verschiedene programme wollen ins netz

hecke · 05.09.2005, 18:02

Logfile of HijackThis v1.99.1
Scan saved at 18:53:36, on 05.09.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\anwendungen\OmniPagePro14.0\Opware14.exe
D:\anwendungen\OmniPagePro14.0\OpScheduler.exe
D:\anwendungen\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\tools\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\pnpasn32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Anwendungen\Firefox\firefox.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Dokumente und Einstellungen\hecke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Opware14] "D:\anwendungen\OmniPagePro14.0\Opware14.exe"
O4 - HKLM\..\Run: [OpScheduler] "D:\anwendungen\OmniPagePro14.0\OpScheduler.exe"
O4 - HKLM\..\Run: [PDF Converter Registry Controller] "D:\anwendungen\OmniPagePro14.0\PdfCnv\RegistryController.exe"
O4 - HKLM\..\Run: [SSPrnAgent] D:\anwendungen\OmniPagePro14.0\PdfPrn\SPrnAgent.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [f3e7f] C:\WINDOWS\ydppm.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\tools\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Anwendungen\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\ANWEND~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://D:\anwendungen\OmniPagePro14.0\PdfCnv\IEShellExt.dll /500
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE2A7A0-5933-48A1-8F0A-19BD723DFAD8}: NameServer = 195.50.140.252 195.50.140.250
O23 - Service: AOL Instant Messanger (AIM) - Unknown owner - C:\WINDOWS\aim.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

__________________________________________
ZoneAlarm meint, folgende Programme wollen ins Netz:

pnpasn32.exe
services.exe
bargains.exe
exdl1.exe
adx.exe

Ich weiß mit den Programmen aber nix anzufangen...plz help und thx im voraus.
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

HerrKautz · 05.09.2005, 18:10

Hi,

lass folgende Dateien bei Jotti online scannen: http://virusscan.jotti.org/de/

C:\WINDOWS\pnpasn32.exe

C:\Programme\SideFind\sfbho.dll

C:\WINDOWS\System32\msbe.dll

C:\WINDOWS\ydppm.exe

Poste dann das Ergebnis für jede einzelne Datei hier her!

Gruss

Edit:

Hat sich erledigt,setz dein System neu auf,aktiver Backdoor,auch kein Wunder bei dem System,geh nach der Anleitung vor: http://trojaner-board.de/showthread.php?t=12154

cacatoa · 05.09.2005, 18:13

@ HerrKautz:
Was hältst von dem hier?
Sollte die sein:
C:\WINDOWS\pnpasn32.exe

Denke mal "hecke" wird neu aufsetzen müssen, das wirst du ihm raten, wie isch disch kenne...
cacatoa

HerrKautz · 05.09.2005, 18:20

Zitat:

Zitat von cacatoa

@ HerrKautz:
Was hältst von dem hier?
Sollte die sein:
C:\WINDOWS\pnpasn32.exe

Denke mal "hecke" wird neu aufsetzen müssen, das wirst du ihm raten, wie isch disch kenne...
cacatoa

Guck mal mein Edit

Rene-gad · 05.09.2005, 19:09

@hecke

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Mi einem ungepatchtem System im Internet zu surfen ist nicht arch schlau und sehr fahrlässig. Infolge dessen ist Dein System total kompromittiert. Bitte arbeite das das durch.
@cacatoa

Zitat:

Sollte die sein:
C:\WINDOWS\pnpasn32.exe

Ich denk' daran

Zitat:

Denke mal "hecke" wird neu aufsetzen müssen

Ich denk' , ihr habt beide recht.

cacatoa · 05.09.2005, 19:15

@ Rene-Gad:
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe

Deswegen: change me please hab ich an den: W32/Tilebot-L gedacht.
Is ja aber auch egal; neu aufsetzen ist angesagt.
cacatoa

verschiedene programme wollen ins netz

Log-Analyse und Auswertung: verschiedene programme wollen ins netz