Mein Hijackthis Log, Bitte dringend!!!!

tccuser · 17.01.2005, 12:06

Hallo anbei mein Log,

was soll ich tun, PC steht beim kunden!

Logfile of HijackThis v1.99.0
Scan saved at 11:56:25, on 17.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Wintab32.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\OfficeScan NT\pccntmon.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\OfficeScan NT\pccnt.exe
C:\WINNT\system32\NOTEPAD.EXE
D:\hijackthis_199\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\scnsw.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\scnsw.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\scnsw.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\scnsw.dll/sp.html#12345
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {18D33BFE-F1BD-E987-3AB7-CC994F821E8C} - C:\WINNT\atlzd32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [netit.exe] C:\WINNT\system32\netit.exe
O4 - HKLM\..\Run: [crid32.exe] C:\WINNT\system32\crid32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AutoCAD-Startbeschleuniger.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.markator.de
O15 - Trusted IP range: (HKLM)
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://t058.com/inst//x.chm::/open.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lb.markator.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lb.markator.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lb.markator.local
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ISEXEng - Unknown - C:\WINNT\System32\angelex.exe (file missing)
O23 - Service: OfficeScan RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: AOpen NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: OfficeScan Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Wintab32 - Unknown - C:\WINNT\System32\Wintab32.exe
O23 - Service: ZESOFT - Unknown - C:\WINNT\zeta.exe (file missing)
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINNT\crsu32.exe (file missing)

chaosman · 17.01.2005, 12:15

@tccuser
lade dir escandownload
anleitung hier
mache es genauso wie in der anleitung beschrieben wird.
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

tccuser · 17.01.2005, 15:15

soo, hier meine infected Files, die ich mit escan ausgewertet habe!
Was soll ich jetzt tun?

Mon Jan 17 13:40:58 2005 => File C:\WINNT\System32\mqexdlm.srg infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:41:05 2005 => File C:\WINNT\System32\msua.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:41:09 2005 => File C:\WINNT\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:41:23 2005 => File C:\WINNT\System32\psis80ex.ax infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:41:32 2005 => File C:\WINNT\System32\spm1316.dll infected by "Backdoor.Win32.Agent.en" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:41:37 2005 => File C:\WINNT\System32\tibs3.exe infected by "Trojan-Downloader.Win32.Tibser.c" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:46:11 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temp\GLF8AGLF8A.EXE infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:46:11 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temp\i91.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:46:15 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temp\SskUpdater.exe infected by "not-a-virus:AdWare.TotalVelocity.x" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:46:15 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temp\targetsaver.exe infected by "TrojanDownloader.Win32.TSUpdate.f" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:46:16 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temp\tsinstall_4_0_3_7.exe infected by "Trojan-Downloader.Win32.TSUpdate.i" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:47:29 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GPOR4B8N\bbi8033[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:47:37 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\IB2RE12V\bbi8033[2].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:48:06 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1SHMRSX\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:48:23 2005 => File C:\Dokumente und Einstellungen\ha\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YD0JQHM5\bbi8033[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:54:55 2005 => File C:\m00.exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:58:27 2005 => File C:\PROGRAM FILES\Internet Optimizer\actalert.exe infected by "Trojan-Downloader.Win32.Dyfuca.dp" Virus. Action Taken: No Action Taken.
Mon Jan 17 13:58:27 2005 => File C:\PROGRAM FILES\Internet Optimizer\update\actalert.exe infected by "Trojan-Downloader.Win32.Dyfuca.dp" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:33:44 2005 => File C:\WINNT\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:33:44 2005 => File C:\WINNT\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:35:16 2005 => File C:\WINNT\IEMenuExtension.exe infected by "not-a-virus:AdWare.ToolBar.Ucmore" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:47 2005 => File C:\WINNT\msfe32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:47 2005 => File C:\WINNT\mssys.com infected by "TrojanDropper.DOS.Rute" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:48 2005 => File C:\WINNT\ntpj32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:48 2005 => File C:\WINNT\n_gvehis.dat infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:48 2005 => File C:\WINNT\n_jougbk.log infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:48 2005 => File C:\WINNT\n_zhlvbz.dat infected by "Trojan-Downloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:50 2005 => File C:\WINNT\qgyxk.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:58 2005 => File C:\WINNT\SSK_B5.EXE infected by "Trojan-Dropper.Win32.SurfSide.a" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:39:41 2005 => File C:\WINNT\system32\javex80.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:39:41 2005 => File C:\WINNT\system32\javexulm.vxd infected by "not-a-virus:AdWare.BargainBuddy.q" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:39:48 2005 => File C:\WINNT\system32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:39:53 2005 => File C:\WINNT\system32\mqexdlm.srg infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:00 2005 => File C:\WINNT\system32\msua.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:06 2005 => File C:\WINNT\system32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:20 2005 => File C:\WINNT\system32\psis80ex.ax infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:32 2005 => File C:\WINNT\system32\spm1316.dll infected by "Backdoor.Win32.Agent.en" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:47 2005 => File C:\WINNT\system32\tibs3.exe infected by "Trojan-Downloader.Win32.Tibser.c" Virus. Action Taken: No Action Taken.

Shadowdance · 21.01.2005, 04:05

@ tccuser

Du hast mehrere Backdoors auf dem System. Leider kann ich kaum Information zu ihnen finden. Ich nehme an, dass es am sichersten ist, wenn Du Dein System formatierst und Dich an diesen Tipps orientierst: Lutz' Datensicherung und Cidre's Rat, sowie
Windows sicher einrichten in 15 Schritten.

Zitat:

Zitat von tccuser

File C:\WINNT\System32\msua.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:36:47 2005 => File C:\WINNT\msfe32.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:00 2005 => File C:\WINNT\system32\msua.exe infected by "Backdoor.Win32.Small.dc" Virus. Action Taken: No Action Taken.
Mon Jan 17 14:40:32 2005 => File C:\WINNT\system32\spm1316.dll infected by "Backdoor.Win32.Agent.en" Virus. Action Taken: No Action Taken.

Mein Hijackthis Log, Bitte dringend!!!!

Log-Analyse und Auswertung: Mein Hijackthis Log, Bitte dringend!!!!