HijackThis Log Auswertung!

Dieses Thema im Forum "Windows" wurde erstellt von gateway_2_hell, 3. September 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 3. September 2005
    Hi!

    Könnte mir wer bei der Auswertung meines HijackThis Logs helfen?
    Hab vieles bei Google nachgeschaut, aber trotzdem bin ich mir net sicher, besonders weil ich 2 Trojaner draufhatte, die meinen Upstream belegt hatten...

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 16:53:10, on 03.09.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
    C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
    C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
    C:\WINDOWS\system32\CTHELPER.EXE
    C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
    C:\Programme\Razer\razertra.exe
    C:\Programme\DU Meter\DUMeter.exe
    C:\Programme\Razer\razerofa.exe
    C:\Programme\Razer\razerhid.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
    C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
    C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
    C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
    C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
    C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Programme\Network Associates\Common Framework\FrameworkService.exe
    C:\Programme\Network Associates\VirusScan\Mcshield.exe
    C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
    C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\MsPMSPSv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
    C:\WINDOWS\system32\hpoipm07.exe
    C:\Dokumente und Einstellungen\xxxx xxxx\Desktop\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
    O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
    O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
    O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
    O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
    O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
    O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
    O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
    O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
    O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
    O4 - Startup: Mount Virtual Drive.lnk = C:\Programme\Walker Brothers\MountVD\MountVD.exe
    O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116106576911
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B14940C8-4159-403A-91FF-612375337603}: NameServer = 212.62.64.34 212.62.68.34
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
    O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
    O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
    O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
    O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    
    
     
  2. 3. September 2005
    Folgende Einträge näher angucken, und was Du net kennst fixen...
    Ansonsten schauts ganz gut aus...
    Ansonsten wenn Du Dir wegen dem Trojaner nicht sicher bist schau mal mit TCPVIEW nach verdächtigen offenen Verbindungen...
    http://www.tecchannel.de/services/freeshareware/netz-tools/kommunikation/400393/


    O4 - Startup: Mount Virtual Drive.lnk = C:\Programme\Walker Brothers\MountVD\MountVD.exe - Unbekannt
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B14940C8-4159-403A-91FF-612375337603}: NameServer = 212.62.64.34 212.62.68.34 - Eventuell Böse
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe - Unbekannt

    PS
    Auswerten kannst Du auch hier:
    http://www.hijackthis.de/de
    Und danach unten rechts auf: "Kurzauswertung" klicken
     
  3. 3. September 2005
    Danke, alles klar!

    Hast ne 10 :]
     
  4. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.