| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Problem mit Rechner meiner Frau, HJT Bericht liegt bei !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
27.10.2005, 21:16
| #1 |
| |  Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! Hallo Wie mein Name schon vermuten läst bin ich nicht DER über Computer Crack, zum neuinstallieren und beheben von einfachen Problemen reichts aber alles darüber hinaus verlangt eine Anleitung (RTFM  ) ... Also erst vor kurzem hat meine Frau ein Problem mit einem Backdoor Virus gehabt (laut AntiVir) und diesen gelöscht, seitdem ist der Rechner aber irgendwie langsamer geworden (als ob er 1Ghz weniger hätte). Jetzt habe ich das Problem das ich ihr helfen soll  ... ich poste einfach mal meinen HJT Bericht und hoffe das ihr da was raus lesen könnt (ich kanns nicht)... ich danke euch Jungs und Mädels  !!!HJT Report von 27.10.2005 Logfile of HijackThis v1.99.1 Scan saved at 22:08:39, on 27.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\eMule\eMule.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Dennis\Desktop\HJT\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe |
|
27.10.2005, 21:26
| #2 |
| |  Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! Ahhhh ... Stop !!! Das ist mein Bericht von meinem PC !!! Dieser ist der richtige (natürlich könnt ihr auch auf meinen Bericht schaun aber den PC hüte ich, da dürfte nix mit sein
__________________ *aufholzklopf*)DAS ist der RICHTIGE !!! (irgendwie auch viel länger als meiner  )Logfile of HijackThis v1.99.1 Scan saved at 22:23:36, on 27.10.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\svchost.exe C:\WINNT\SOUNDMAN.EXE C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Birgit\LOKALE~1\Temp\Rar$EX01.093\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =http://www. quicksearch360.com/sp2.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xssbsaaejvsuqemr.org/Hh8RF1VdLNOn1TxaCDfQ8pTCSVnzTDZRGNxw8N6XxurSkSoHoqcy56UcJ2aHs6CL.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel O2 - BHO: (no name) - {00DB68CC-E4F4-EAC0-9A62-F85E81E47F7D} - C:\DOKUME~1\Birgit\ANWEND~1\INSIDE~1\Info List.exe (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [System service76] C:\WINNT\\\etb\\pokapoka76.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run:[list software skip kind] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\winlivelistsoftware\Active win.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [FORD 32] C:\DOKUME~1\Birgit\ANWEND~1\TONSDE~1\Hope time surf.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/ O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123700838906 O17 - HKLM\System\CCS\Services\Tcpip\..\{51880EAF-EC54-4CA7-BEE2-DC46749537B9}: NameServer = 62.72.64.241 62.72.64.237 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe Geändert von DAUed (27.10.2005 um 21:40 Uhr) |
|
27.10.2005, 21:32
| #3 |
| Administrator, a.D.   | Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! Hallo,
__________________das Log-File scheint soweit in Ordnung zu sein, was aber nicht heißen muß, daß das System es sein muß bzw. sauber wäre. Welcher Backdoor wurde wo erkannt? btw: Der Einsatz von Filesharing Tools reduziert die Systemsicherheit erheblich! Um einen Fehlalarm von AntiVir auszuschließen, wäre die Virus Log Information von eScan äußerst interessant, die dann zur weiteren Analyse herangezogen wird. Sollte tatsächlich ein Backdoor auf diesem System aktiv gewesen sein, dann solltest du das kompromittierte System neu aufsetzen. Siehe dazu die Anleitung in meiner Signatur. EDIT: Editiere die aktiven Links im zweiten Log-File! Danke!
__________________ |
|
28.10.2005, 06:47
| #4 | ||
 | Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! Servus, DAUed! Nun, das zweite Log ist nicht ganz so sauber wie Dein erstes! Neben elitebar (Adware) hast Du einige eigenartige Einträge in den Runservices Zitat:
Zu dem pokapoka-Zeugs: Versuch mal cronos´ link (LQFix) http://www.trojaner-board.de/showthr...light=pokapoka und poste anschließend ein neues HJT-Log. Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
|
28.10.2005, 12:15
| #5 |
| | Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! Hi Ja das werde ich machen sobald ich an den PC kann, danke schonmal ! Habt ihr ein paar Einträge die ich schonmal mit HJT löschen kann um wenigstens etwas wieder "frei" zu werden ? Ich dachte da an diese ominösen www.search360.com Sachen z.B. ? Den Namen von dem AntiVir ding werde ich dann auch posten, müste ja noch im LOG stehen wenn ich mich nicht irre. Danke !  |
|
| Themen zu Problem mit Rechner meiner Frau, HJT Bericht liegt bei ! |
| adobe, antivir, backdoor, bho, computer, danke, dateien, desktop, einstellungen, explorer, firefox, gelöscht, helfen, hijack, hijackthis, internet, internet explorer, messenger, mozilla, mozilla firefox, problem, programme, system, virus, windows, windows xp |
Linear-Darstellung
