Bitte Log überprüfen |
Willkommen, Gast ( Anmelden | Registrierung )
Bitte Log überprüfen |
06.07.2004, 17:18
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 2 Mitglied seit: 06.07.2004 Mitglieds-Nr.: 1.152 |
Hallo,
hab schon viel von dem legendären Hijackthis gehört, hab aber wenig Ahnung von der Auswertung des Logs, deshalb wär ich sehr dankbar wenn das die Experten hier mal prüfen könnten Logfile of HijackThis v1.97.7 Scan saved at 17:04:24, on 06.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\SiXPack.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\config\services.exe C:\PROGRA~1\SAFEON~1\Find Coal.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\wintime.exe C:\WINDOWS\system32\explorer.exe C:\programme\180solutions\msbb.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\explorer.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\SysAI\SysAI.exe C:\Programme\jv16 PowerTools\jv16 PowerTools.exe C:\Programme\jv16 PowerTools\jv16 PowerTools.exe C:\Programme\jv16 PowerTools\jv16 PowerTools.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\WINDOWS\dial32.exe C:\Programme\WebSiteViewer\123923.dlr C:\Dokumente und Einstellungen\Alexander Knoll\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://look-today.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://look-today.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://look-today.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://look-today.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://look-today.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://look-today.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php O2 - BHO: (no name) - {01C5BF6C-E699-4CD7-BEA1-786FA05C83AB} - C:\Programme\SysAI\AproposPlugin.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7AC39E9B-83D2-F7B6-98B6-C9F7279D9B34} - C:\PROGRA~1\MANAGE~1\Bait Bone.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Each Site - {CEF9E2A0-C9F2-40EC-FEC1-F593F93997D2} - C:\PROGRA~1\MANAGE~1\Bait Bone.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe O4 - HKLM\..\Run: [itch delete] C:\PROGRA~1\SAFEON~1\Find Coal.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [ulyx] C:\WINDOWS\ulyx.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/downlo...T64106/thin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{90E9A8DF-65F7-4669-A818-2DED1DBDE8D4}: NameServer = 217.237.150.33 194.25.2.129 DANKE!! Alex |
|
|
06.07.2004, 17:41
Beitrag
#2
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
Hi Alex
Dein Log könnte als Paradebeispiel dienen, leider im schlechten Sinn. Du hast wirklich alles an Malware drauf. Also wir gehens Trotzdem mal an, obwohl eine Neuinstallation besser wäre 1.Lade dir diese Datei mwav.exe http://www.rokop-security.de/board/index.php?showtopic=3867 Am besten die Anleitung für später ausdruckenausdrucken 2.Deinen Virenscanner updaten 3. Geh mal in den abgesicherten Modus von Xp http://www.bsi.de/av/texte/winsave.htm Ab jetzt den Internetexplorer nicht mehr starten 4. Fixe das in HiJackThis (ankreuzen und Fix Checked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://look-today.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://look-today.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://look-today.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://look-today.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://look-today.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://look-today.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://213.159.117.134/index.php O2 - BHO: (no name) - {7AC39E9B-83D2-F7B6-98B6-C9F7279D9B34} - C:\PROGRA~1\MANAGE~1\Bait Bone.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O3 - Toolbar: Each Site - {CEF9E2A0-C9F2-40EC-FEC1-F593F93997D2} - C:\PROGRA~1\MANAGE~1\Bait Bone.dll O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe O4 - HKLM\..\Run: [itch delete] C:\PROGRA~1\SAFEON~1\Find Coal.exe O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\explorer.exe O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [ulyx] C:\WINDOWS\ulyx.exe O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/downlo...T64106/thin.cab 5. Starte die mwav.exe wie in Beschreibung angegeben FullScan machen 6. Mit deinen VIrenscanner ganze Platten scannen 7. Dann neustart und normal booten. 8. Dann das hier durchführen http://www.rokop-security.de/main/article.php?sid=703 9. Neustart machen und nochmal hier dein Logfile posten 10. In der Zwischenzeit geh zu www.windowsupdate.com und update dein Windows WICHTIG!!!!!!!!!!!!!!!!!!!! Gruß paff Wenn Fragen sind einfach posten Der Beitrag wurde von paff bearbeitet: 06.07.2004, 17:43 |
|
|
06.07.2004, 20:23
Beitrag
#3
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 2 Mitglied seit: 06.07.2004 Mitglieds-Nr.: 1.152 |
Hallo Paff,
vielen Dank erstmal, funzt wieder einwandfrei soweit ich das sehen kann. Hier das log: Logfile of HijackThis v1.97.7 Scan saved at 21:13:46, on 06.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\ICQ\ICQNet.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\Alexander Knoll\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) Viele Grüsse Alex |
|
|
07.07.2004, 10:43
Beitrag
#4
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 169 Mitglied seit: 12.01.2004 Mitglieds-Nr.: 329 |
Hi Alex
Jo, das sieht schon viel besser aus. Nur diese R0&R1 Einträge stören noch. Hast du die aktuelle Version von CWShredder benutzt? Wenn Ja, probier einfach nochmal die Einträge in HiJackThis zu fixen und mach einen Neustart. Wenn die Einträge dann weg sind ist OK Du mußt unbedingt das www.windowsupdate.com machen!!!!!!!!!!!!!!!!!!!!!! Du hattest außerdem viele trojaner drauf. Ich würde alle wichtigen Onlinepassworte ändern, sonst kapert irgendwann jemand deinen Mailaccount. Außerdem. Verabschiede dich vom Internet Explorer und vom Outlook Lade dir den firefox bzw. mozilla http://firefox.stw.uni-duisburg.de/ oder Opera www.opera.com beide Browser sind erstens besser und zweitens viel, viel ,viel sicherer. Gruß Paff |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 31.05.2024, 15:02 |