hi, bin gerade erst hineingeschneit und würde Euch bitten, mir bei der auswertung meines logs zu helfen.

kurz die symptome/umstände, die mich dazu bewogen haben ein log zu schreiben:
-familien-PC, an dem (leider) nur ich mal ein viren-update mache, den scanner laufen lasse , ad-aware fahre und mal spybot S&D durchlaufen lasse :roll:, hab leider auch nicht immer zeit alles auf stand zu halten...

-traffic-anzeige in bewegung obwohl nix up- oder down-lädt,
-CPU stark ausgelastet, rechner dementsprechend langsam,
- AntiVirGuard läßt sich nicht aktivieren (kann aber auch mit dem gestrigen update zusammenhängen),

wenn ich nun im HJT mit "Do a system scan and save a logfile" starte, gibt er mir folgende meldung aus:



nachdem "OK" dann diese fehlermeldung



und anschließend das log-file:

Logfile of HijackThis v1.99.1
Scan saved at 20:49:55, on 08.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\TBPanel.exe
C:\Tino's Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\FreePDF_XP\fpassist.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVirusPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 8.0a\aoltray.exe
C:\Programme\DeTeWe\QuickNet ISDN\Capictrl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\SURFER (Tino)\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\explorer.exe
D:\Programme\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://w***68:OS8xeIMP@81.169.132.74/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\QuickNet ISDN\routcnf.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Tino's Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVirusPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0a\aoltray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office XP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://D:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://D:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{2EA5853A-760C-4970-987F-0578D1D1BE50}: NameServer = 195.50.140.252 145.253.2.203
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVirusPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVirusPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\SURFER~1\LOKALE~1\TEMP\_VWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe



was mich ein wenig stutzig macht, ist der eintrag mit dem:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ftp://w***68:OS8xeIMP@81.169.132.74/

gleich am anfang! - hab' ma' gegoogelt und bei sophos eine verbindung zum trojaner "Troj/GoHotList" gefunden, der wohl die daten für den IE so umzustricken, um die standardmäßige Startseite des Internet Explorers auf "http://www.thehotlist.com" umzuleiten. (eigentlich kein problem, weil ich mit firefox browse - aber über den WinExplorer kann man ja auch auf das net bzw. seine webspace via ftp zugreifen [wie die hier adresse verrät]... ?!? )

ach und ... danke schon mal!


zoni

@zonenkind
Bitte lese die Anleitung von Anfang bis Ende noch mal und überlege, was du falsch gemacht hast: http://www.trojaner-board.de/showthread.php?t=17493

Zitat:

Zitat von Rene-gad

@zonenkind
... und überlege, was du falsch gemacht hast: http://www.trojaner-board.de/showthread.php?t=17493

so, nochmal gelesen und hab' keine ahnung, was ich denn "falsch gemacht" haben könnte!? ist das nur etwas formelles, was ich nicht beachtet habe? ist denn HJT nicht richtig "installiert" (wen man überhaupt davon sprechen kann)?

ich wollte ja auch nur hilfe, das log zu deuten, bevor ich irgendwelchen bockmist beim fixen baue...

zoni

Hallo zonenkind,

Rene-gad wollte dich richtigerweise nur dazu bewegen, daß du deine aktiven Links entschärfst und HJT richtig entpackst.

Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.

Einige Fragen hätt' ich noch:

• Warum ist dein System nicht up to date?
• Welcher Prozess verursacht die hohe CPU Auslastung?
• Wurde für jedes Familienmitglied ein eingeschränktes Benutzerkonto angelegt?

Zitat:

Zitat von Cidre

Hallo zonenkind,

Rene-gad wollte dich richtigerweise nur dazu bewegen, daß du deine aktiven Links entschärfst und HJT richtig entpackst.

Einige Fragen hätt' ich noch:

• Warum ist dein System nicht up to date?
• Welcher Prozess verursacht die hohe CPU Auslastung?
• Wurde für jedes Familienmitglied ein eingeschränktes Benutzerkonto angelegt?

okay, jetzt hab' ich's: links sind entschärft und HJT hat einen eigenen ordner bekommen.

zu punkt 01:
up-to-date?: Du meinest kein SP2 und ein paar fehlende patches!? hatte eine zeit lang probleme mit SP2 & CAD/CAM-Anwendungen, da hab' ich's wieder ohne betrieben.

zu punkt: 02:
komischerweise verursacht gerade die AVGUARD.EXE (AntiVirGuard) auslastungen zwischen 50-70%!!! *grummel*

zu punkt 03:
jap, eingeschränkte B-konten sind eingerichtet!

zoni

@zonenkind

Zitat:

up-to-date?: Du meinest kein SP2

Auch kein SP1, wenn ich sagen darf .

so leute,
der scan mit eScan AntiVirus im abgesicherten Modus war nicht ohne - werde die Virus Log Information heute abend mal hier posten.

habe mich geistig auch schon drauf eingestellt am WE unseren zombie-pc zu killen und komplett neu aufzusetzen (diesmal unter beachtung der tipps zum Neuaufsetzen kompromitireter systeme, die's hier on board gibt).

LG, zoni