Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   log - hab keine ahnung davon... (https://www.trojaner-board.de/8012-log-hab-keine-ahnung-davon.html)

Loopus 01.10.2004 12:48
log - hab keine ahnung davon...
 
Hi, bin neu hier. Verstehe nicht viel von den Logs und wollt aber mal wissen, ob ich irgendwas drauf hab. Hab dieses Forum über google gefunden, sah vielversprechend aus :)

Logfile of HijackThis v1.98.2
Scan saved at 13:49:30, on 1.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Antivirus 2003 Pro\navapsvc.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\sstray.exe
C:\WINDOWS.0\System32\ELAN.exe
C:\WINDOWS.0\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Labtec\Labtec Mouse Software\2.0\mouse32a.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS.0\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Antivirus 2003 Pro\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Antivirus 2003 Pro\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS.0\System32\ELAN.exe
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [FLMLABTECMOUSE] C:\Programme\Labtec\Labtec Mouse Software\2.0\mouse32a.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a2edc6fc4885a4
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4E71E6DD-FB37-4641-A96E-4456399A6DB0} - http://jade.bioware.com/codebaby/codebaby.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093822687640
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O16 - DPF: {FA3662C3-B8E8-11D6-A667-0010B556D978} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/_media/dalaillama/ampx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E69F4BC1-6D95-4509-93B3-A1CC41CD0F1F}: NameServer = 212.101.4.251 212.101.0.10

Cidre 01.10.2004 13:05
Hallo,

soltest du die MSN Toolbar nicht wissentlich installiert haben, dann fixen und löschen:

Deinstalliere unter Software die MSN Toolbar

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1001\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS.0\System32\ELAN.exe?
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
Alle O16 Einträge

Lösche den Ordner :
Programme\MSN Apps\MSN Toolbar

Danach das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach die Virus Log Information des eScan, sowie ein neues HJT Log-File.

Loopus 01.10.2004 16:33
Also... weiss nicht genau, was du wissen möchtest aus dem eScan-Log ^^"
Es ist ne 13 MB grosse File...

Hijacklog kurz nach Gebrauch des eScans noch im Abgesicherten Modus:

http://mitglied.lycos.de/loopus2k4/hijackthis1.txt

Hijacklog nach Neustart im normalen Modus:

http://mitglied.lycos.de/loopus2k4/hijackthis2.txt

Cidre 01.10.2004 16:42
Das Log-File sieht soweit sauber aus.

Diesen Eintrag kannst du noch fixen:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Zitat:
weiss nicht genau, was du wissen möchtest aus dem eScan-Log
Welche Schädlinge entdeckt wurden!
Poste alle Files renamed und Files deleted.

Zitat:
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS.0\System32\ELAN.exe
Was ist mit diesem Eintrag? Kannst du ihn zuordnen?

Loopus 01.10.2004 16:48
lol, ich hatte gehofft, ihr würdet die ELAN.exe kennen ^^" ...
Hab keine Ahnung.

-Fri Oct 01 14:56:38 2004 => File C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Michael\DivXPro511Adware.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
-Fri Oct 01 15:02:17 2004 => File C:\Dokumente und Einstellungen\Michael\Eigene Dateien\netants.zip infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
-Fri Oct 01 15:02:21 2004 => File C:\Dokumente und Einstellungen\Michael\Eigene Dateien\setup.exe infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
-Fri Oct 01 15:45:16 2004 => File C:\System Volume Information\_restore{C65651B5-F264-4FD5-A88F-FC3066CBB549}\RP36\A0001388.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
-Fri Oct 01 15:54:18 2004 => File C:\System Volume Information\_restore{C65651B5-F264-4FD5-A88F-FC3066CBB549}\RP49\A0003867.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.

-Fri Oct 01 15:33:02 2004 => File C:\Programme\Norton Antivirus 2003 Pro\Quarantine\181E1A27.dat infected by "I-Worm.Kindal" Virus. Action Taken: File Deleted.
-Fri Oct 01 15:33:02 2004 => File C:\Programme\Norton Antivirus 2003 Pro\Quarantine\1EBB19C8 infected by "I-Worm.NetSky.c" Virus. Action Taken: File Deleted.
-Fri Oct 01 15:33:03 2004 => File C:\Programme\Norton Antivirus 2003 Pro\Quarantine\6EE41B8B infected by "I-Worm.NetSky.c" Virus. Action Taken: File Deleted.
-

Cidre 01.10.2004 17:13
Schicke die ELAN.exe gezippt an virus@rokop-security.de und verweise auf diesen Thread. Poste danach das Ergebnis.

Diese Tipps solltest du noch beherzigen:
http://www.mathematik.uni-marburg.de...ompromise.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131