HiJackThis Log-File ... nach Virenbefall

Tarnii · 03.05.2006, 06:26

morgen an alle,

nach meiner 'wunderschönen' nacht an zwei rechnern wollte ich euch bitten euch mal das unten folgende log durch zu sehen und mir ggf. sagen was ich machen soll / kann.

vorab aber evtl noch was ich schon gemacht habe ... (alles im abges. Modus und Sys.wieder.. deaktiviert)

- wiederherst. deakt. ... temp i-netfiles und cookies mit CCleaner löschen lassen

- escan über pandasoftware ... extremster befall meines hauptrechners, ich kann an einer hand die nicht befallenen *.exe dateien abzählen :-/ ... ich war kurz vorm nervenzusammenbruch !

- scan mit stinger 2.6 (keine funde ?!!)... dann noch zusätzlich das akt. ms-tool zur entf. vom apr '06 ( auch nix mehr )

- weils so schön war nochn scan mit dem akt. adware wo n paar cookies und ein favorit aufgeführt wurden ( gelöscht )

... hier also nun das log-file

Logfile of HijackThis v1.99.1
Scan saved at 06:36:47, on 03.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\FA-950\BIN\klslink.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Dokumente und Einstellungen\TeK\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://.:.:.:.:.:EDIT:.:.:.::.::.
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [FeedBuster] "C:\Programme\FeedBuster\FeedBuster.exe"
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FA-950.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145190589906
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

ja ich weiß das ich kein SP2 hab ... was aber mehr als weniger absicht von mir ist!!! hatte bisher NUR probleme mit SP2 (selbst mit aktuellem bios :P ) und hab mich (bisher) mal strickt dagegen geweigert SP2 nochmal zu installieren !

den zweiten rechner hab ich nach dem escan vom lan genommen und abgeschaltet da ich mit sicherheit jede *.exe auf meiner prog.hd vergessen kann und ich mir darüber JETZT mal garkeine weiteren gedanken machen will !!!

will bzw sollte vielleicht noch erwähnen das ich das gefühl oder den verdacht hab das sich das dieser ganze müll nach meiner deaktivierung der SPI von meinem router zusammengebraut hat ... ka aber mich würds interessieren obs (auch) daran lag (damit ich den sch**** nich nochmal mach ... und evtl als vorbeugenden tip für die anderen)

jetzt schonmal vielen dank ! ... (hoffe habe alles vollst. u richtig editiert!)

Tan

** EDIT ** - antivir hatte ich kurz vorm hj-scan gelöscht

** hj-online ausw **

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) - Eventuell veraltet
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://.:.:.:.:.:EDIT:.:.:.::.::. - Eventuell Böse <- da war ich böse mit editieren !
O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock - Unbekannt
O4 - HKLM\..\Run: [FeedBuster] "C:\Programme\FeedBuster\FeedBuster.exe" - Unbekannt
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) - Eventuell Böse
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) - Eventuell Böse
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) - Eventuell Böse
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) - Eventuell Böse

cosinus · 03.05.2006, 06:40

Dein Logfile sieht garnicht so wild aus, wie ich befürchtet habe...

Zitat:

C:\Programme\FeedBuster\FeedBuster.exe

Kennst Du Feedbuster?

Zitat:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Scheint ein unnötiger Eintrag zu sein. Fixen.

Leider hast du nicht erwähnt, mit welchen Schädlingen der Rechner befallen war bzw. immer noch ist!
Mach mal daher einen Check mit eScan und poste das mit der FIND.BAT erstellte Logfile (Anl. siehe unten in meiner Sig).
Erstell auch bitte die vier Logs mit der DATFINDBAT und poste diese.

Tarnii · 03.05.2006, 08:42

hoi,

hmmm ... leider macht mich das nich direkt glücklicher das mein log (jetzt nicht mehr) so schlimm aus sieht wie du bef. hast ... dafür tu´s ich !!! :P

ja, feedbuster kenn ich. is zum erstellen von RSS feeds hatte das prog vor ein paar tagen getestet aber gleich wieder deinstalliert

O3 toolbar ... das IST meine google toolbar (kanns sein das die da aufgeführt wird weil sie im abges. modus nich geladen wird ? )

befallen war ich laut plötzlicher powerattacke von antivir von w32/stanit (sonst hab ich keinen anderen gesehen, auch nicht beim escan über pandasoftware)

hier nun die logs:

*** MWAV meldungen ***

[SIZE="1"]Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "midnight oil Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "toolbar Spyware/Adware" found in File System! Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Desktop\ccsetup128.exe tagged as not-a-virus:RiskTool.Win32.PsKill.n. No Action Taken.
File C:\Dokumente und Einstellungen\TeK\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{80F68191-C1D0-4F59-8B87-1D75E9E5AE13}\Message Store\JunkMail.imm infected by "Trojan-Spy.HTML.Bayfraud.hn" Virus! Action Taken: No Action Taken.
File C:\Programme\Radmin Viewer 3.0\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.30. No Action Taken.
File D:\-- progs zum testen - guggen\_ Feedbuster (RSS Feed)\FeedBuster.exe tagged as "not-a-virus:AdWare.Win32.MDH.e". Action Taken: No Action Taken.
File D:\Installierte Programme\++ mIRC ++\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.
File D:\System Volume Information\_restore{0EC34B78-7192-4CF9-B9AE-2277E8C4CBA2}\RP2\A0001157.exe infected by "Trojan-Clicker.Win32.VB.gc" Virus! Action Taken: No Action Taken.
File D:\System Volume Information\_restore{0EC34B78-7192-4CF9-B9AE-2277E8C4CBA2}\RP2\A0001164.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.
File G:\System Volume Information\_restore{0EC34B78-7192-4CF9-B9AE-2277E8C4CBA2}\RP6\A0003358.exe infected by "Sniffer.Win32.Advanfer" Virus! Action Taken: No Action Taken.
File G:\_server_\++ mIRC ++\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.603. No Action Taken.

da meine antwort doch ewas sehr zu lang geworden wär die anderen logs über link

*** kaspersky ergebnisse ***

*** sys32 ***

*** c:\win ***

*** system\temp

*** c:\ ***

bin mir ehrlich gesagt bisschen zu unsicher was das thema mit den viren, trojanern usw betrifft, vorallem will ich nix löschen wodurch später evtl garnix mehr geht ! also bin ich für vorschläge / nützliche befehle an mich dankbar ;-)

wie´s aussieht bin ich ja auch so ziemlich alle *.exe dateien auf meinem anderen rechner los (durch pandasoft. scan 'corrupt') ... gibts denn ein tool das nach beschädigten dateien sucht damit ich nicht alle einzeln testen muss .. sind nämlich schon so 2,5 stück :-( ... ich glaubs zwar nich aber wärs natürlich besser wenn man die wiederherstellen könnte ...

cosinus · 03.05.2006, 12:02

Ähem..das eScan-Log hast Du noch, wie es in der Anleitung beschrieben ist, mit der FIND.BAT erstellt oder?

Deaktiviere die Systemwiederherstellung für _alle_ Laufwerke!

Zitat:

C:\Programme\Radmin Viewer 3.0\radmin.exe

Ist das Programm bewusst installiert?
Ich weiß nicht, ob das normal ist, aber Du hast im System32-Ordner SEHR VIELE für mich kryptisch aussehende DLL-Files

Ich hab auch irgendwie das Gefühl, dass Du eScan nicht streng nach Anleitung bedient hast.

Tarnii · 03.05.2006, 13:38

Zitat:

Zitat von cosinus

Ähem..das eScan-Log hast Du noch

japp, hab das log ( MWAV.LOG ) noch !!! ... allerdings is mir grad als ichs hochladen wollte aufgefallen das des teil 21'804kb (21,2 MB !?!?!?!??!)

hat ... kann das sein ? normal würd ich sagen das def. zu arg ... aber heute wundert mich garnichts mehr

Zitat:

wie es in der Anleitung beschrieben ist, mit der FIND.BAT erstellt oder?

ehrenwort, das habe ich !

Zitat:

Deaktiviere die Systemwiederherstellung für _alle_ Laufwerke!

ist sie doch ... hier 2 screenshoots (systemzeit von eben) screener1 screener2

Zitat:

Ist das Programm bewusst installiert?

japp, radmin ist bewusst installiert, damit greife ich auf meinen zweiten rechner ( 'remotedesktop' ) zu und mach halt was ich denke machen zu müssen ^^

Zitat:

Ich weiß nicht, ob das normal ist, aber Du hast im System32-Ordner SEHR VIELE für mich kryptisch aussehende DLL-Files

*schulterzuck* ich leider noch weniger !!!

kann ja guggen ob ich rausfind wofür die dll´s sind ... sag mir nur welche

Zitat:

Ich hab auch irgendwie das Gefühl, dass Du eScan nicht streng nach Anleitung bedient hast.

wie gesagt ... ehrenwort das hab ich, aber ich machs gegen 15:30 nochmal (arbeit ruft)

klappe die zweite

um 13:00 gings wieder leicht los ... hier der report von antivir

MightyMarc · 03.05.2006, 14:48

Ich würde mal sagen, AntiVir läuft Amok. Kannst Du die von AntiVir beanstandeten Dateien mal bei virustotal oder jotti (siehe Signatur) prüfen lassen und die Logs hier posten? Danke.

Zudem kopiere dein MWAV.log mal nach C:\bases_x und starte dann die find.bat. Dann sollte es auch mit der Sortierung/Filterung funktionieren. Wenn alles richtig gelaufen ist, sollte dass Log in etwas so aussehen:

http://www.trojaner-board.de/showpos...90&postcount=8

HiJackThis Log-File ... nach Virenbefall

Log-Analyse und Auswertung: HiJackThis Log-File ... nach Virenbefall