|
Bitte um Hijackthis Logfile auswertung Hallo habe einen Trojaner auf meinem PC könnt ihr mir vieleicht bei der Auswertung des Logfiles helfen.Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:36:03, on 16.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe C:\Programme\Comodo\Firewall\cmdagent.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Comodo\Firewall\CPF.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Programme\DAEMON Tools\daemon.exe C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe E:\Programme\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe E:\Programme\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe D:\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TrayServer] E:\PROGRA~1\TrayServer.exe O4 - HKLM\..\Run: [NSLauncher] C:\Programme\Nokia\Nokia Software Launcher\NSLauncher.exe /startup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - E:\Common\Database\bin\fbserver.exe (file missing) O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe -- End of file - 5293 bytes |
Zitat:
|
Hallo und danke Franz Angeblich handelt es sich um die Datei C:WINDOWS\system32\_svchost.exe soll das Trojanische Pferd TR/Dldr.Tiny.aed sein.Wenn ich Hijackthis ausführe meckert mir mein AV Guard diese Datei an.Hoffe du Kannst mir da Helfen. MFG Stephan Ferreira |
Ist die Schreibweise der Datei korrekt? _svchost.exe mit Unterstrich vor dem "s"? |
Ja Schreibweise ist genau so |
Dann lade dir und entpacke die Killbox. Aktiviere die Optionen Single File und Delete on Reboot und kopiere den Pfad Code: c:\windows\system32\_svchost.exeAchtung, nicht mit c:\windows\system32\svchost.exe (ohne Unterstrich) verwechseln! Danach auf das weiße Kreuz auf rotem Grund klicken und den Rechner neu starten lassen. Im Anschluss findest du einen Ordner c:\!killbox und in ihm die gelöschte Datei _svchost.exe. Diese lädst du bei Virustotal hoch, wertest sie dort aus und postest hier die kompletten Ergebnisse. |
Hallo Franz hat alles Super geklappt hier kommt noch die Auswertung von Virus Total.Hoffe ich hab alles richtig gemacht.Vielen Dank nochmal! Datei kb.log empfangen 2008.02.16 19:50:07 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 0/32 (0%) Laden der Serverinformationen... Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.16.10 2008.02.15 - AntiVir 7.6.0.67 2008.02.15 - Authentium 4.93.8 2008.02.15 - Avast 4.7.1098.0 2008.02.16 - AVG 7.5.0.516 2008.02.16 - BitDefender 7.2 2008.02.16 - CAT-QuickHeal None 2008.02.16 - ClamAV 0.92.1 2008.02.16 - DrWeb 4.44.0.09170 2008.02.16 - eSafe 7.0.15.0 2008.02.14 - eTrust-Vet 31.3.5541 2008.02.15 - Ewido 4.0 2008.02.16 - FileAdvisor 1 2008.02.16 - Fortinet 3.14.0.0 2008.02.16 - F-Prot 4.4.2.54 2008.02.15 - F-Secure 6.70.13260.0 2008.02.15 - Ikarus T3.1.1.20 2008.02.16 - Kaspersky 7.0.0.125 2008.02.16 - McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.16 - NOD32v2 2880 2008.02.15 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.16 - Prevx1 V2 2008.02.16 - Rising 20.31.50.00 2008.02.16 - Sophos 4.26.0 2008.02.16 - Sunbelt 2.2.907.0 2008.02.16 - Symantec 10 2008.02.16 - TheHacker 6.2.9.222 2008.02.16 - VBA32 3.12.6.1 2008.02.14 - VirusBuster 4.3.26:9 2008.02.15 - Webwasher-Gateway 6.6.2 2008.02.15 - weitere Informationen File size: 311 bytes MD5: f9ec510428f19b79f95796ed8ba08082 SHA1: e5ee31cf8202b7b4423e961584ed0e8515c5e04a PEiD: - |
nein du hast es leider falsch gemacht, du sollst doch die _svchost.exe hochladen.. |
Zitat:
Poste mal den Inhalt der kb.log. Hattest du Antivir die _svchost.exe evtl. schon löschen oder in Quarantäne stellen lassen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:25 Uhr. |
Copyright ©2000-2024, Trojaner-Board