Bitte um überprüfung dieses Log's

Lyta · 30.12.2004, 21:04

Vielen Dank im vorraus.

Logfile of HijackThis v1.99.0
Scan saved at 21:05:44, on 30.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\games\h.l\steam.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\FSScrCtl.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\bases\KAVUpd.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Steam] "d:\games\h.l\steam.exe" -silent
O4 - Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab28578.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1021_EN_XP.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binarie...hv32_EN_XP.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab28578.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{756DFB3B-953E-434B-8188-C0D8221FF481}: NameServer = 145.253.2.75 195.50.140.250
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: hpdj - HP - C:\DOKUME~1\heiko\LOKALE~1\Temp\hpdj.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISSERV.EXE
O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Norton Personal Firewall Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\SymProxySvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Cidre · 30.12.2004, 21:24

Hallo,

warum ist es eigentlich so schwer einen bereits erstellten Thread mit derselben Thematik weiterzuführen?
http://www.trojaner-board.de/showthread.php?t=11362

btw:
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Lyta · 31.12.2004, 01:07

Hui, da hat aber jmd aufgepasst.
Aber nur gesehen das jmd 2 Threads eröffnet und das wars.
Na gut, hätte fairerweise dazu schreiben sollen, das dies nicht mein Rechner ist.
Aber wenn Du Dir beide Threads angeschaut hättest, dann hättest Du vllt den Unterschied gesehen.Obwohl ich nix mit den Logs von HiJack anfangen kann sehe selbst ich an der Headline das es sich um verschiedene Scan's bzw. Rechner hält.
Also ist diese Antwort nur ein *Up*

Ich hoffe weiterhin auf Hilfe.
Escan lief zu dem Zeitpunkt, was bei rauskam poste ich noch.

Shadowdance · 31.12.2004, 01:24

Hallo Lyta,

Zitat:

Zitat von Lyta

Hui, da hat aber jmd aufgepasst.
Aber nur gesehen das jmd 2 Threads eröffnet und das wars.

--> Mit diesem Stil bin ich nicht einverstanden. Du bist nicht die Einzige, die hier an Board Logfiles zum auswerten postet, auch wenn Du das vielleicht nicht in Deine Gedankengänge miteinbezogen hast. Cidre wertet hier Tag für Tag Dutzende von Logfiles aus ... keiner von uns merkt sich wer was gepostet hat. Wozu sollten wir uns das merken? Wir werten sie aus. Ich denke, dass dieser Einsatz genug ist. Wir sind Freiwillige hier an Board. Wir machen diese Tätigkeit in unserer Freizeit, nach der Arbeit.

Zitat:

Zitat von Lyta

Na gut, hätte fairerweise dazu schreiben sollen, das dies nicht mein Rechner ist.

Stimmt, hättest Du.

Zitat:

Zitat von Lyta

Aber wenn Du Dir beide Threads angeschaut hättest, dann hättest Du vllt den Unterschied gesehen.Obwohl ich nix mit den Logs von HiJack anfangen kann sehe selbst ich an der Headline das es sich um verschiedene Scan's bzw. Rechner hält.

Wenn Du lange genug hier mitliest, wirst Du erkennen, dass jede Menge User für ein und dieselbe Frage und für ein und denselben Rechner mehrere Threads eröffnen, u.a. auch unter verschiedenen Headlines.

Eine sehr anspruchsvolle Haltung, die du hier zeigst, in Deinem 5. Posting.
Mehr sage ich lieber nicht dazu ....

SD

Lyta · 31.12.2004, 01:29

Hab grad Cidre ne PN geschickt und ihm das erklärt.Ich hoffe er akzeptiert meine Entschuldigung.

Zitat:

Wenn Du lange genug hier mitliest, wirst Du erkennen ...

So lange isses auch noch nicht, erst seit gestern

Und ihr habt meinen vollsten Respekt für die Arbeit die ihr hier leistet.

Btw: Geholfen ist mir bei beiden Problemen noch nicht

Cidre · 31.12.2004, 01:40

Zitat:

Ich hoffe er akzeptiert meine Entschuldigung.

Überprüfe zunächst diese Datei SiXPack.exe, wenn noch vorhanden, bei http://virusscan.jotti.org/de und poste das Ergebnis:

Lyta · 31.12.2004, 14:21

Also die SixPack.exe war nach dem Scan mit Escan weg.
Thu Dec 30 21:28:11 2004 => ERROR!!! Invalid Entry SiXPack = SiXPack.exe /minimize. Removing it.

Jetzt erstma der Bericht.

Thu Dec 30 23:30:47 2004 => Total Files Scanned: 62154
Thu Dec 30 23:30:47 2004 => Total Virus(es) Found: 49
Thu Dec 30 23:30:47 2004 => Total Disinfected Files: 0
Thu Dec 30 23:30:47 2004 => Total Files Renamed: 0
Thu Dec 30 23:30:47 2004 => Total Deleted Files: 0
Thu Dec 30 23:30:47 2004 => Total Errors: 7
Thu Dec 30 23:30:47 2004 => Time Elapsed: 01:59:20
Thu Dec 30 23:30:47 2004 => Virus Database Date: 2004/12/30
Thu Dec 30 23:30:47 2004 => Virus Database Count: 114335

Thu Dec 30 21:29:14 2004 => File C:\WINDOWS\System32\EGAUTH.dll infected by "Trojan.Win32.P2E.ai" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:30:05 2004 => File C:\WINDOWS\System32\p2esocks_1021.dll infected by "Trojan.Win32.P2E.ai" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:30:32 2004 => File C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:38:45 2004 => File C:\Programme\Norton AntiVirus\Quarantine\469714B0 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:38:45 2004 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\787C4EC4
Thu Dec 30 21:38:45 2004 => File C:\Programme\Norton AntiVirus\Quarantine\787C4EC4 infected by "TrojanClicker.Win32.Outwar.d" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:38:45 2004 => Scanning File C:\Programme\Norton AntiVirus\Quarantine\7EA12EDC
Thu Dec 30 21:38:45 2004 => File C:\Programme\Norton AntiVirus\Quarantine\7EA12EDC infected by "TrojanClicker.Win32.Outwar.d" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:48:38 2004 => File C:\System Volume Information\_restore{635663BC-1B9D-4A97-869F-8AE0D8E0EAE5}\RP130\A0030547.exe infected by "Trojan-Downloader.Win32.Mediket.f" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:49:20 2004 => File C:\System Volume Information\_restore{635663BC-1B9D-4A97-869F-8AE0D8E0EAE5}\RP140\A0031742.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
Thu Dec 30 21:50:07 2004 => File C:\System Volume Information\_restore{635663BC-1B9D-4A97-869F-8AE0D8E0EAE5}\RP144\A0032781.exe infected by "Trojan-Downloader.Win32.Mediket.i" Virus. Action Taken: No Action Taken.

Diese beiden Trojaner Agent.ac und Medikit.i sind am häufigsten vertreten und alle in diesen Ordner System volume information.

Kann man dieses Sys noch retten, oder doch lieber gleich platt machen und dann ordentlich offline patchen?

Cidre · 31.12.2004, 14:50

Du kannst es versuchen, aber der sicherste Weg ein System erfolgreich zu bereinigen ist, nach wie vor ein Neuaufsetzen.

Nimm diese Einstellung vor:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Systemwiederherstellung deaktivieren -> Abgesicherter Modus -> leere den Quarantäne Ordner von Norton + [1]diese Dateien -> [2]Fixe ->Neustart -> Systemwiederherstellung wieder aktivieren

[1]:
C:\WINDOWS\System32\EGAUTH.dll
C:\WINDOWS\System32\p2esocks_1021.dll
C:\WINDOWS\System32\vbsys2.dll

[2]:
O4 - HKLM\..\Run: [SiXPack] SiXPack.exe /minimize
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
Alle O16
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: hpdj - HP - C:\DOKUME~1\heiko\LOKALE~1\Temp\hpdj.exe

Bitte um überprüfung dieses Log's

Log-Analyse und Auswertung: Bitte um überprüfung dieses Log's