Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Erbitte Auswertung von HJT- bzw. eScan

Erbitte Auswertung von HJT- bzw. eScan


Log-Analyse und Auswertung: Erbitte Auswertung von HJT- bzw. eScan

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 25.08.2005, 19:33   #1
contom
 
Erbitte Auswertung von HJT- bzw. eScan - Frage

Erbitte Auswertung von HJT- bzw. eScan


Hallo,

seit einigen Tagen habe ich Probleme mit meinem unter W2K laufenden Rechner: Partitionen werden "vergessen", Start und Shutdown sind extrem langsam, Icons werden tlw. falsch angezeigt. Bis ich den Nachrichtendienst abgestellt habe, erschienen laufend Pop-ups, die mich zu irgendwelchen angeblichen Systemdienstleistungen leiten wollten. Und nun erscheinen bei Startup auf einmal Programme, die ich nicht kenne (was ist der Indexdienst?) bzw. eigentlich im Autostart abgestellt hatte.

Habe einen Online Virenscan bei Symantec durchgeführt (ohne Ergebnis) und Adaware (allerdings in einer abgespeckten weil kostenlosen Version) laufen und das Gefundene löschen lassen. Hat aber nicht geholfen und so bin ich beim Googeln auf dieses Board gestoßen.

Habe nun sowohl ein HJT- als auch ein eScan-Protokoll erstellen lassen. Das HJT-Log sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 19:51:27, on 25.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\Paragon Software\Paragon CD Emulator\cdman.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}394a9837-9470-4902-b938-6c36b619b9f7.exe
D:\ASHAMP~1\PopUpKiller.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\MicrosoftOffice97\Office\FINDFAST.EXE
D:\MicrosoftOffice97\Office\OSA.EXE
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
C:\Anwendungen\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\CONNY&~1\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - Startup: Office-Start.lnk = D:\MicrosoftOffice97\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\MicrosoftOffice97\Office\FINDFAST.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\MicrosoftOffice97\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add[/url]
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?[/url]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url]
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB[/url]
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab[/url]
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


Mit Einsatz der angebotenen Find.bat sieht das eScan-Protokoll so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:09:40 2005 => System found infected with Conducent FlexPak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Aug 22 19:09:55 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Mon Aug 22 19:47:23 2005 => Scanne Verzeichniss: D:\AntiVir\INFECTED\*.*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:23:20 2005 => Scanne Datei C:\Dokumente und Einstellungen\CTSl\Favoriten\StarWars\Fanfic\AllStars\RedRoseKnight\Jedi Council Forums - The Book of Paths The Chosen Path (AU-Tagged) Complete.url
Mon Aug 22 20:04:47 2005 => File E:\Downloads\babylon-update.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Mon Aug 22 20:05:26 2005 => File E:\Downloads\Software-Update\Themes\PolarLiebe\polar_ps.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
Mon Aug 22 20:05:28 2005 => File E:\Downloads\Software-Update\Themes\Winter-See\winterV2.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
Mon Aug 22 20:05:29 2005 => File E:\Downloads\Software-Update\Themes\LinkinPark\2\linkin_park_2_theme.exe tagged as "not-a-virus:AdWare.EZula.j". Action Taken: No Action Taken.
Mon Aug 22 20:05:53 2005 => File E:\Downloads\Software-Update\Themes\Berghütte\11948.exe tagged as "not-a-virus:AdWare.Gator.3103". Action Taken: No Action Taken.
Mon Aug 22 20:05:53 2005 => File E:\Downloads\Software-Update\Themes\Nebelwald\6268.exe tagged as "not-a-virus:AdWare.EZula.d". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:09:40 2005 => Offending file found: C:\WINNT\gpinstall.exe
Mon Aug 22 19:09:55 2005 => Offending file found: C:\DOKUME~1\CTS\LOKALE~1\Temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Das Protokoll, das direkt von eScan angezeigt wurde, war übrigens sehr viel länger und sagte auch etwas von 14 gefundenen Viren *Schock* - ich hoffe, das ist übertrieben (?)

Wäre für jeden Tipp / Hilfe sehr dankbar.

Gruß

contom
Geändert von contom (25.08.2005 um 19:44 Uhr)

Alt 25.08.2005, 19:52   #2
chaosman
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


@contom

update system und IE,
leere diese Ordner D:\AntiVir\INFECTED\*.* ,
lade danach spybot http://www.safer-networking.org/de/a...-managers.html
update es.
wechsle dann in den abgesicherten modus und lasse spybot scannen, lösche was es vorschlägt.
lösche danach manuell folgende dateien:
C:\WINNT\gpinstall.exe
E:\Downloads\Software-Update\Themes\PolarLiebe\polar_ps.exe
E:\Downloads\Software-Update\Themes\Winter-See\winterV2.exe
E:\Downloads\Software-Update\Themes\Berghütte\11948.exe
C:\DOKUME~1\CONNY&~1\LOKALE~1\Temp\insthelp.dll

neu booten, neues HJT logfile posten.
chaosman
__________________

__________________
Alt 26.08.2005, 14:55   #3
contom
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


Hallo chaosman,

danke für Deine schnelle Hilfe. Habe Spybot installiert und ausgeführt, die von Dir genannten Dateien manuell gelöscht und ein neues HJT-Log erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 15:44:55, on 26.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f-b4a1f30514bc.exe
D:\ASHAMP~1\PopUpKiller.exe
D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\explorer.exe
C:\Anwendungen\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\CTS\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h..p://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h..ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=h..p://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h..p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h..p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h..p://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h..p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h..p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h..p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

Fällt Dir an dem Protokoll noch etwas negativ auf?

Die W2K und IE-Updates stehen für's Wochenende auf dem Plan - das dauert ja sicher etwas länger ;-)

Gruß

contom
__________________
Alt 26.08.2005, 15:11   #4
Cidre
Administrator, a.D.
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


Zitat:
Die W2K und IE-Updates stehen für's Wochenende auf dem Plan - das dauert ja sicher etwas länger ;-)
Das wäre mir jetzt auch auf Anhieb aufgefallen.
Ebenso sollte HJT nicht temporär entpackt werden, siehe Anleitung!

Überprüfe mal diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINNT\System32\pwrupst.exe

Könnte zwar was mit HB Software & Internetdienste zu tun haben, aber sicher ist sicher.
__________________
Gruß, Cidre


Alt 26.08.2005, 15:11   #5
Wildone
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


Hallo,
beende mal folgende Prozesse(falls unbekannt) im Taskmanager:
C:\WINNT\System32\pwrupst.exe
C:\WINNT\System32\CHPSTART.EXE
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f -b4a1f30514bc.exe
und untersuche die zugehörigen Dateien hier und poste die Ergebnisse.

Grüße Wildone


Alt 26.08.2005, 16:06   #6
contom
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


Hallo Wildone & Cidre,

habe die drei Dateien bei Jotti checken lassen - ohne Befund! Konnte zwei Dateien inzwischen auch zuordnen: CHPSTART.exe gehört zu der Treibersoftware, die ich für meinen "ollen" TFT benötige, PWRUPST.EXE gehört zu ASHAMPOO PowerUp2000. Mit der dritten Datei (die mit dem ewig langen Namen) kann ich nichts anfangen - in den Eigenschaften der Datei steht als Bezeichnung CoMSD Mass storage devices driver Vers. 2.1.0.0

Habe HJT dann auch nach c:\bases entpackt und von dort aus durchgeführt - hier ist nochmal das daraus entstandene Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:00, on 26.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f-b4a1f30514bc.exe
D:\ASHAMP~1\PopUpKiller.exe
D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
D:\WebTools\GetRight\GETRIGHT.EXE
D:\AntiVir\AVGUARD.EXE
C:\Bases_X\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=h**p://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


Eine (evtl. dumme) Frage habe ich noch: Wenn ich z.B. den Eintrag

O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup

über HJT fixe, kann ich dann den lästigen Autostart dieses Programmes, den ich auf anderem Weg bislang nicht losgeworden bin, dauerhaft verhindern?

Gruß

contom

Alt 26.08.2005, 16:16   #7
Cidre
Administrator, a.D.
 
Erbitte Auswertung von HJT- bzw. eScan - Standard

Erbitte Auswertung von HJT- bzw. eScan


Der Ordner C:\Bases_X sollte eigentlich nur eScan beinhalten, aber letztendlich egal...

bzgl. Paragon:
Normalweise Ja.
Sollte aber Paragon wieder automatisch gestartet werden, dann versuch es im Programm selbst einzustellen, sofern dazu die Möglichkeit besteht.
__________________
Gruß, Cidre


Alt 30.08.2005, 18:34   #8
contom
 
Erbitte Auswertung von HJT- bzw. eScan - Daumen hoch

Erbitte Auswertung von HJT- bzw. eScan


Hallo zusammen,

wollte mich nur nochmal herzlichst für Eure Hilfe bedanken!

Habe alle Eure Tipps ausgeführt, W2K bis SP4 aufgerüstet und mein Rechner verhällt sich angenehm unauffällig :-)) Auch das lästige Paragon hat scheinbar aufgegeben.

Tausend Dank und macht weiter so :aplaus:

contom

Antwort

Themen zu Erbitte Auswertung von HJT- bzw. eScan
adobe, adobe reader, adware.cydoor, antivir, antivirus, antivirus scan, auf einmal, bho, browser, down, drivers, einstellungen, explorer, extrem langsam, google, heulen, hijack, hijackthis, internet, internet explorer, langsam, monitor, pop-ups, programme, rundll, scan, software, symantec, temp, usb, windows


« worm sdbot | habe ein problem »


Ähnliche Themen: Erbitte Auswertung von HJT- bzw. eScan


  1. PC wird immer langsamer! "?Facebook-Virus!?" ErBITTE dringend log.Auswertung!
    Log-Analyse und Auswertung - 27.08.2011 (16)
  2. Erbitte um logfile auswertung die zweite
    Log-Analyse und Auswertung - 03.07.2008 (1)
  3. Erbitte um logfile auswertung
    Mülltonne - 03.07.2008 (0)
  4. Bitte um HJT- und Escan Log-Auswertung
    Log-Analyse und Auswertung - 18.02.2008 (3)
  5. Auswertung von EScan und HiJackThis
    Log-Analyse und Auswertung - 30.01.2008 (0)
  6. Erbitte Auswertung
    Plagegeister aller Art und deren Bekämpfung - 27.10.2007 (3)
  7. Erbitte um eine schnelle logfile auswertung!
    Log-Analyse und Auswertung - 10.07.2007 (4)
  8. Erbitte Auswertung meiner Log File
    Log-Analyse und Auswertung - 01.07.2007 (3)
  9. Notfall, erbitte auswertung
    Log-Analyse und Auswertung - 17.06.2007 (3)
  10. Erbitte Auswertung meines Logfiles
    Log-Analyse und Auswertung - 30.04.2007 (5)
  11. Umleitung Google erbitte HJT Log-File Auswertung
    Log-Analyse und Auswertung - 27.04.2007 (7)
  12. eScan-Auswertung
    Plagegeister aller Art und deren Bekämpfung - 14.04.2006 (3)
  13. eScan Auswertung
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (3)
  14. eScan Auswertung erbeten...
    Log-Analyse und Auswertung - 28.04.2005 (7)
  15. eScan Auswertung???
    Log-Analyse und Auswertung - 30.03.2005 (5)
  16. Hilfe bei eScan-Auswertung
    Log-Analyse und Auswertung - 10.02.2005 (2)
  17. Erbitte Auswertung
    Log-Analyse und Auswertung - 11.01.2005 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Erbitte Auswertung von HJT- bzw. eScan - Hallo, seit einigen Tagen habe ich Probleme mit meinem unter W2K laufenden Rechner: Partitionen werden "vergessen", Start und Shutdown sind extrem langsam, Icons werden tlw. falsch angezeigt. Bis ich den - Erbitte Auswertung von HJT- bzw. eScan...
Archiv
Du betrachtest: Erbitte Auswertung von HJT- bzw. eScan auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55