Hijackthis Logfile-bitte auswerten

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Final, 2. November 2008 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 2. November 2008
    abend,

    einem bekannten von mir werden seit gestern ständig accounts gestohlen,
    das fing an mit icq, über steam, bis hin zu gespeicherten daten im browser;
    antivir hat nichts gefunden bei ihm und da ich das von hier kenne hab ich ihm gesagt er soll mal ein logfile mit hijackthis erstellen;
    da ich aber keine ahnung von dem ganzen kram habe, hoffe ich, mir wird hier bei der auswertung geholfen (der online auswertung vertraue ich nicht so^^)

    vielen dank schonmal,
    grtz

    (bw´s werden nat. verteilt)
    Spoiler
    PHP:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19     : 28 : 34 on 02.11.2008
    Platform     Windows XP SP2  ( WinNT 5.01.2600 )
    MSIE Internet Explorer v7.00  ( 7.00.6000.16735 )
    Boot mode Normal

    Running processes     :
    C :\ WINDOWS \ System32 \ smss . exe
    C     :\ WINDOWS \ system32 \ winlogon . exe
    C     :\ WINDOWS \ system32 \ services . exe
    C     :\ WINDOWS \ system32 \ lsass . exe
    C     :\ WINDOWS \ system32 \ Ati2evxx . exe
    C     :\ WINDOWS \ system32 \ svchost . exe
    C     :\ WINDOWS \ System32 \ svchost . exe
    C     :\ WINDOWS \ system32 \ svchost . exe
    C     :\ WINDOWS \ system32 \ Ati2evxx . exe
    C     :\ WINDOWS \ system32 \ spoolsv . exe
    C     :\ Programme \ Avira \ AntiVir PersonalEdition Classic \ avguard . exe
    C     :\ WINDOWS \ Explorer . EXE
    C     :\ Programme \ Analog Devices \ Core \ smax4pnp . exe
    C     :\ Programme \ Avira \ AntiVir PersonalEdition Classic \ avgnt . exe
    C     :\ Programme \ Dell \ Media Experience \ PCMService . exe
    C     :\ Programme \ CyberLink \ PowerDVD \ DVDLauncher . exe
    C     :\ WINDOWS \ system32 \ dla \ tfswctrl . exe
    C     :\ Programme \ Winamp \ winampa . exe
    C     :\ Programme \ Java \ jre1.6.0_07 \ bin \ jusched . exe
    C     :\ Programme \ ATI Technologies \ ATI . ACE \ Core -Static\ MOM . EXE
    C     :\ WINDOWS \ system32 \ ctfmon . exe
    D     :\ programme \ steam \ steam . exe
    C     :\ Programme \ Messenger \ msmsgs . exe
    D     :\ Programme \ ICQ6 \ ICQ . exe
    C     :\ Programme \ ATI Technologies \ ATI . ACE \ Core -Static\ ccc . exe
    C     :\ Programme \ Avira \ AntiVir PersonalEdition Classic \ sched . exe
    C     :\ Programme \ ICQ6Toolbar \ ICQ Service . exe
    C     :\ WINDOWS \ system32 \ PnkBstrA . exe
    C     :\ WINDOWS \ system32 \ svchost . exe
    C     :\ WINDOWS \ System32 \ svchost . exe
    C     :\ WINDOWS \ system32 \ wscntfy . exe
    C     :\ WINDOWS \ system32 \ wuauclt . exe
    C     :\ Programme \ Teamspeak2_RC2 \ TeamSpeak . exe
    c     :\ programme \ internet explorer \ iexplore . exe
    d     :\ Programme \ Trend Micro \ HijackThis \ HijackThis . exe

    R1      HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Search Bar  http : //google.icq.com/search/search_frame.php
    R1  HKCU \ Software \ Microsoft \ Internet Explorer \ Main , Search Page  http : //google.icq.com
    R1  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Default_Page_URL  http : //go.microsoft.com/fwlink/?LinkId=69157
    R1  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Default_Search_URL  http : //go.microsoft.com/fwlink/?LinkId=54896
    R1  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Search Page  http : //go.microsoft.com/fwlink/?LinkId=54896
    R0  HKLM \ Software \ Microsoft \ Internet Explorer \ Main , Start Page  http : //go.microsoft.com/fwlink/?LinkId=69157
    R3  URLSearchHook ICQToolBar  - { 855F3B16 - 6D32 - 4fe6 - 8A56 - BBB695989046 } -  C :\ Programme \ ICQ6Toolbar \ ICQToolBar . dll
    R3      URLSearchHook : ( no name ) -  - ( no file )
    O2  BHO XTTBPos00  - { 055FD26D - 3A88 - 4e15 - 963D - DC8493744B1D } -  C :\ PROGRA ~ 1 \ ICQTOO ~ 1 \ toolbaru . dll
    O2      BHO DriveLetterAccess  - { 5CA3D70E - 1895 - 11CF - 8E15 -001234567890} -  C :\ WINDOWS \ system32 \ dla \ tfswshx . dll
    O2      BHO SSVHelper  Class - { 761497BB - D6F0 - 462C - B6EB - D4DAF1D92D43 } -  C :\ Programme \ Java \ jre1.6.0_07 \ bin \ ssv . dll
    O2      BHO Google Toolbar Helper  - { AA58ED58 - 01DD - 4d91 - 8333 - CF10577473F7 } -  c :\ programme \ google \ googletoolbar2 . dll
    O3      Toolbar : & Google  - { 2318C2B1 - 4965 - 11d4 - 9B18 -009027 A5CD4F } -  c :\ programme \ google \ googletoolbar2 . dll
    O3      Toolbar ICQToolBar  - { 855F3B16 - 6D32 - 4fe6 - 8A56 - BBB695989046 } -  C :\ Programme \ ICQ6Toolbar \ ICQToolBar . dll
    O4      HKLM \..\ Run : [ SoundMAXPnP C :\ Programme \ Analog Devices \ Core \ smax4pnp . exe
    O4      HKLM \..\ Run : [ avgnt "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe"  / min
    O4      HKLM \..\ Run : [ PCMService "C:\Programme\Dell\Media Experience\PCMService.exe"
    O4  HKLM \..\ Run : [ DVDLauncher "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
    O4  HKLM \..\ Run : [ dla C :\ WINDOWS \ system32 \ dla \ tfswctrl . exe
    O4      HKLM \..\ Run : [ UpdateManager "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe"  / r
    O4      HKLM \..\ Run : [ WinampAgent C :\ Programme \ Winamp \ winampa . exe
    O4      HKLM \..\ Run : [ StartCCC "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
    O4  HKLM \..\ Run : [ SunJavaUpdateSched "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4  HKLM \..\ Run : [ ICQ Lite "d:\Programme\ICQLite\ICQLite.exe"  - minimize
    O4      HKCU \..\ Run : [ CTFMON . EXE C :\ WINDOWS \ system32 \ ctfmon . exe
    O4      HKCU \..\ Run : [ Steam "d:\programme\steam\steam.exe"  - silent
    O4      HKCU \..\ Run : [ MSMSGS "C:\Programme\Messenger\msmsgs.exe"  / background
    O4      HKCU \..\ Run : [ ICQ "D:\Programme\ICQ6\ICQ.exe"  silent
    O4      HKCU \..\ RunOnce : [ ICQ Lite D :\ Programme \ ICQLite \ ICQLite . exe  - trayboot
    O4      HKUS \ S - 1 - 5 - 19 \..\ Run : [ CTFMON . EXE C :\ WINDOWS \ system32 \ CTFMON . EXE  ( User  'LOKALER DIENST' )
    O4  HKUS \ S - 1 - 5 - 19 \..\ RunOnce : [ nltide_3 rundll32 advpack . dll , LaunchINFSectionEx nLite . inf , C ,, 4 , ( User  'LOKALER DIENST' )
    O4  HKUS \ S - 1 - 5 - 20 \..\ Run : [ CTFMON . EXE C :\ WINDOWS \ system32 \ CTFMON . EXE  ( User  'NETZWERKDIENST' )
    O4  HKUS \ S - 1 - 5 - 20 \..\ RunOnce : [ nltide_3 rundll32 advpack . dll , LaunchINFSectionEx nLite . inf , C ,, 4 , ( User  'NETZWERKDIENST' )
    O4  HKUS \ S - 1 - 5 - 18 \..\ Run : [ CTFMON . EXE C :\ WINDOWS \ system32 \ CTFMON . EXE  ( User  'SYSTEM' )
    O4  HKUS \ S - 1 - 5 - 18 \..\ RunOnce : [ nltide_3 rundll32 advpack . dll , LaunchINFSectionEx nLite . inf , C ,, 4 , ( User  'SYSTEM' )
    O4  HKUS \.DEFAULT\..\ Run : [ CTFMON . EXE C :\ WINDOWS \ system32 \ CTFMON . EXE  ( User  'Default user' )
    O4  HKUS \.DEFAULT\..\ RunOnce : [ nltide_3 rundll32 advpack . dll , LaunchINFSectionEx nLite . inf , C ,, 4 , ( User  'Default user' )
    O9  Extra button : ( no name ) - {08 B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 } -  C :\ Programme \ Java \ jre1.6.0_07 \ bin \ ssv . dll
    O9      Extra  'Tools'  menuitem Sun Java Konsole  - {08 B0E5C0 - 4FCB - 11CF - AAA5 - 00401C608501 } -  C :\ Programme \ Java \ jre1.6.0_07 \ bin \ ssv . dll
    O9      Extra button ICQ Lite  - { B863453A - 26C3 - 4e1f - A54D - A2CD196348E9 } -  d :\ Programme \ ICQLite \ ICQLite . exe
    O9      Extra  'Tools'  menuitem ICQ Lite  - { B863453A - 26C3 - 4e1f - A54D - A2CD196348E9 } -  d :\ Programme \ ICQLite \ ICQLite . exe
    O9      Extra button : ( no name ) - { e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 } -  C :\ WINDOWS \ Network Diagnostic \ xpnetdiag . exe
    O9      Extra  'Tools'  menuitem : @ xpsp3res . dll ,- 20001  - { e2e2dd38 - d088 - 4134 - 82b7 - f2ba38496583 } -  C :\ WINDOWS \ Network Diagnostic \ xpnetdiag . exe
    O9      Extra button ICQ6  - { E59EB121 - F339 - 4851 - A3BA - FE49C35617C2 } -  d :\ Programme \ ICQ6 \ ICQ . exe
    O9      Extra  'Tools'  menuitem ICQ6  - { E59EB121 - F339 - 4851 - A3BA - FE49C35617C2 } -  d :\ Programme \ ICQ6 \ ICQ . exe
    O9      Extra button Messenger  - { FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 } -  C :\ Programme \ Messenger \ msmsgs . exe
    O9      Extra  'Tools'  menuitem Windows Messenger  - { FB5F1910 - F110 - 11d2 - BB9E - 00C04F795683 } -  C :\ Programme \ Messenger \ msmsgs . exe
    O16      DPF : { 6414512B - B978 - 451D - A0D8 - FCFDF33E833C } ( WUWebControl  Class) -  http : //www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194637498468
    O16  DPF : { BA162249 - F2C5 - 4851 - 8ADC - FC58CB424243 } ( Image Uploader Control ) -  http : //static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1213533618
    O16  DPF : { D27CDB6E - AE6D - 11CF - 96B8 - 444553540000 } ( Shockwave Flash Object ) -  http : //fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23  Service AntiVir PersonalEdition Classic Planer  ( AntiVirScheduler ) -  Avira GmbH  C :\ Programme \ Avira \ AntiVir PersonalEdition Classic \ sched . exe
    O23      Service AntiVir PersonalEdition Classic Guard  ( AntiVirService ) -  Avira GmbH  C :\ Programme \ Avira \ AntiVir PersonalEdition Classic \ avguard . exe
    O23      Service Ati HotKey Poller  ATI Technologies Inc . -  C :\ WINDOWS \ system32 \ Ati2evxx . exe
    O23      Service ATI Smart  Unknown owner  C :\ WINDOWS \ system32 \ ati2sgag . exe
    O23      Service Google Updater Service  ( gusvc ) -  Google  C :\ Programme \ Google \ Common \ Google Updater \ GoogleUpdaterService . exe
    O23      Service ICQ Service  Unknown owner  C :\ Programme \ ICQ6Toolbar \ ICQ Service . exe
    O23      Service PnkBstrA  Unknown owner  C :\ WINDOWS \ system32 \ PnkBstrA . exe

    --
    End of file  7542 bytes
     
  3. 3. November 2008
    AW: Hijackthis Logfile-bitte auswerten

    Gibt viele Möglichkeiten was man tun könnte, z.B.

    - Nicht immer das gleiche Passwort verwenden
    - versch. Virenscanner (mit aktuellen Pattern)nutzen (evlt. auch Knoppicillin )
    - Autostart reinigen
    - Anti-Maleware Tools (Spybot und Co)
    - Betriebssystem Updaten
    - Social Engineering (z.B. Freunde/Familie am PC und die "Speichere Passwörter" Funktion ist aktiv)

    ... und eine Logfile von Hijackthis die auch dem normalen Standard entspricht, da bei der Logfile zumindest mal die "\" fehlen.
     
  4. 3. November 2008
    AW: Hijackthis Logfile-bitte auswerten

    Hi


    Komisch...,

    D rogrammesteamsteam.exe
    C rogrammeMessengermsmsgs.exe

    Hat dein Kollege auf beiden Partitionen installiert?


    Auch diese Einträge kann man rauswerfen

    R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://google.icq.com/search/search_frame.php
    R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = ICQ.com Search
    R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = Bing
    R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = Bing
    R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C rogrammeICQ6ToolbarICQToolBar.dll
    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C ROGRA~1ICQTOO~1toolbaru.dll
    O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:WINDOWSsystem32dlatfswshx.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C rogrammeJavajre1.6.0_07binssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c rogrammegooglegoogletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c rogrammegooglegoogletoolbar2.dll
    O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C rogrammeICQ6ToolbarICQToolBar.dll


    Hab glaube ich die Datei gefunden die dir so ärger macht:
    O4 - HKLM..Run: [dla] C:WINDOWSsystem32dlatfswctrl.exe

    Google spuckt aus das n' virus ist... also alles mit dlatfswctrl.exe rauskicken und auch löschen auf der HD!

    Ansonsten mal den Grafikkartentreiber noch richtig deinstallieren,(läuft einer noch im Hintergrund)und mit Spybot Search&destroy mal bisschen aufräumen, aber mit all den Minuten des Suchens würde ich ein Neuaufsetzen mal wieder machen...

    Gruss
     
  5. 3. November 2008
    AW: Hijackthis Logfile-bitte auswerten

    HijackThis Logfileauswertung

    da kannste auch auswerten lassen, allerdings scheint was nicht zu stimmen mit der log, einige anwendungen sind "nicht bekannt"

    mfg
     
  6. 3. November 2008
    AW: Hijackthis Logfile-bitte auswerten

    okay,
    da nun halbwegs klar ist, dass da was nicht stimmt, werd ich ihn dazu bringen seine platten zu formatieren;
    das wollten wir vermeiden, da er absolut 0 plan hat wie man überhaupt windows installiert oder so, und zu allem überfluss auch noch 400km entfernt wohnt^^

    aber das wird schon irgendwie;
    danke für die hilfe, bewertungen habter
     
  7. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.