Logfile of HijackThis v1.99.1
Scan saved at 20:46:15, on 05.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Shareaza\Shareaza.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Downloads\hijackthis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = Iccalhost:8080
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0

\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0

\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1

\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A002AECF-DBBC-46C9-AB41-3C4389AE8104}: NameServer = 213.191.92.82 213.191.74.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DirectUpdate engine (DirectUpdate) - http://www.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia

Shared\Service\Macromedia Licensing.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog

Devices\SoundMAX\SMAgent.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)


Hilfe!!!!!

@Abgoosht
scanne dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Ich habe es mit escan gescannt. Der hat 4 Trojaner gefundet. Ich komme leider mit den LogFile überhaupt nicht klar. Wenn ich wüsste wo die 4 gefundenen Trojaner sind, hätte ich mit KillBox versucht die weg zu löschen.
Ich wollte das LogFile hier einfügen, nur es ist viel zu groß (in Word eingefügt 678 Seiten?????)
Ich weiss echt nicht mehr weiter.
Kann mir jemand sagen, was ich alles von LogFile hier im Forum Einfügen soll?
Und noch eine Frage:
Ich hab WinXp. Warum Systemwiederherstellen deaktivieren?(und vorallem wie?). Warum in abgesicherter Modus?
Bitte um Hilfe

@Abgoosht
warum abgesicherter modus?
http://www.trojaner-board.de/63335-w...s-starten.html

Warum Systemwiederherstellen deaktivieren?(und vorallem wie?).
http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Der hat 4 Trojaner gefundet
also posten!
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hi ich hab die gefunden:
-C:\Programme\AVPersonal\INFECTED\*.*
-C:\Programme\AVPersonal\INFECTED\ukdojw.VIR
-C:\Programme\AVPersonal\INFECTED\ukdojw.VIR infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.
-Einstellungen\***\Eigene Dateien\My Apps\AntiVirus Programme\aawsepersonal.exe tagged
-File C:\Dokumente und Einstellungen\***\Eigene Dateien\My Apps\AntiVirus Programme\Mcafee_Virus_Scan_Pro_2004_v8.0.tar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
-C:\Dokumente und Einstellungen\***\Eigene Dateien\My Apps\Verschiedenes\xampp-win32-1.4.9-installer.exe tagged as not-a-
-C:\Programme\Ad-Aware SE Personal\UNWISE.EXE
Wed Jul 06 16:34:31 2005 => File C:\Programme\Ad-Aware SE Personal\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
-C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jdk1.5.0.b64\demos.zip tagged as not-a-virus:Garbage.Java.Chart. No Action Taken.
-C:\Programme\Java\jdk1.5.0\demo\applets\BarChart\BarChart.class tagged as not-a-virus:Garbage.Java.Chart. No Action Taken.
-File C:\Programme\Yahoo!\Messenger\UNWISE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
-C:\System Volume Information\_restore{51C43671-4EDD-4585-9CA8-F242D1C6E25A}\RP401\A0142493.exe
Wed Jul 06 16:52:57 2005 => File C:\System Volume Information\_restore{51C43671-4EDD-4585-9CA8-F242D1C6E25A}\RP401\A0142493.exe tagged as not-a-virus:Tool.Win32.ServiceRunner.d. No Action Taken.
-C:\System Volume Information\_restore{51C43671-4EDD-4585-9CA8-F242D1C6E25A}\RP445\A0146304.exe
Wed Jul 06 16:55:05 2005 => File C:\System Volume Information\_restore{51C43671-4EDD-4585-9CA8-F242D1C6E25A}\RP445\A0146304.exe tagged as "not-a-virus:AdWare.BetterInternet.b". Action Taken: No Action Taken.
- C:\System Volume Information\_restore{51C43671-4EDD-4585-9CA8-F242D1C6E25A}\RP453\A0147365.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
-

Poste mal folgendes aus der mwav.log (steht ganz am Ende):

Zitat:

Total Number of Files Scanned:
Total Number of Virus(es) Found:
Total Number of Disinfected Files:
Total Number of Files Renamed:
Total Number of Deleted Files:
Total Number of Errors:
Time Elapsed:

Zitat:

Zitat von Haui45

Poste mal folgendes aus der mwav.log (steht ganz am Ende):

ed Jul 06 17:35:53 2005 => ***** Scanning complete. *****
Wed Jul 06 17:35:54 2005 => Requesting CancelScan...
Wed Jul 06 17:35:54 2005 => Virus Database Date: 2005/06/24
Wed Jul 06 17:35:54 2005 => Virus Database Count: 136182

Wed Jul 06 17:35:54 2005 => Scan Completed.

Wed Jul 06 17:35:55 2005 => Unable to Cancel Scan Successfully!!!
Wed Jul 06 17:35:55 2005 => Scan Cancelled by User

Wed Jul 06 17:35:55 2005 => Total Objects Scanned: 16566
Wed Jul 06 17:35:55 2005 => Total Virus(es) Found: 4
Wed Jul 06 17:35:55 2005 => Total Disinfected Files: 0
Wed Jul 06 17:35:55 2005 => Total Files Renamed: 0
Wed Jul 06 17:35:55 2005 => Total Deleted Objects: 0
Wed Jul 06 17:35:55 2005 => Total Errors: 257
Wed Jul 06 17:35:55 2005 => Time Elapsed: 00:13:20
Wed Jul 06 18:07:49 2005 => Virus Database Date: 2005/06/24
Wed Jul 06 18:07:52 2005 => Virus Database Count: 136182
Wed Jul 06 18:08:05 2005 => AV Library Unloaded (3)...

@Abgoosht
hast du bei "all drives ein häkchen gesetzt?
Wed Jul 06 17:35:55 2005 => Time Elapsed: 00:13:20

normal braucht escan wesentlich länger (fast immer mindestens 1 stunde)

scanne bitte genau wie in der anleitung beschrieben steht
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Zitat:

Zitat von chaosman

@Abgoosht
hast du bei "all drives ein häkchen gesetzt?
Wed Jul 06 17:35:55 2005 => Time Elapsed: 00:13:20

normal braucht escan wesentlich länger (fast immer mindestens 1 stunde)

scanne bitte genau wie in der anleitung beschrieben steht
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Ja Ich habe ein Häkchen gesetzt. Es hat auch eine Stunde gedauert

Zitat:

Zitat von Abgoosht

Es hat auch eine Stunde gedauert

Wirklich?
-> Wed Jul 06 17:35:55 2005 => Time Elapsed: 00:13:20

Seltsam, oder?

Zitat:

Zitat von Haui45

Wirklich?
-> Wed Jul 06 17:35:55 2005 => Time Elapsed: 00:13:20

Seltsam, oder?

Ja. Es hat wirklich sehr lange gedauert.
Ich habe danach noch ein parr mal das ganze wiederholt und den log gespeichert.Vielleicht deshalb die kurze zeit.
Wenn Ihr meint das es hilft,dann mach ich es nochmal. Kein Problem

Ich kann dir nicht glauben, dass du dich wirklich an die Anleitung gehalten hast.

Zitat:

Wed Jul 06 18:07:49 2005 => Virus Database Date: 2005/06/24

Da steht doch was von updaten...

Zitat:

Wed Jul 06 17:35:55 2005 => Unable to Cancel Scan Successfully!!!
Wed Jul 06 17:35:55 2005 => Scan Cancelled by User

Du hast den Scan wohl frühzeitig abgebrochen.

Zitat:

Zitat von Haui45

Ich kann dir nicht glauben, dass du dich wirklich an die Anleitung gehalten hast.



Da steht doch was von updaten...



Du hast den Scan wohl frühzeitig abgebrochen.

Ich mach es nochmal genau nach der Anleitung und poste es morgen wieder hier rein.
Danke erstmal für die Hilfe

Lösche am besten den ganzen Ordner C:\bases_x und mach' alles noch mal von vorne.

Zitat:

Zitat von Haui45

Lösche am besten den ganzen Ordner C:\bases_x und mach' alles noch mal von vorne.

Hallo
ICh habe es heute das ganze mit escan weiderhol undzwar genau nach der Anleitung. nun poste ich es hier rein und bitte die Profis sich das ganze anzuschauen. Ich weiß echt nicht mehr weiter

-C:\Programme\AVPersonal\INFECTED\*.*
-C:\Programme\AVPersonal\INFECTED\ukdojw.VIR
File C:\Programme\AVPersonal\INFECTED\ukdojw.VIR infected by "Trojan.Win32.Agent.cp" Virus! Action Taken: No Action Taken.


Thu Jul 07 18:24:44 2005 => Total Objects Scanned: 64175
Thu Jul 07 18:24:44 2005 => Total Virus(es) Found: 5
Thu Jul 07 18:24:44 2005 => Total Disinfected Files: 0
Thu Jul 07 18:24:44 2005 => Total Files Renamed: 0
Thu Jul 07 18:24:44 2005 => Total Deleted Objects: 0
Thu Jul 07 18:24:44 2005 => Total Errors: 254
Thu Jul 07 18:24:44 2005 => Time Elapsed: 00:52:56
Thu Jul 07 18:24:44 2005 => Virus Database Date: 2005/07/07
Thu Jul 07 18:24:44 2005 => Virus Database Count: 138478

Thu Jul 07 18:24:44 2005 => Scan Completed.

Thu Jul 07 19:47:15 2005 => Virus Database Date: 2005/07/07
Thu Jul 07 19:47:15 2005 => Virus Database Count: 138478
Thu Jul 07 19:47:21 2005 => AV Library Unloaded (3)...