Hallo Forum,

schön, dass es dich gibt, dies hier ist mein erstes Posting.

Folgendes Log ergab sich bei einem Freund:

Logfile of HijackThis v1.97.7
Scan saved at 18:36:12, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svmhost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Windows Update Monitoring Service] winupdt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe


Ich hab schon winxp2.exe rausgeschmissen und msex.exe und huy.exe war auch da.

Kann mir jemand sagen, was noch verdächtig nach Trojaner, etc. aussieht? Ich bin noch bischen neu und würde für's nächste mal gerne bescheid wissen. wenn ich hier nicht auf modem wäre, würde ich auch jede datei antivirenscannen lassen.

Folgende Phänomene auf dem PC noch:

Staroffice 5.2 startet sich 5-6 x automatisch
win32sec.exe (Diensteabschalter) hab ich ausgeführt, der hat das System lahmgelegt: kurz nach dem Boot erfolge ein Reboot, hat etwa 20 boots gebracucht, bis ich die ursache rausfand und schnell genug zurücksetzen konnte

Bin um jeden Hinweis dankbar.

schöne Grüße,
David

EDIT: kurze Anmerkung noch, hab momentan Kerio Personal FW installiert, damit nicht alles offen liegt.

Poste bitte ein neues Log mit der aktuellen HjackThis Version 1.99

http://filepony.de/download-hijackthis/

Danke für die schnelle Antwort. Hier das log:

Logfile of HijackThis v1.99.0
Scan saved at 18:50:05, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svmhost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\winnt.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Kerio\Personal Firewall\PERSFW.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\mozilla\mozilla.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\Run: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\Run: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management] winnt.exe
O4 - HKLM\..\RunServices: [Windows Update Monitoring Service] winupdt.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe

Weh oh weh so ein schlimmes Log habe ich lange nicht mehr gesehen!

Kurz und knapp format c:

Eine andere Alternative gibts für dich überhaupt nicht


Gruss

Hallo HerrKauz,

danke für den Tipp.

Ich habe das Log mit hxxp://www.hijackthis.de/ überprüft und versucht zu korrigieren, dabei kam folgendes raus:

Logfile of HijackThis v1.99.0
Scan saved at 18:59:45, on 20.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Kerio\Personal Firewall\PERSFW.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\mozilla\mozilla.exe
E:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.arlt.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [update run dos] logon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{6337E124-5FCB-4482-9EC5-74F7F32FB86D}: NameServer = 195.71.151.99 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe


Ich denke das ist schon besser.

Meinst du wirklich ich muss immer noch die Platte formatieren?`

Danke.

- David

Du hast immer noch eine Reihe von Backdoor Trojanern auf deinem System,das bedeutet,dass dein Rechner nicht mehr unter deiner Kontrolle ist,Format c: ist da das einzigst richtige in dem Moment!

Zudem solltest du dir unbedingt vorher das SP2 von MS runterladen und brennen!

Es ist kein Wunder bei dem ungepatchten System!

OT, ich lese mit und jeder, der mich kennt, sollte wissen was in mir vorgeht.
LG, Charlie

Zitat:

Zitat von charlie1

OT, ich lese mit und jeder, der mich kennt, sollte wissen was in mir vorgeht.
LG, Charlie

Und was bitte?

Das charlie1 ein Problem mit dem Neuaufsetzen eines Systems hat. Er würde ganz einfach den Prozess killen, die Registry Einträge entfernen....

Zitat:

Zitat von Cidre

Das charlie1 ein Problem mit dem Neuaufsetzen eines Systems hat. Er würde ganz einfach den Prozess killen, die Registry Einträge entfernen....

Also wenn du dem zustimmst hast auch du meiner bescheidenen Meinung nach nicht mehr alle Tassen im Schrank,du hast das Log schon gesehen,oder?
Aber ich geh eher mal von Ironie deinerseits aus

Ich gehe darauf nicht weiter ein, denn es hat wer ein kleines Problem.

Schreibe einfach, er möchte bitte gerne, dass was du da noch rot und gelb gesehen hast, noch löschen und gut ist's.
Charlie

@ Kautz

Was hast du an meinem Posting nicht verstanden, die Ironie?!
Für solche Leute wie dich, hab ich extra den smiley hinzugefügt!
So what?!
Welchen Grund gibt es für dich ausfallend zu werden?

Zitat:

Zitat von Cidre

@ Kautz

Was hast du an meinem Posting nicht verstanden, die Ironie?!
Für solche Leute wie dich, hab ich extra den smiley hinzugefügt!
So what?!
Welchen Grund gibt es für dich ausfallend zu werden?

Ich wollte in keinster Weise ausfallend werden,sorry,wenn das so rüber kam!

Ich frage mich nur,was es an so einem System zu retten gibt,meiner Meinung nach nichts!
Ich will dir auch nicht auf den Fuß treten,um Gottes Willen!Sorry!


@ charlie1

Für mich Doofie bitte mal einen zusammenhängenden Satz posten,damit ich den auch verstehe,danke!

Hallo nochmal,

folgendes log hat mein eigener PC (win2000) ausgespuckt, muss ich das System auch neu installieren?

Logfile of HijackThis v1.99.0
Scan saved at 20:13:42, on 20.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe
C:\WINNT\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
G:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0D2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\createcd.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


- David

@drx777
in dieses logfile sehe ich nichts auffälliges.
sry, ein freudsche verschreiber
chaosman