hi spezies,

mein dsl ist seit einigen tagen grottenlangsam. trojaner und viren hab ich net gefunden. mag mal jemand übers HijackThis schauen und mir sagen, ob der rechner clean ist? vielen dank!

Logfile of HijackThis v1.99.0
Scan saved at 19:01:49, on 29.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297
O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

also die automatische logfileauswertung sagt: alles ok.

kann ich mich da drauf verlassen?

habe ich irgend etwas falsches geschrieben?

ich wäre echt dankbar, wenn da mal einer von den fachleutchen rüberschauen könnte.....

@wuslon

in den abgesicherten modus fixen mit HJT
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)

neu booten

hast du dieses programm erst seit kürzem installiert?
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll

wenn nicht, dann mal mit escan
scannen

LG
chaosman

@chaosman

vielen dank, für deine aufmerksamkeit und hilfe

habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
gefixt. Was war denn das

Starten im abgesicherten Modus und danach runterfahren hat irgendwie lange gedauert

O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll

habe ich seit einigen wochen installiert, dann ok?


hier das aktuelle hjt:

Logfile of HijackThis v1.99.0
Scan saved at 21:52:43, on 30.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\security\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107533832297
O17 - HKLM\System\CCS\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{563F9FA0-06F7-442D-AF09-084F86F691F4}: NameServer = 192.168.0.1
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

@wuslon
habe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing)
gefixt. Was war denn das
Oh oh.
scanne doch mal(just in case) dein system mit escan

chaosman

Ist es evtl. so, dass dein DSL erst seit der Installation von "steganos internet anonym" so langsam ist?

@chaosman

ohoh, macht mir aber arg angst .....werd dann mal den escan starten


@haui45

nö, internet anonym war schon vorher drauf. habe ich auch nie aktiviert, dann wäre es klar, dass die surfgeschwindigkeit in die knie gehen würde, nutze nur den datenschredder, der enthalten ist.....

@wuslon
ohoh, macht mir aber arg angst
kann sein
muss aber nicht sein

LG
chaosman

@chaosman

so, eigentlich bin ich ganz optimistisch. War Dein "ohoh" nicht begründet? Ich hoffe doch sehr.

die treffer aus AVPersonal dürften ja "nur" das Infected-Verzeichnis von AVPersonal sein.....

der NoCD-Crack von Black Mirror dürfte doch nur "Schaden" anrichten, wenn ich eine aktive analog oder ISDN-Verbindung hätte. DSL ist da doch sicher

Der letzte Treffer ist selber ausgelöst durch die Steganos Hacker Tools, also auch nicht schadhaft, oder

Was ich bei escan immer nicht verstehe ist: "Result: ERROR!!!".....Das Ergebnis hatte ich mehrfach bei einigen Verzeichnissen im scan. Ist das bedenklich

Mon Mar 07 13:21:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Mon May 30 22:51:57 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe
Mon May 30 23:29:16 2005 => File D:\Downloads\Cracks\Black Mirror_DEUTSCH_NoCD-Crack_german.exe infected by "not-a-virus:Porn-Dialer.Win32.Star" Virus. Action Taken: No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\johntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.

May 31 00:08:31 2005 => ***** Scanning complete. *****

Tue May 31 00:08:31 2005 => Total Files Scanned: 54945
Tue May 31 00:08:31 2005 => Total Virus(es) Found: 10
Tue May 31 00:08:31 2005 => Total Disinfected Files: 0
Tue May 31 00:08:31 2005 => Total Files Renamed: 0
Tue May 31 00:08:31 2005 => Total Deleted Files: 0
Tue May 31 00:08:31 2005 => Total Errors: 47
Tue May 31 00:08:31 2005 => Time Elapsed: 01:27:09
Tue May 31 00:08:31 2005 => Virus Database Date: 2005/05/30
Tue May 31 00:08:31 2005 => Virus Database Count: 132423

Arg, ergänzend zu meinem letzen Posting :

Ich habe noch einige Einträge aus der mwav.log gefunden. Gestern hatte ich nur nach "infected" gesucht.

File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken.
File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:CrackTool.Win32.HotHook.dll. No Action Taken.
File D:\Downloads\s4d-sc4rh\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.
File D:\Downloads\s4d-sc4rh.rar tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\brutusA2\BrutusA2.exe tagged as not-a-virus:PSWTool.Win32.Brutus. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\realvnc\realvnc-3.3.7.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\winfingerprint\winfingerprint.exe tagged as not-a-virus:NetTool.Win32.Winfingerprint. No Action Taken.
File E:\SimCity 4\Apps\Sim.City.4.Rush.Hour.Expansion.Plus.1.Trainer.exe tagged as not-a-virus:CrackTool.Win32.HotHook. No Action Taken.

Und nun?

@wuslon
der hier
File D:\Downloads\Steganos.Hacker.Tools.7.0\sht\tools\j ohntheripper\john-16.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.
gefällt mir nicht.

vllt hilft ds hier weiter
http://securityresponse.symantec.com...theripper.html


lg
chaosman

@chaosman

ehrlich gesagt bin ich für den link ein wenig zu blöde, um ihm folgen (also nicht dem link, dem inhalt) zu können. meine spärlichen englischkenntnisse sagen mir, dass ich nach der beschreibung den kram nur mit symantec wieder vom system bekomme?

Kannst Du mir versuchen, da nochmal genauer zu helfen, wie ich den "john" wieder loswerde?

Ist der andere Kram denn unbedenklich?

hallo forum,

kann mir vielleicht nochmal jemand sagen, ob und wie ich "HackTool.Win32.John" sauber vom rechner bekommen kann? System neu aufsetzen?

Und die anderen Funde von escan? Muss ich mir da keine Sorgen machen?

Vielen Dank für Hilfestellung

Ok,

also ist wohl meine einzige Chance, mir Symantec anzuschaffen, um Schritt 2 in dem Link von Chaosman auszuführen.

Oder System neu aufsetzen?

Was ist mit den anderen Funden?

Ist mein System kompromittiert?

Ich weiss, Mehrfachpostings sind nicht gerade beliebt, aber ich bin wirklich unsicher, was die Funde angeht, da halt wenig Ahnung und daher wäre Hilfe von Euch wirklich klasse.

bye the way, die ursprüngliche Überschrift des Threats stimmt nicht mehr, DSL läuft wieder in gewohnter Bandbreite, war irgendwie ein Leitungsfehler von Arcor .