HKCU\..\Run: [EzAgent] C:\Programme\ASUS\ASUS FM Radio\ezagent.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093196527765 O20 - AppInit_DLLs: c:\windows\system32\msg.dll |
18.11.2004, 21:00 | #2 |
| könnt ihr mir die hijack auslesen Poste bitte das komplette logfile, der anfang fehlt
__________________ |
18.11.2004, 21:03 | #3 |
| könnt ihr mir die hijack auslesen @barny113
__________________lade dir als erster bitte LSP-fix hier gebe bitte HJT einen eigenen Ordner wechsle in den abgesicherten modus und fixe(häkchen setzen und Fix Checked klicken) O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O10 - Hijacked Internet access by New.Net O20 - AppInit_DLLs: c:\windows\system32\msg.dll lösche dann manuell c:\windows\system32\msg.dll C:\Programme\NewDotNet\newdotnet6_38.dll neu starten, dann ein neues HJT log posten danach wird dein Inet verbindung wahrscheinlich unterbrochen sein, repariere diese mit LSP Fix zur Info http://support.microsoft.com/?kbid=298436 chaosman
__________________ |
18.11.2004, 21:21 | #4 |
| könnt ihr mir die hijack auslesen Hallo chaosman, habe ziemliche probleme, da ich 1. ein unerfahrener user bin und 2. mein englisch wirklich nicht gut ist. und für LIDIUS Logfile of HijackThis v1.98.2 Scan saved at 21:16:38, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\CyberLink\PowerVCRII\Agent.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\QuickTime\qttask.exe C:\Programme\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\MUSICMATCH Jukebox\mmtask.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Messenger\MSMSGS.EXE C:\Programme\ASUS\ASUS FM Radio\ezagent.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\psimsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE C:\Programme\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\mk\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.orf.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH Jukebox\mm_tray.exe |
18.11.2004, 22:00 | #5 |
| könnt ihr mir die hijack auslesen @ barny113 bitte überprüfe mit virusscan.jotti.dhs.org: C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iw ctrl.exe C:\Programme\ASUS\ASUS FM Radio\ezagent.exe C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe teile uns das Ergebnis der Überprüfung mit Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll boote in den normalen Modus. lösche: C:\Programme\NewDotNet\newdotnet6_38.dll Aktiviere die Systemwiederherstellung. Erstelle bitte ein ganzes komplettes Logfile und poste es! Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) SD |
23.11.2004, 20:03 | #6 |
| könnt ihr mir die hijack auslesen Danke an shadowdance und chaosman. Habe alles ausprobiert und Shredder, adaware, sphjfix, spybot, escan, lspfix usw. verwendet. Er war nach 24 Stunden wieder da. Zu guter letzt probierte ich noch AVAT, RegCleaner und Tuneup (es gibt eine Probierversion unter www.tuneup.de/download/tu2004/) und muss sagen bis dato (48 Stunden) ist meine Startseite gleich geblieben. Auch die Reg.-Einträge haben sich nicht verändert. Hoffentlich bleibt es so. Für jeden der den IE treu bleibt empfehle ich einen Browsercheck unter http://www.heise.de/security/dienste.../ie50/02.shtml. Also nochmals Danke an alle, die sich für unerfahrene User einsetzen. Ciao barny113 |
Themen zu könnt ihr mir die hijack auslesen |
about blank, adobe, antivirus, appinit_dlls, asus, aufsetzen, bho, controlcenter, cyberlink, dateien, excel, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, kommt immer wieder, log, log auswerten, messenger, microsoft, neu, neu aufsetzen, nvcpl.dll, programme, realplay.exe, realplayer, rundll, software, system, temp, windows, windows messenger, write |