Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   mein logfile (https://www.trojaner-board.de/16791-logfile.html)

nedim89 18.04.2005 10:17
mein logfile
 
wollt mal fragen ob alles ok ist mit meinem system

danke für antwort

Logfile of HijackThis v1.99.1
Scan saved at 11:16:00, on 18.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
C:\Programme\Folder Shield\FSService.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\emule2\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\klickTel\klickTel Januar 2004\KTEL32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Nedim\Desktop\Neuer Ordner (4)\installer\Anti virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe
F1 - win.ini: run=c:\windows\system32\msiexec16.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-24.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD40293-A0A2-4FD3-BC88-D7465C441263}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Dialerschutz Dienst (DFSVC) - Unknown owner - C:\Programme\T-Online\Dialerschutz-Software\DFInject.exe
O23 - Service: FSService - Unknown owner - C:\Programme\Folder Shield\FSService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Passat2002 18.04.2005 12:25
hi

bitte diese dateien auch hier bei Jotti oder Virustotal überprüfen lassen, ergebnis hier posten.

c:\windows\system32\msiexec16.exe

wenn das ergebnis Backdoor.Optix.Pro eintritt -> hier über neuinstallation nachlesen ->
Internet & Computer Security • INCOSEC

nedim89 18.04.2005 14:05
ich habe nur c:\windows\system32\msiexec.exe

halt ohne die 16 dran....

Passat2002 18.04.2005 15:08
hi
;)
Zitat:
F0 - system.ini: Shell=Explorer.exe c:\windows\system32\msiexec16.exe
F1 - win.ini: run=c:\windows\system32\msiexec16.exe
scanne das system mit escan
1) direktdownload von escan
2) entpacke die datei mwav.exe oder mwav.zip in den ordner c:\bases
sollte das zip-programm dies nicht in einem schritt zulassen, so muss der ordner c:\bases manuell genau so angelegt werden.
3) nun wird der windows-explorer geöffnet und mit einem doppelklick auf die datei KAVUpd.exe, oder kavupd.exe
das update gestartet. auf meinem system (windowsxpsp2) wird sofort ein ordner C:\Download erstellt, der nach dem update
ca. 110 datein und ca. 5 MB groß ist, ein weiterer ordner c:\Bases_X wurde ebefalls erstellt, inhalt 105 datein und ebefalls 5 MB groß
im ordner c:\bases sind 133 datein mit ca. 7,4 MB
4) wechsle in den abgesicherten modus von windows
5) öffne nun wieder den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.com oder [mwavscan.exe[/url], schließe den explorer.
6) überprüfe die einstellungen, unter scan option-->memory, startup folders, registry, system folders und services (auswahl) und scan all files sollte aktiviert sein, dann den button *SCAN* drücken.
http://www.trojaner-info.de/hijacker/bilder/escan2.jpg
7) wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
8) nun öffnest du mit dem editor, die mwav.txt oder mwav.log und wählst unter bearbeiten -> suchen, hier gibst du infected ein

http://img8.exs.cx/img8/9665/infected6xz.gif

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
Zitat:
Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

charlie1 18.04.2005 21:27
Ergänzung; falls es ein Optix ist, den Server bitte auf einem externen Datenträger sichern, denn daraus kann man, wenn man Glück hat, noch so einiges über den Absender erfahren.

PS; über Formatierung, bei so was, streite ich mich nicht mehr, dass kann jeder halten, wie der auf dem Dach.
Liebe Grüße, Charlie

nedim89 18.04.2005 22:08
ich glaub das alles ok ist mit meinem system wo ich unten sehe

no infected...

Mon Apr 18 22:10:11 2005 => Total Number of Disinfected Files: 0
Mon Apr 18 22:10:11 2005 => Total Number of Files Renamed: 0
Mon Apr 18 22:10:11 2005 => Total Number of Deleted Files: 0
Mon Apr 18 22:10:11 2005 => Total Number of Errors: 5
Mon Apr 18 22:10:11 2005 => Time Elapsed: 00:05:36
Mon Apr 18 22:10:11 2005 => Virus Database Date: 2005/04/18
Mon Apr 18 22:10:11 2005 => Virus Database Count: 126615

Mon Apr 18 22:10:11 2005 => Scan Completed.

Mon Apr 18 22:29:10 2005 => Virus Database Date: 2005/04/18
Mon Apr 18 22:29:10 2005 => Virus Database Count: 126615
Mon Apr 18 22:29:16 2005 => AV Library Unloaded (3)...

Haui45 18.04.2005 22:09
Zitat:
Mon Apr 18 22:10:11 2005 => Time Elapsed: 00:05:36
Du hast eScan falsch ausgeführt! => Erneut im abgesicherten Modus scannen und die "Hakensetzung" beachten und umsetzen!

nedim89 20.04.2005 16:30
Scan initialized on 19.04.2005 22:30:17
=================================================
Started memory scan
====================
Processes Currently Running

#:1 (smss.exe)
Path:\SystemRoot\System32\smss.exe
BasePriority:NORMAL


#:2 (services.exe)
Path:C:\WINDOWS\system32\services.exe
BasePriority:NORMAL
FileSize :106 kb
Last accessed :04.08.2004 09:58:11
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Anwendung für Dienste und Controller
Version :5.1.2600.2180
Product Name:Betriebssystem Microsoft® Windows®


#:3 (lsass.exe)
Path:C:\WINDOWS\system32\lsass.exe
BasePriority:NORMAL
FileSize :13 kb
Last accessed :04.08.2004 09:57:59
Build :5.1.2600.2180
OS :NT-Win32-DLL
Description :LSA Shell (Export Version)
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:4 (svchost.exe)
Path:C:\WINDOWS\system32\svchost.exe
BasePriority:NORMAL
FileSize :14 kb
Last accessed :04.08.2004 09:58:15
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Generic Host Process for Win32 Services
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:5 (svchost.exe)
Path:C:\WINDOWS\system32\svchost.exe
BasePriority:NORMAL
FileSize :14 kb
Last accessed :04.08.2004 09:58:15
Build :5.1.2600.2180
OS :NT-Win32-Executable
Description :Generic Host Process for Win32 Services
Version :5.1.2600.2180
Product Name:Microsoft® Windows® Operating System


#:6 (Explorer.EXE)
Path:C:\WINDOWS\Explorer.EXE
BasePriority:NORMAL
FileSize :1011 kb
Last accessed :04.08.2004 09:57:53
Build :6.0.2900.2180
OS :NT-Win32-Executable
Description :Windows Explorer
Version :6.0.2900.2180
Product Name:Betriebssystem Microsoft® Windows®


#:7 (SpyRem.exe)
Path:C:\Programme\BulletProofSoft.com\BPS Spyware & Adware Remover\SpyRem.exe
BasePriority:NORMAL
FileSize :1712 kb
Last accessed :23.03.2005 13:56:54
Build :9.2.0.3
OS :Unknown-Executable
Description :BPS SpyWare and Adware Remover
Version :9.2.0.3
Product Name:BPS SpyWare and Adware Remover


Memory scan result:
Total modules found:8
Suspicious modules found:
Scan complete

Started folder scan
====================
Folder scan result:
Suspicious folders found:0

Started file scan
====================
vx2 file:C:\WINDOWS\inf\biini.inf
FileSize :0 kb
Last accessed :13.12.2003 10:50:24
Build :
OS :-


Spyware.DsktopSurveil file:C:\WINDOWS\iun6002.exe
FileSize :712 kb
Last accessed :20.06.2004 15:46:44
Build :6.0.1.3
OS :NT-Win32-Executable


File scan result:
Suspicious files found:2
Scan complete





==========================================================
Spyware components found total: 32
==========================================================

Task completed on 22:32:26
Done


==========================================================
Application Version: 9.2.3
==========================================================
Major Version: 5
Minor Version: 1
Build Number Version: 2600
Platform ID: 2
Service Pack Major: 2
Service Pack Minor: 0
Suite Mask: 256
Platform: Windows XP
Platform Version: Windows XP v5.1, Build 2600
OS Product Name: NT Workstation
CSD Version: Service Pack 2
Is Windows XP: Wahr
Is Windows 2K: Wahr
Is Windows NT: Wahr
Is Windows 9x: Falsch
Is Windows 95: Falsch
Is Windows 98: Falsch
Is Windows Me: Falsch


==========================================================

Started Hosts file scan
====================


Hosts file scan results:
Bad Hosts Entry found:0
Scan complete


==========================================================
Spyware components found total: 32
==========================================================

Task completed on 22:32:26
Done


==========================================================
Application Version: 9.2.3
==========================================================
Major Version: 5
Minor Version: 1
Build Number Version: 2600
Platform ID: 2
Service Pack Major: 2
Service Pack Minor: 0
Suite Mask: 256
Platform: Windows XP
Platform Version: Windows XP v5.1, Build 2600
OS Product Name: NT Workstation
CSD Version: Service Pack 2
Is Windows XP: Wahr
Is Windows 2K: Wahr
Is Windows NT: Wahr
Is Windows 9x: Falsch
Is Windows 95: Falsch
Is Windows 98: Falsch
Is Windows Me: Falsch


==========================================================

Haui45 20.04.2005 17:05
Ist es wirklich möglich, trotz dieser Anleitung etwas falsch zu machen?

charlie1 20.04.2005 17:36
Lol, scheint zu gehen. :heilig:
LG, Charlie


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19