Logfile

lodidoc · 01.05.2005, 09:30

Wer Kann mir bitte helfen. Hatte mal ein paar Seiten besucht die man wohl besser meiden sollte. Pausenlos Trojanerwarnmeldungen und auf der Desktopleiste das Fester Sfondi Desktop. Hab jetzt Hijack this v1.99 durchlaufen lassen. Mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:17:28, on 01.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
F:\Programme NEU\Antivir-personal edit\AVGUARD.EXE
F:\Programme NEU\Antivir-personal edit\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norman\NPF\NPFSVICE.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE81.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
F:\sauger\Virtua CD\System\vcdsecs.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
F:\sauger\VIRTUA~1\System\VCDPlay.exe
F:\Programme NEU\Daemon\daemon.exe
F:\div. Installationsprogramme\Trojancheck 6\tcguard.exe
F:\Programme NEU\ZoneAlarm\zlclient.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
F:\Programme NEU\Clone CD\CloneCD\CloneCDTray.exe
F:\Programme NEU\Antivir-personal edit\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Windows XP Fun Pack\Winter 2003\WinterPowerToy\WinterWalltoy.exe
F:\sauger\Virtua CD\System\VCDTray.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Programme NEU\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gulli.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VCDPlayer] F:\sauger\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme NEU\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Trojancheck 6 Guard] F:\div. Installationsprogramme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Programme NEU\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Programme NEU\Clone CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Programme NEU\Clone CD\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme NEU\Antivir-personal edit\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Walltoy] C:\Programme\Windows XP Fun Pack\Winter 2003\WinterPowerToy\WinterWalltoy.exe
O4 - HKCU\..\Run: [ADMIN MATH] C:\DOKUME~1\FRITZ~1.FRI\ANWEND~1\mp3memo\test stupid.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: concept/design's onlineTV - {CEED57C1-D160-4082-941F-109316325DED} - F:\online-tv\onlineTV\onlineTV.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e2fa92...dxIE601_de.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} - http://eu.download.games.yahoo.com/z...ylomloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spysp...CabInstall.cab
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dnr0019me.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme NEU\Antivir-personal edit\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme NEU\Antivir-personal edit\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\NPF\NPFSVICE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE81.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - F:\sauger\Virtua CD\System\vcdsecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Rene-gad · 01.05.2005, 10:50

@lodidoc

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Es fehlt WinXP SP2.Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Zitat:

C:\Programme\Norman\NPF\NPFSVICE.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wozu benötigst du 2 Firewalls? Ein Wunder, dass du noch überhaupt ins Internet kommst.

Zitat:

F:\div. Installationsprogramme\Trojancheck 6\tcguard.exe

Das Programm ist etwas veraltet. Du kannst es ruhig deinstallieren.

Zitat:

C:\Programme\NetPumper\NetPumperIEProxy.exe

Dieses Programm musst du deinstallieren: Adware

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gulli.com/

Wenn du diese Web-Seite nicht als Startseite haben möchtest - fixen.

Zitat:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:4001
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - (no file)
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Unknown owner - C:\Programme\Norton AntiVirus\navapsvc.exe (file missing)

Diese Einträge fixen.

Zitat:

O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm

Firefox ist sicherer, als Avant.

Zitat:

O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dnr0019me.dll

Die Datei bitte bei http://virusscan.jotti.org/ prüfen.

lodidoc · 01.05.2005, 22:51

Zitat:

Zitat von Rene-gad

@lodidoc

Es fehlt WinXP SP2.Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden

Wozu benötigst du 2 Firewalls? Ein Wunder, dass du noch überhaupt ins Internet kommst.

Das Programm ist etwas veraltet. Du kannst es ruhig deinstallieren.

Dieses Programm musst du deinstallieren: Adware

Wenn du diese Web-Seite nicht als Startseite haben möchtest - fixen.

Diese Einträge fixen.

Firefox ist sicherer, als Avant.

Die Datei bitte bei http://virusscan.jotti.org/ prüfen.

Herzlichen Dank für die schnelle Hilfe. Nach einem ersten gröberen Check läuft jetzt wieder alles tadellos. Beim letzten Tipp wegen "O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dnr0019me.dll" zu überprüfen sollte ich noch etwas erwähnen. Jedesmal nach einem Neustart meldete sich meine Firewall (ZoneAlarmFree) mit der Meldung: "Windows NT versucht auf das Internet zuzugreifen,Anwendung winlogon.exe". Habe ich dies erlaubt, dann war der zu überprüfende Eintrag bei Hijack this vorhanden, sonst nicht. (Meistens war die Ziel IP 213.61.6.3 manchmal auch 4.78.20.4 selten 213.41.76.68 . Nochmals Danke!

Cidre · 01.05.2005, 22:58

@ lodidoc

Das nächste Mal keine Fullquotes erstellen!

Zitat:

O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\dnr0019me.dl

Diesen Eintrag fixen und die Datei manuell löschen.

Logfile

Log-Analyse und Auswertung: Logfile

Logfile

Logfile

Logfile

Logfile

Ähnliche Themen: Logfile