|
Bitte um Auswertung des Logfiles Hallo! habe mir irgendwas eingefangen und werde es nicht mehr los, daher würde ich euch bitten mal mein logfile auszuwerten. vielen dank schon mal... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:43:14, on 16.12.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\kkk\LOKALE~1\Temp\Rar$EX01.110\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://star***cq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*****crosoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.mi***om/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.micros***t.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://go.micr***ft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe -- End of file - 3836 bytes |
Hallo! -> Versteckte dateien sichtbar machen 1) - öffne das HijackThis klicke den Button "scan", und mache vor diesen Eintrag ein häckchen Zitat:
Dann Button "Fix checked" klicken, anschließend PC neustarten! _____________________________ Lass das mal Zitat:
_______________________ Ich denke Dir wäre auch noch ein anderer Nickname eingefallen, der etwas "freundlicher" ist, als dein jetziger. :rolleyes: |
Hallo @11Boy11 weißt du um was es sich hier O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\System32\winIogon.exe handelt? Nur fixen würde im Zweifel nichts bewirken... @deinemudda23 lass diese Datei C:\WINDOWS\System32\winIogon.exe <-- großgeschriebenes i nicht wie der Systemprozess ein "l" hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
Zitat:
Zitat:
Zitat:
Ich habe ja auch nicht vor, ihn nur fixen zu lassen. |
danke für die schnellen antworten. @11boy: sry, gibt echt nettere nicknames:heulen: @all -versteckte dateien sind sichtbar -häckchen vor eintrag gesetzt, fix checked geklickt und neugestrtet -file is gecheckt, resultat: File winlogon.exe received on 12.16.2007 17:37:16 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 0/32 (0%) gruß deinemudda |
Hallo du hast wie es aussieht die falsche Datei ausgewertet:rolleyes: Versuche es mal mit dem eScan http://www.trojaner-board.de/42731-escan-anleitung.html poste das Ergebnis mittels der Find.bat (rechtsklick - ziel speichern unter). MFG |
@nochdigger: hab das noch gefunden: Dateiname : winlogon.exe Größe : 507392 byte Typ : MS-DOS executable (EXE), OS/2 or MS Windows MD5 : 2b6a0baf33a9918f09442d873848ff72 SHA1 : e94549181cc6cdf9f5373e86c857049b73baee66 gruß deinemudda |
Hallo ja du hast tatsächlich die Systemdatei auswerten lassen MD5 und SHA1 stimmen überein. Entweder suche nochmal oder eScan durchführen, ich denke da steckt ein echt böser Wicht hinter. MFG |
sooo, hier ist mal das protokoll vom escan. für mich als unwissenden sieht das nicht sehr gut aus..... Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.2 Sprache: German Virus-Datenbank Datum: 12/16/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.pr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\fk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\hbhxvnc.exe infiziert von "Backdoor.Win32.SdBot.ckl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vrinfbb.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\System Volume Information\_restore{3B1FBCF5-8BC6-4EFC-884A-66A0D20512EA}\RP148\A0008864.sys infiziert von "Trojan-Downloader.Win32.Diehard.cp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\drivers\ip6fw.sys//PE_Patch infiziert von "Rootkit.Win32.Agent.pr" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\fk.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\hbhxvnc.exe infiziert von "Backdoor.Win32.SdBot.ckl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vrinfbb.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sethc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\setver.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sfc.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\share.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\shrpubw.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\shutdown.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sprestrt.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\stimon.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\subst.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\syncapp.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sysedit.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\syskey.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\sysocmgr.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\systray.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\taskman.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tcmsetup.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tcpsvcs.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tftp.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\tracert6.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\unlodctr.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\system32\upnpcont.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\twunk_16.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei G:\RECYCLER\S-1-5-21-343818398-1682526488-682003330-1004\Df1\twunk_32.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei H:\Incomplete\ADMZOIGWJBFG2SFK6JEVF2DNYBNCGWTH\UFO Afterlight [PC][DVD][English][ww***mwreloaded.com]\YASU.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File F:\saves\tools progz\fgf140.exe//WISE0018.BIN/cd_clint.dll//PECompact markiert als "not-a-virus:AdWare.Win32.Cydoor". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Executable Command Found in I\Shell\AutoRun\command: I:\setup.exe ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 77634 Gefundene Viren: 36 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 78 Dauer des Scans bisher: 01:12:13 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 20:04:52,78 Batchende: 20:05:10,34 gruß euremudda23 |
ich bin dankbar für jeden neuen rat :heulen: gruß dm23 |
Hallo leider ist das Ergebnis des eScan ziemlich eindeutig, bei einer Backdoor und einem Rootkit im System bleibt meiner Meinung nur das Neuaufsetzen des Systems und anschliessende Absicherung! Ändere unbedingt nach der Neuinstallation alle Pass- und Kennwörter. MFG |
@nochdigger: vielen dank, werd mich wohl mal ransetzten und mein system nach der anleitung neu raufziehen. hoffe das meine probleme dann ein ende haben... gruß deinemudda |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board