 bitte logfile auswerten,danke :> |
|
Snoke
Mitglied
Dabei seit: 13.05.2005
Beiträge: 3
Level: 19 [?]
Erfahrungspunkte: 20.778
Nächster Level: 22.851
 |
|
| bitte logfile auswerten,danke :> |
     |
servus leutz,hab gehört das hier is n gutes board zum auswerten von hjt logfiles.da ich von sowas keine ahnung hab,wende ich mich also mal an euch.hier des logfile:
Logfile of HijackThis v1.99.1
Scan saved at 21:47:54, on 13.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\MFCCT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\AOL 9.0G\WAOL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\AOL 9.0G\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
R3 - Default URLSearchHook is missing
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: Class - {7CDDB620-5ABD-0600-A30E-EA965954291F} - C:\WINDOWS\MSCQ.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN APPS\MSN TOOLBAR\01.02.4000.1001\DE\MSNTB.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WAOL.EXE] C:\PROGRAMME\AOL 9.0G\WAOL.EXE
O4 - HKLM\..\Run: [MFCCT.EXE] C:\WINDOWS\MFCCT.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - h**p://www.emusic.com?fref=149133 (file missing)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
danke :p
peace and greetz,Snoke
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Snoke: 13.05.2005 21:51.
|
|
13.05.2005 21:51 |
|
|
| |
|
Vimes 
Super Moderator
Dabei seit: 27.03.2005
Beiträge: 1.316
Level: 49 [?]
Erfahrungspunkte: 9.176.293
Nächster Level: 10.000.000
|
|
| RE: bitte logfile auswerten,danke :> |
|
Servus Snoke,
vorbildlich, daß Du die Links gleich unkenntlich gemacht hast.
Unsere Experten sagen Dir auch noch was dazu, ich mach einfach mal den Anfang.
C:\WINDOWS\MFCCT.EXE
Das ist glaub ich schon mal ein Schädling.
C:\WINDOWS\SYSTEM\WMIEXE.EXE
Der steht normalerweise im System32 Ordner. So ist es wahrscheinlich auch ein Schädling.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
Hm. Google schweigt sich darüber aus, kommt mir aber nicht geheuer vor.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
Dito.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\obxey.dll/sp.html#83556
Wie oben.
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\obxey.dll/sp.html#83556
O4 - HKLM\..\Run: [MFCCT.EXE] C:\WINDOWS\MFCCT.EXE
Siehe meine Anmerkung oben.
O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - h**p://www.emusic.com?fref=149133 (file missing)
Hast Du so was installiert / in Nutzung?
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}
Nutzt Du so was?
(MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
Dito?
Für mich siehts so aus, als hättest Du ungebetene Gäste an Bord.
MfG
Vimes
__________________
1. Kor 3,11: "Einen anderen Grund kann niemand legen als den, der gelegt ist, welcher ist Jesus Christus."
gnupg-Key-ID: 7C6A8303; Fingerprint: 9D29 C76C 4C7E 4A5C 8915 8686 49DE 7906 7C6A 8303
|
|
|
13.05.2005 22:15 |
|
|
| |
|
MobyDuck
Lebende Foren Legende
Dabei seit: 05.03.2005
Beiträge: 1.685
Level: 51 [?]
Erfahrungspunkte: 11.786.153
Nächster Level: 13.849.320
|
|
Hi Snoke,
bitte überprüfe die Datei C:\WINDOWS\MFCCT.EXE hier und poste das Ergebnis.
Fixe folgende Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\obxey.dll/sp.html#83556
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\obxey.dll/sp.html#83556
(alle)
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7CDDB620-5ABD-0600-A30E-EA965954291F} - C:\WINDOWS\MSCQ.DLL
O4 - HKLM\..\Run: [MFCCT.EXE] C:\WINDOWS\MFCCT.EXE
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
Nachdem du uns das ergebnis des Jotti-Scans mitgeteilt hast, lösche manuell C:\WINDOWS\MFCCT.EXE
Lade dir E-Scan runter und führe das Programm aus. Gehe genau nach dieser Anleitung vor:
http://www.dedies-board.de/wbb2/thread.php?threadid=286
und poste uns die 'Virus Log Information' |
|
|
13.05.2005 22:57 |
|
|
| |
|
MobyDuck
Lebende Foren Legende
Dabei seit: 05.03.2005
Beiträge: 1.685
Level: 51 [?]
Erfahrungspunkte: 11.786.153
Nächster Level: 13.849.320
|
|
|
|
14.05.2005 21:34 |
|
|
| |
|
deoroller
Routinier
Dabei seit: 30.03.2005
Beiträge: 487
Level: 43 [?]
Erfahrungspunkte: 3.394.306
Nächster Level: 3.609.430
|
|
Das bestätigt mir mal wieder, dass ich mit Kaspersky Anti-Virus einen guten Virenscanner installiert habe. Der hat schon öfters Trojan-Downloader beim Eintritt in den Browsercache gefunden, lange bevor sie aktiv werden konnten. Man muss aber nicht unbedingt einen Scanner haben, der alles merkt. Wenn man Brain 1.0 einsetzt, kann man auch mit regelmäßigen Löschen der Internetcachescaches (Java, IE, andere Browser) schlimmes verhindern.
edit:
Kaspersky läuft bei mir mit zwei Systemprozessen im Speicher. Einmal der normale Virenscanner, der bei Bedarf gestartet (on Demand Scanner) wird (zB. mit rechtklick auf eine Datei aus dem Kontextmenü heraus) und dann der Hintergrundwächter (on Access-Scanner) der jede Datei scannt, die in den RAM geladen wird.
Ist der HIntergrundwächter deaktiviert, bzw. läuft keiner, werden auch Trojaner (oder Trojan-Downloader), die von vielen nicht vertrauenswürdigen Seiten mit in den Internetcache gepült werden nicht dabei erkannt. Das können auch Dialer sein.
__________________
Therapeut: "Wo genau liegt denn jetzt Ihr Problem, Mr. Tentakel?"
Thaddäus: "Es fing alles an...als ich geboren wurde!"
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von deoroller: 17.05.2005 00:22.
|
|
|
16.05.2005 11:38 |
|
|
| |
|
