HJT File auswerten

Dieses Thema im Forum "Windows XP Probleme" wurde erstellt von PC17, 12.03.2011.

  1. PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
    Guten Abend,

    könnte sich bitte mal jemand dieses HJT Log file anschauen:

    Code:
    Logfile of Trend Micro HijackThis v2.0.4
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.17095)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    *C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
    C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
    C:\Programme\ThreatFire\TFService.exe
    C:\WINDOWS\System32\alg.exe
    *C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Symantec\Symantec Endpoint Protection\SmcGui.exe
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    *C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    C:\Programme\ThreatFire\TFTray.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    *C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    *C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
    *C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\rdpclip.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\wuauclt.exe
    *C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    C:\Dokumente und Einstellungen\Admin\Desktop\HiJackThis204.exe
    C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\plugin-container.exe
    c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
    C:\WINDOWS\system32\logon.scr
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    *R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    *O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
    *O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
    *O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    *O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    *O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
    O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [DWQueuedReporting] "c:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" -t
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    *O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
    *O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    *O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    *O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    *O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6E718D87-6909-4FCE-92D4-EDCB2F725727} (Navigram Control) - file:///C:/Programme/B2B%20Netshop/VIEWERINSTALL/applications/Navigram.cab
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
    *O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
    *O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    *O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    *O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
    *O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    *O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    *O23 - Service: ServiceLayer - Nokia - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Smc.exe
    O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\SNAC.EXE
    O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programme\Symantec\Symantec Endpoint Protection\Rtvscan.exe
    O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:\Programme\Fujitsu Siemens Computers\SystemDiagnostics\OnlineDiagnostic\TestManager\TestHandler.exe
    O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe
    
    --
    End of file - 8464 bytes
    
    *würde ich alle mal fixen?

    Ist irgendwas auffälliges dabei?
    Auf dem PC ist Symatec installiert wie man auch im Log file erkennen kann, bei Symatec gibt es ein LiveUpdate, dass aber vom Administrator gesperrt wurde.
    Der User ist aber Admin und auch beim Administrator Konto kommt die selbe Nachricht.

    Ein Problem besteht noch man kann das Framwork 3.5 nicht installieren, nicht über WIN update sowie die Installer.exe downloaden oder das ganze Framework donwloaden und installieren.

    Vor kurzem tauchte auch der Fake Virus auf. Wurde auf weiters behoben beim Neustart kommt der Hintergrund nicht mehr.

    Besten Dank im voraus

    MfG PC17
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 xandros, 12.03.2011
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Der User ist vielleicht Benutzer mit eingeschraenkten Admin-Rechten, aber niemals Admin.
    Ist der Rechner vielleicht Mitglied einer Windows-Domaene? Dann kann das Symantec-Problem nur vom Domaenen-Administrator behoben werden. (auf Privatrechnern findet man Symantecs EPP normalerweise nicht an....)

    Wenn der Rechner Mitglied einer Domaene ist, dann muss auch das .NET-Framework 3.5/4.0 (je nachdem was genau gebraucht wird!) vom Domaenen-Admin eingespielt oder bereitgestellt werden. (Eventuell existiert sogar ein WSUS im Netz?)
     
  4. PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
    Ob der Rechner zu einer Domäne gehört kann ich nicht sagen, ist nicht mein PC.
    Der PC steht alleine in einem ganz normalen Heimnetzwerk über einen Router.
    Aber was ich weiß wurde er vorher von jemanden anderen eingerichtet, aufgesetzt, da könnte das leicht möglich sein.

    Okay, dass kann sein, dass das Konto keine Adminrechte hat aber ich habe es auch über Neustart->strg+alt+enf probiert und mich unter Administrator angemeldet.
     
  5. #4 xandros, 12.03.2011
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Das Logfile ist bis auf ein paar Eintraege mit "(no file)" unnauffaellig und zeigt keine merkwuerdigen Dinge, die man genauer unter die Lupe nehmen sollte.

    Allerdings wuerde ich bei dem geschilderten Problem und dem schon gefundenen Fake dann doch mal lieber einen Blick in ein Malwarebytes-Logfile werfen wollen.
     
  6. #5 PC17, 12.03.2011
    Zuletzt bearbeitet: 12.03.2011
    PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
  7. #6 Leonixx, 13.03.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Du solltest erstmal wissen, was fixen bedeutet, nämlich lediglich den Eintrag in der Registry zu löschen. Wenn Schädlinge auf dem System sind, bringt das nichts.

    Poste die Logs von Superantispyware und Housecall.

    Wenn die Funde tatsächlich zu Rootkits gehören und du die gefundenen Einträge nicht falsch interpretierst, dann Rechner neuinstallieren.
     
  8. PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
    Wird wohl eine Neuinstallation werden.
    Hier mal die gefunden Viren von Houscall.
    MalwareBytes und Superantispyware folgen, scanne gerade das ganze System und sieht nicht gut aus.
     
  9. PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
    MalwareBytes Log file:
    Code:
    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org
    
    Datenbank Version: 6041
    
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702
    
    13.03.2011 19:41:01
    mbam-log-2011-03-13 (19-40-53).txt
    
    Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
    Durchsuchte Objekte: 277629
    Laufzeit: 4 Stunde(n), 55 Minute(n), 35 Sekunde(n)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 11
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\10000001b00002i\msiexec.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\1000000b00002i\rundll32.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\1000000b00002i\verclsid.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000001300002i\hpgs2wnf.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000001500002i\HPZipm12.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\40000015b00002i\nmindexstoresvr.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\400000600002i\acrord32info.exe (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000006100002i\HPZSTC05.EXE (Trojan.IRCBot) -> No action taken.
    *c:\dokumente und einstellungen\Admin\anwendungsdaten\thinstall\microsoft office enterprise 2007\4000006c00002i\HPZTBX05.exe (Trojan.IRCBot) -> No action taken.
    c:\dokumente und einstellungen\Admin\lokale einstellungen\Temp\0.8451861826930317.exe (Trojan.FakeAlert) -> No action taken.
    c:\system volume information\_restore{f3b3379e-8444-4d30-9cc3-b2352c54ec21}\RP660\A0181546.exe (Trojan.IRCBot) -> No action taken.
    
    
    *stammt anscheinend von einem Plugin, dass er von einem Freund bekommen hatte.

    Superantispyware



    Wie gefählich sinde die Viren ist es notwendig den PC neu aufzusetzten?

    Besten Dank PC17
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Leonixx, 14.03.2011
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Kurz und knapp, ja bei diesem Grad der Infizierung.
     
  12. PC17

    PC17 Erfahrener Benutzer

    Dabei seit:
    09.01.2009
    Beiträge:
    346
    Zustimmungen:
    0
    Kann man sagen was die Viren angestellt haben, wenn ich ein Virustotal Log file poste?
    Weil erfolgreich wurden sie gelöscht sie existieren in den jeweiligen Ordner nicht mehr.
    Werde ihn sowieso neu installieren, würde es trotzdem gerne wissen was die Viren machen.
     
Thema: HJT File auswerten
Besucher kamen mit folgenden Suchen
  1. Rdpclip.exe download windows xp

    ,
  2. googletoolbarnotifier administrator

    ,
  3. igfxsrvc.exe windows xp sicherer download

Die Seite wird geladen...

HJT File auswerten - Ähnliche Themen

  1. Python: Daten in xlsx file

    Python: Daten in xlsx file: Hi, Kennt jemand eine simple Möglichkeit Zahlen die ich mit python in ein Array gespeichert habe in ein existierendes .xlsx file an eine...
  2. String auswerten in C ?

    String auswerten in C ?: hi Leute, hab da ein kleines Problem. Und zwar habe ich aus einer sehr großen Datei geschafft eine Zeile die ich brauche so suchen zu lassen...
  3. Disasseble .o File ?

    Disasseble .o File ?: Hi, wie kann ich ein object file (.o) mit der Hilfe von objdump oder nm (GCC) in ein .o.as File formatieren ? Danke euch schon mal Andere...
  4. Bluescreen auswerten

    Bluescreen auswerten: Hallo liebe Community In längeren Abständen habe ich immer mal ein Bluescreen. Habe den PC jetzt ca 6 Monate und dabei kam es zu genau 2...
  5. Program Files auf andere Platte/Partition

    Program Files auf andere Platte/Partition: Hallo Leute, ich habe gestern mal Windows 7 Professional 64-bit auf meine SSD (Samsung 840 Pro 128GB) installiert. Funktionierte alles soweit...