|
Brauche Hilfe zur logfile-Auswertung! Hallo, schaut Euch doch bitte mal meine logfile an. Es geht um die startpage, die sich nicht entfernen läßt. Könnt Ihr mir bitte weiterhelfen?! Logfile of HijackThis v1.99.0 Scan saved at 23:26:06, on 06.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NI-DEC~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\NI-DEC~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {ADEEF30F-6D41-4616-AA79-1C7843A74C84} - C:\WINDOWS\System32\ljmc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/096d14b2...dxIE601_de.cab O18 - Filter: text/html - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll O18 - Filter: text/plain - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Autodesk - Macrovision Corporation - D:\programme\Autodesk Network License Manager\lmgrd.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Danke schon mal im Voraus nidecker |
Hallo, Zitat:
Du solltest mal dein Patchverhalten überdenken. Die Startseiten Einträge des IE sind erstmal aussen vor, kritischer dagegen ist dieser Eintrag, der auf eine Rbot Variante schliessen lässt -> Zitat:
Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Vielen Dank schon mal, was meinst Du mit "nicht ausreichend gepatcht"? und was bedeutet "Rbot"? hier die Virus Log Information von eScan AntiVirus: File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\msdownld.tmp\wupd0000.exe infected by "Trojan-Downloader.Win32.Delf.dd" Virus. Action Taken: No Action Taken. File C:\WINDOWS\msdownld.tmp\wupd0001.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: No Action Taken. Und hier die kopierten Treffer der mwav.log: Mon Feb 07 22:17:13 2005 => File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. Mon Feb 07 22:17:15 2005 => File C:\WINDOWS\System32\ljmc.dll infected by "Trojan.Win32.StartPage.uo" Virus. Action Taken: No Action Taken. Mon Feb 07 22:21:59 2005 => File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Mon Feb 07 22:22:06 2005 => File C:\DOKUME~1\NI-DEC~1\LOKALE~1\TEMPOR~1\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken. Mon Feb 07 22:24:50 2005 => File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N36KL05R\doit[1].exe infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Mon Feb 07 22:24:55 2005 => File C:\Dokumente und Einstellungen\ni-decker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5YFOPYJ\6sIaFFWJI4LKyr_1sQSBiNs[1].chm infected by "Trojan-Downloader.Win32.Agent.hr" Virus. Action Taken: No Action Taken. Mon Feb 07 22:33:33 2005 => File C:\WINDOWS\msdownld.tmp\wupd0000.exe infected by "Trojan-Downloader.Win32.Delf.dd" Virus. Action Taken: No Action Taken. Mon Feb 07 22:33:33 2005 => File C:\WINDOWS\msdownld.tmp\wupd0001.exe infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: No Action Taken. Mon Feb 07 22:47:24 2005 => Scanning Folder: D:\programme\AVPersonal\INFECTED\*.* Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.001 Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.002 Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.003 Mon Feb 07 22:47:24 2005 => Scanning File D:\programme\AVPersonal\INFECTED\SP.DLL.VIR Die letzten 5 Dateien hier haben wohl nichts damit zu tun (AntiVir) Vielen Dank nochmal !! Gruß |
Hallo, poste bitte folgendes aus der mwav.log (steht ganz am Ende): Zitat:
Zitat:
Zitat:
|
So, hier der Rest... Tue Feb 08 22:14:37 2005 => Total Files Scanned: 26626 Tue Feb 08 22:14:37 2005 => Total Virus(es) Found: 6 Tue Feb 08 22:14:37 2005 => Total Disinfected Files: 0 Tue Feb 08 22:14:37 2005 => Total Files Renamed: 0 Tue Feb 08 22:14:37 2005 => Total Deleted Files: 0 Tue Feb 08 22:14:37 2005 => Total Errors: 7 Tue Feb 08 22:14:37 2005 => Time Elapsed: 00:28:25 Tue Feb 08 22:14:37 2005 => Virus Database Date: 2005/02/07 Tue Feb 08 22:14:37 2005 => Virus Database Count: 117359 Tue Feb 08 22:14:37 2005 => Scan Completed. Tue Feb 08 22:14:59 2005 => Virus Database Date: 2005/02/07 Tue Feb 08 22:14:59 2005 => Virus Database Count: 117359 Tue Feb 08 22:16:01 2005 => AV Library Unloaded (3)... @Cidre: kannst Du aus der logfile etwas erkennen, wegen dem Eintrag, der auf eine Rbot Variante schließen läßt? Danke Ni-Decker |
Zitat:
Zitat:
Zitat:
Alle R0 und R1 O2 - BHO: (no name) - {ADEEF30F-6D41-4616-AA79-1C7843A74C84} - C:\WINDOWS\System32\ljmc.dll O4 - HKLM\..\Run: [Windows Task Manager] C:\windows\system32\taskmgn.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O18 - Filter: text/html - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll O18 - Filter: text/plain - {CE914826-15D1-4711-B1E4-415EF5B27B60} - C:\WINDOWS\System32\ljmc.dll Lösche diese Dateien: C:\WINDOWS\System32\ljmc.dll Leere den TIF Ordner - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis posten |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:58 Uhr. |
Copyright ©2000-2024, Trojaner-Board