Home » Viren, Trojaner & Malware Forum » Logfile HijackThis auswertung bitte + stanit » Themenansicht

Logfile HijackThis auswertung bitte + stanit
#0
30.06.2006, 09:55
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 MenHit

1.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

PestTrap

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

2.
LSPfix
http://www.spychecker.com/program/lspfix.html
schreibe, welche dll du findest (nichts loeschen !!!)

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Program Files\PestTrap" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Neox\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.07.2006, 23:52
luv
Member

Beiträge: 39
#17 Also zuerst natürlich ein dickes sry, dass ich mich hier einmisch, aber kaum bin ich 2 tage nicht da, schon stimmt nichts mehr an dem PC ..... ;)

a) Ich habe komischerweise bei Mozilla eine Yahoo! Toolbar, die unter keinen Umständen weggehen will....
b) Im Internet Explorer ist eine Startseite (sie lässt sich auch nicht ändern, jegliche Versuche misslangen) und kein Mensch weiß woher die herkommt auf einmal....
c) Der PC hängt und ist viiiiiiiiiiiel langsamer als vor 2 Tagen.....

Ich wär so froh um ne Hilfe....

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 23:45:53, on 03.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\LVComsX.exe
D:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Emrah\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.sibertr.net/papatya.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145106904621
O20 - Winlogon Notify: SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74B1-F2F5

Verzeichnis von C:\WINDOWS\system32

03.07.2006 19:53 54.112 vsconfig.xml
28.06.2006 23:15 4.212 zllictbl.dat
20.06.2006 23:33 42.920 vsutil_loc0407.dll
20.06.2006 23:33 394.872 vsdatant.sys
20.06.2006 23:32 71.672 zlcommdb.dll
20.06.2006 23:32 83.960 zlcomm.dll
20.06.2006 23:32 440.312 vsutil.dll
20.06.2006 23:32 100.344 vsxml.dll
20.06.2006 23:32 59.384 vswmi.dll
20.06.2006 23:32 71.672 vsregexp.dll
20.06.2006 23:32 268.280 vspubapi.dll
20.06.2006 23:32 157.688 vsinit.dll
20.06.2006 23:32 104.440 vsmonapi.dll
20.06.2006 23:32 83.960 vsdata.dll
20.06.2006 23:32 796.584 libeay32_0.9.6l.dll
09.06.2006 03:19 5.967.776 MRT.exe
02.06.2006 15:42 53.248 unrar.dll
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:30 1.494.016 shdocvw.dll
21.05.2006 16:51 221.632 FNTCACHE.DAT
19.05.2006 17:09 3.073.536 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:57 27.136 xpsp3res.dll
10.05.2006 07:23 664.064 wininet.dll
10.05.2006 07:22 474.624 shlwapi.dll
10.05.2006 07:22 615.936 urlmon.dll
10.05.2006 07:22 39.424 pngfilt.dll
10.05.2006 07:22 532.480 mstime.dll
10.05.2006 07:22 448.512 mshtmled.dll
10.05.2006 07:22 146.432 msrating.dll
10.05.2006 07:22 16.384 jsproxy.dll
10.05.2006 07:22 96.768 inseng.dll
10.05.2006 07:22 357.888 dxtmsft.dll
10.05.2006 07:22 1.056.256 danim.dll
10.05.2006 07:22 55.808 extmgr.dll
10.05.2006 07:22 251.392 iepeers.dll
10.05.2006 07:22 205.312 dxtrans.dll
10.05.2006 07:22 1.022.976 browseui.dll
10.05.2006 07:22 152.064 cdfview.dll
05.05.2006 21:48 1.197 lvcoinst.log
24.04.2006 15:40 4.730.880 wmp.dll
21.04.2006 16:32 176.167 rmoc3260.dll
21.04.2006 16:31 5.632 pndx5032.dll
21.04.2006 16:31 6.656 pndx5016.dll
21.04.2006 16:31 278.528 pncrt.dll
21.04.2006 15:35 58.952 MsgPlusLoader.dll
20.04.2006 12:11 311.604 perfh009.dat
20.04.2006 12:11 39.992 perfc009.dat
20.04.2006 12:11 48.156 perfc007.dat
20.04.2006 12:11 316.594 perfh007.dat
20.04.2006 12:11 723.744 PerfStringBackup.INI
19.04.2006 11:27 2.206 wpa.dbl
17.04.2006 13:32 249 spupdwxp.log
16.04.2006 20:32 25.065 wmpscheme.xml
15.04.2006 16:02 7.006 jupdate-1.5.0_06-b05.log
15.04.2006 13:12 0 h323log.txt
15.04.2006 12:31 23.392 nscompat.tlb
15.04.2006 12:31 16.832 amcompat.tlb
15.04.2006 12:31 2.272 w95inf16.dll
15.04.2006 12:31 4.608 w95inf32.dll
15.04.2006 12:21 324 $winnt$.inf
15.04.2006 12:18 2.951 CONFIG.NT
15.04.2006 12:17 488 logonui.exe.manifest
15.04.2006 12:17 488 WindowsLogon.manifest
15.04.2006 12:17 749 cdplayer.exe.manifest
15.04.2006 12:17 749 nwc.cpl.manifest
15.04.2006 12:17 749 wuaucpl.cpl.manifest
15.04.2006 12:17 749 ncpa.cpl.manifest
15.04.2006 12:17 749 sapi.cpl.manifest
15.04.2006 12:15 21.740 emptyregdb.dat
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
01.03.2006 21:43 11.776 xolehlp.dll
01.03.2006 21:43 956.416 msdtctm.dll
01.03.2006 21:43 66.560 mtxclu.dll
01.03.2006 21:43 161.280 msdtcuiu.dll
01.03.2006 21:43 91.136 mtxoci.dll
01.03.2006 21:43 426.496 msdtcprx.dll
24.01.2006 19:34 118.784 sirenacm.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:35 68.096 webclnt.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74B1-F2F5

Verzeichnis von C:\DOKUME~1\luv\LOKALE~1\Temp

03.07.2006 21:44 16.384 ~DF8EA7.tmp
03.07.2006 21:44 512 ~DF76DE.tmp
03.07.2006 21:44 16.384 ~DF761E.tmp
3 Datei(en) 33.280 Bytes
0 Verzeichnis(se), 25.920.892.928 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74B1-F2F5

Verzeichnis von C:\WINDOWS

03.07.2006 20:00 1.540.930 WindowsUpdate.log
03.07.2006 19:52 159 wiadebug.log
03.07.2006 19:52 50 wiaservc.log
03.07.2006 19:52 2.048 bootstat.dat
03.07.2006 19:51 32.618 SchedLgU.Txt
03.07.2006 15:41 330 wininit.ini
03.07.2006 15:07 7.980 mozver.dat
03.07.2006 15:07 644 win.ini
23.05.2006 12:15 400 ODBC.INI
22.05.2006 18:58 1.080 gramit32.cfg
13.05.2006 15:53 726 eReg.dat
24.04.2006 20:30 211 uno.ini
23.04.2006 17:02 47.104 AKDeInstall.exe
23.04.2006 17:01 51 AKSetup.INI
21.04.2006 20:52 10.284 hpdj3740.ini
21.04.2006 20:52 166.550 hpdj3740.his
21.04.2006 20:48 183.996 hpdj3740.hi1
21.04.2006 20:48 9.170 hpdj3740.bu1
21.04.2006 18:04 26 Lic.xxx
20.04.2006 15:17 316.640 WMSysPr9.prx
20.04.2006 15:13 81.920 bwUnin-6.1.4.68-8876480L.exe
15.04.2006 19:47 0 Sti_Trace.log
15.04.2006 16:25 0 nsreg.dat
15.04.2006 16:14 345 Okey+.ini
15.04.2006 13:09 231 system.ini
15.04.2006 12:40 25 mixerdef.ini
15.04.2006 12:40 199 CMISETUP.INI
15.04.2006 12:40 26 CMCDPLAY.INI
15.04.2006 12:34 299.552 WMSysPrx.prx
15.04.2006 12:22 8.192 REGLOCS.OLD
15.04.2006 12:18 0 control.ini
15.04.2006 12:18 4.161 ODBCINST.INI
15.04.2006 12:17 749 WindowsShell.Manifest
15.04.2006 12:15 36 vb.ini
15.04.2006 12:15 37 vbaddin.ini


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 74B1-F2F5

Verzeichnis von C:\

03.07.2006 23:50 0 sys.txt
03.07.2006 23:50 4.359 system.txt
03.07.2006 23:49 390 systemtemp.txt
03.07.2006 23:49 97.383 system32.txt
03.07.2006 19:52 402.653.184 pagefile.sys
02.07.2006 21:51 17.230 hpfr3740.log
23.06.2006 09:12 150 YServer.txt
21.04.2006 19:04 0 23990098.$$$
21.04.2006 19:04 6 AVPCallback.log
20.04.2006 15:14 90 LogiSetup.log
17.04.2006 13:26 211 boot.ini
17.04.2006 13:16 47.564 NTDETECT.COM
17.04.2006 13:16 251.184 ntldr
15.04.2006 12:42 429 TO_InstallLog.txt
15.04.2006 12:33 184 Setup.log
15.04.2006 12:18 0 CONFIG.SYS
15.04.2006 12:18 0 IO.SYS
15.04.2006 12:18 0 MSDOS.SYS
15.04.2006 12:18 0 AUTOEXEC.BAT
Dieser Beitrag wurde am 04.07.2006 um 00:01 Uhr von luv editiert.
Seitenanfang Seitenende
04.07.2006, 00:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 es ist nichts zu sehen an Viren und die Startseite ist was tuerkisches.....
von der Yahoo-Toolbar ist nichts zu sehen.............

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 10:27
luv
Member

Beiträge: 39
#19 Hi Sabina !

Die Yahoo! Toolbar ist vielleicht deswegen nicht zu sehen, weil ich es über Systemsteuerung ---> Software schon gelöscht hab und bei hijack es schon gefixt habe. Aber dennoch ist sie bei Mozilla vorhanden.... Die Frage ist, wie bekommt man sie weg? Und ist es irgendwie ne art Spam oder so?

Zitat

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
Das hab ich vor dem Posting auch schon probiert, jedoch kommt die Antwort, dass die Webeinstellung sich nicht zurücksetzen lassen....
Oh mann, ich hasse es, wenn man an dem PC herumfuscht.....


Danke im Voraus schon mal.

Greeetz luv
Seitenanfang Seitenende
04.07.2006, 15:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 die Yahoo-Toolbar ist keine Malware.
scanne bitte mit deinem SUPERAntiSpyware und berichte, was in der Quarantaene ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2006, 17:13
luv
Member

Beiträge: 39
#21 Hi Sabina !

Das was SUPERAntispyware gefunden hat war nicht der Rede wert, das waren nur Protokolle von meinem MSN (als Text-Dateien).... Ich glaub dann is doch nix faul am PC... oder doch?

greeetz luv
Seitenanfang Seitenende
04.07.2006, 18:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ich kann nichts auffaelliges sehen... weder im HijackThis, noch in datfindbat ;)
du kannst ja mal Onlinescanns machen (ewido, panda usw...)
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12