HijackThis - Logfile

Hallo,

ich bitte um Überprüfung des Logfiles. Danke.


http://www.hijackthis.de/logfiles/65e95297b45e7cbe70254c83b726e44e.html

 

Hallo,
da ist Adware auf deinem Computer gehe mal in den abgesicherten modus (F8 beim booten) und löschen die Datei C:\WINDOWS\system32\hlwin.dll (Dateien richtig suchen)
dann fixt(Haken davor und auf "fix checked") du folgende Einträge:
O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\system32\hlwin.dll
O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\system32\hlwin.dll

danach erstellst du ein neues Logfile und postest wieder den Link zur Auswertung.


Grüße Jasager

 

Hallo Jasager,

habe den PC im abgesicherten Modus gestartet und nach "hlwin.dll" gesucht. Konnte die Datei nicht finden. Suchoptionen so eingestellt, wie unter "Dateien richtig suchen" beschrieben.

Gruß
Sonoma

 

Hallo,
die müßte aber eigentlich da sein, siehst du die anderen im system32 Ordner enthaltenen Dateien?
Lass mal Ewido im abgesicherten Modus laufen und poste das Log, bereinigt von den ganzen Cookiesmeldungen.


Grüße Jasager

 

@Sonoma

Arbeitest du in einem Benutzerkonto mit eingeschränkten Rechten?

Dann ist der Schreibzugriff auf das Systemverzeichnis gesperrt und die "hlwin.dll" konnte dort nicht eingeschleust werden, beim Versuch den PC zu infizieren.

 

Hallo,

müßte dann aber nicht ein "file missing" hinter dem O2 und O18 Eintrag stehen?


Grüße Jasager

 

@Jasager
Hast wahrscheinlich Recht.

Wenn die Datei da ist, sie aber mit normalen Mitteln nicht sichtbar zu machen ist, könnte ein Rootkit das verhindern.

Was das bedeutet, brauche ich dir wohl nicht zu sagen.

 

Die Konsequenzen sollten klar sein - aber an die Datei kommt man vielleicht per Netzwerk. Bis zum Login-Screen das System hochfahren und dann über einen anderen Rechner und die Administratorfreigaben die Datei suchen.

Gruss, Matthias

 

Hallo,
ich glaube noch nicht so richtig an ein Rootkit, eher an einen Bedienfehler des TE. Ein normales Rootkit hätte dann nämlich auch die beiden HijackThis Einträge getarnt, aber mal abwarten.
Ein Test mit F-Secure Blacklight kann aber nicht schaden, auch wenn damit natürlich nichts ausgeschloßen werden kann.


Grüße Jasager

 

Hallo,

sende Dir hier das Log von "evido".

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 14:36:31, 14.12.2005
+ Report-Checksumme: EE878534

+ Scanergebnis:

HKU\S-1-5-21-1685927933-681764103-101265881-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\flirttoday.de -> Spyware.LZIO : Ignoriert


::Report Ende

Gruß

 

Hallo,
hmm, da ist nichts zu sehen von der hlwin.dll, lasse mal F-Secure Blacklight scannen und poste das Log (Textdatei die im selben Ordner nach dem Scan erscheint).


Grüße Jasager

 

Hallo,

und hier das nächste Log ...


12/14/05 19:10:39 [Info]: BlackLight Engine 1.0.30 initialized
12/14/05 19:10:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/14/05 19:10:39 [Note]: 7019 4
12/14/05 19:10:39 [Note]: 7005 0
12/14/05 19:10:54 [Note]: 7006 0
12/14/05 19:10:54 [Note]: 7011 1004
12/14/05 19:10:55 [Note]: FSRAW library version 1.7.1014
12/14/05 19:12:30 [Note]: 7007 0


Gruß

 

Hallo,
auch nichts zu erkennen, mach mal einen Onlinescan bei Panda und poste das Ergebnis.


Grüße Jasager

 

lade dir das tool spy sweeper runter und lass das mal rüberlaufen dauert zwar bissel länger aber dafür iss es sehr gründlich und vorab kannst ja auch online scan machen um zu sehen was alles auf dein system hast hier iss der link dahin http://www.webroot.com/de/

 

Hallo,
Spysweeper ist zwar nicht schlecht, aber so toll das du es in jedem Thread anpreisen mußt ist es auch nicht.


Grüße Jasager

 

Hallo,

Hier das "Panda" Log: Ereignis Zustand Standort

Hacktool:Hacktool/VTestTool Nicht desinfiziert C:\Programme\AxBx\PC Security Test 2005\files\virus1.txt


Gruß