Logcheck - Pc extrem langsam!

contestedgenius · 01.08.2006, 14:03

Hallo!

Mein Gott, was hab ich mir da wohl wieder eingefangen

..
Mein Problem ist folgendes:

Gestern hat Antivir die schöne Meldung über einen Virus durchgegeben, ich habe jedoch blöderweise nicht den Namen und den Pfad notiert und habe einfach auf
"Zugriff verweigern und die Datei belassen" geklickt.
Bis gestern Abend gab es also noch keine Schwierigkeiten, die sehr auffällig waren, bis auf die Meldung.

Eben als ich den Pc einschaltete schien mir alles extrem langsam zu gehen und komischer Weise konnte ich mich weder bei Icq, noch bei Msn anmelden.
Der Browser macht ähnliche Faxen. Wenn ich irgendeine Addresse suchte, dann wurde immer nur eine Seite namens: "h**p://www.quickbrowsersearch.com"
angezeigt, auf der nur steht, dass ein Fehler aufgetreten sei und "h**p://www.quickbrowsersearch.com" nicht angezeigt werden könne *kopfschüttel*.
Ich habe dann erst einmal den Rechner restartet und nun geht es wieder, aber der Seitenaufbau dauert nun komischer Weise endlos lange und das anmelden bei den Chatprogrammen ebenfalls.

Als ich also wieder Webseiten besuchen konnte hab ich mich schnell auf eure page begeben und heir bin ich nun =).

Checkt doch mal bitte dieses HiJackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:44:27, on 01.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\spiele\steam\steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\stickies\stickies.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.484\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\atight1\EIGENE~1\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - h**p://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - h**p://messenger.zone.msn.com/binary/Bankshot.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Ich danke euch vielmals =).
Jan

Mellosun · 01.08.2006, 14:20

Hallo Jan,

kann es sein, das du zwei AV Programme am laufen hast?

Hast du einen Hewlett Packard Drucker?
Über folgendes ließt man nähmlich sehr unterschiedliche Meinungen:
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04. exe
Ansonsten mal bei Jotti und Virustotal auswerten lassen und das Ergebnis Posten!

Sonst sieht Dein Log, meiner Meinung nach, sauber aus.
Kannst mal einen eScan machen? Das Programm hast ja, wenn ich mich nicht versehen habe!

Gruß Mellosun

contestedgenius · 01.08.2006, 14:56

Huhu Mellosun!
Danke für deine Antwort.

Was meinst du mit 2 AV Programmen?
Meinst du das "AntiVir Hauptprogramm" und den "AntiVir Guard"?

Und ja, ich habe einen HP Drucker angeschlossen =)
Soll ich die Datei trotzdem auswerten lassen?

Ich mache jetzt mal einen Escan!

Gruß
Jan

Mellosun · 01.08.2006, 14:59

Was ich mit zwei AV Programmen meine?

C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe

Sind das zwei "Wächter"? Sind ja beide als aktiver Prozess gezeigt.....

Wenn du nen HP Drucker hast, sollte die Datei gut sein. Auswerten kannst du sie lassen, wenn du ganz, ganz sicher gehen willst!

Gruß Mellosun

contestedgenius · 01.08.2006, 14:59

So hab mal eben einmal bei Virustotal ausgewertet:
Complete scanning result of "hpztsb04._exe", received in VirusTotal at 08.01.2006, 15:47:51 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
F-Prot4 n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found
VirusBuster n - no virus found

contestedgenius · 01.08.2006, 18:55

Ahoi

!

Nun der eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 15:57:05 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sat Sep 24 16:08:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sat Sep 24 16:24:36 2005 => Total Disinfected Files: 0
Sun Sep 25 11:59:14 2005 => Total Disinfected Files: 0
Sun Sep 25 12:00:47 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Sun Sep 25 12:14:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Sep 25 12:31:17 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Sep 25 12:00:47 2005 => Offending file found: C:\DOKUME~1\atight1\LOKALE~1\Temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 16:24:36 2005 => Total Virus(es) Found: 3
Sun Sep 25 11:59:14 2005 => Total Virus(es) Found: 0
Sun Sep 25 12:31:17 2005 => Total Virus(es) Found: 3
Sat Sep 24 16:24:36 2005 => Total Errors: 200
Sun Sep 25 11:59:14 2005 => Total Errors: 0
Sun Sep 25 12:31:17 2005 => Total Errors: 202
Sat Sep 24 16:24:36 2005 => Time Elapsed: 00:29:00
Sun Sep 25 11:59:14 2005 => Time Elapsed: 00:00:07
Sun Sep 25 12:31:17 2005 => Time Elapsed: 00:31:20
Sat Sep 24 16:24:36 2005 => Total Objects Scanned: 54943
Sun Sep 25 11:59:14 2005 => Total Objects Scanned: 154
Sun Sep 25 12:31:17 2005 => Total Objects Scanned: 54995
Sat Sep 24 15:55:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 16:24:36 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:11 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:58:59 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:13 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:15 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:47 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:31:17 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:34:12 2005 => Virus Database Date: 2005/09/24
Tue Aug 01 16:06:03 2006 => Virus Database Date: 2005/09/24
Tue Aug 01 18:13:48 2006 => Virus Database Date: 2005/09/24
Tue Aug 01 18:14:05 2006 => Virus Database Date: 2005/09/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Mellosun · 01.08.2006, 20:44

OK, Lade dir mal bitte Ad-Aware Update es und führe es aus.
Auch Ewido kannst du mal Laufen lassen. Alles wichtige dazu gibts hier . Auch laden, Updaten und ausführen!

Dann kannst du mal hier nachlesen. Sollte helfen.

Gruß Mellosun

PS: Dannach bitte nen neuen Hijacktis LOG

contestedgenius · 02.08.2006, 01:59

Huhu!

Ich habe alles schön abgearbeitet. Da ich diverse Programme nutzen musste, entstanden auch diverse Logs. WIllst du die auch sehen? Egal, ich schick sie mal einfach:

1.

BFU v1.00.9
Windows 2000 SP4 (WinNT 5.00.2195 SP4)
Script started at 01:00:47, on 02.08.2006

Option Delete files to Recycle Bin: Yes
Option pause between commands: 100 ms
Failed: FolderDelete C:\Programme\SpyFalcon (folder not found)
Warning: unknown command 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{5bc82bdb-bc03-4671-9a78-3ef2b68449de}' on line #93
Warning: unknown command 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a566f298-05a6-4b3d-b672-da7c27316430}' on line #95
Warning: unknown command 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{0c7416f0-dd23-420f-97f5-aae352ea2bf1}' on line #97
Warning: unknown command 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{e5b1e382-817e-4b74-8a96-ec78751e6acf}' on line #99
Warning: unknown command 'HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{336ec37f-54bf-4f13-8237-03f64fa591e7}' on line #101
Failed: FolderDelete C:\Programme\SpyFalcon (folder not found)
Failed: FolderDelete C:\Programme\Security Toolbar (folder not found)
Script completed.

2.

SmitFraudFix v2.78

Scan done at 1:10:24,17, Mi 02.08.2006
Run from C:\Dokumente und Einstellungen\atight1\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

3.

Scan bei etrust:

Datei Infektion Status Pfad
Drive heart.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\
Oozefour.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\FRAG BOWS PLUS TRAY\
pile type.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\FRAG BOWS PLUS TRAY\
DefaultMoveFlap.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\PROCMA~1\
plefevdf.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\PROCMA~1\
rmfbsbnx.exe Win32/Swizzor kann nicht bereinigen C:\!KillBox\PROCMA~1\
bind iso.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\
ShowGrey.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\
softwareexit.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRAG BOWS PLUS TRAY\
DefaultMoveFlap.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Proc mapi barb\
fsrnnkvk.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Proc mapi barb\
skzpqwkr.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Proc mapi barb\
wwtfujus.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Proc mapi barb\
zcaqyqqj.exe Win32/Swizzor kann nicht bereinigen C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Proc mapi barb\
Anima.class-1a960417-30fcb0bf.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\
Anima.class-24af51dc-292879e3.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\
Anima.class-2c12fd96-1b75e8a8.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\
Anima.class-2fdccaaf-5b002c03.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\
Anima.class-35e076df-4a3e0d54.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\
Anima.class-684c241a-41d899cb.class Java/ByteVerify!exploit gelöscht C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\

4.
Scan bei Kaspersky

Infected Object Name Virus Name Last Action
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\Cache\_CACHE_001_ Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\Cache\_CACHE_002_ Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\Cache\_CACHE_003_ Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\cert8.db Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\formhistory.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\history.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\key3.db Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Anwendungsdaten\Mozilla\Firefox\Profiles\w4fsv564.default\parent.lock Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Lokale Einstellungen\Temp\arc0000.tmp Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\atight1\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\atight1\ntuser.dat.LOG Object is locked skipped
C:\Spiele\Steam\Steam.log Object is locked skipped
C:\Spiele\Steam\SteamApps\winui.gcf Object is locked skipped
C:\Spiele\Steam\SteamLogs\SteamStats.log Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked skipped
C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked skipped
C:\System Volume Information\catalog.wci\0001000F.ci Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.fid Object is locked skipped
C:\System Volume Information\catalog.wci\cicat.hsh Object is locked skipped
C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked skipped
C:\System Volume Information\catalog.wci\INDEX.000 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked skipped
C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked skipped
C:\WINNT\CSC\00000001 Object is locked skipped
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\SchedLgU.Txt Object is locked skipped
C:\WINNT\Sti_Trace.log Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
Scan process completed.

Und zu allerletzt 5.:

Das HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 03:01:00, on 02.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\spiele\steam\steam.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\stickies\stickies.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.063\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O20 - Winlogon Notify: SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Eine Sache ist mir nun neu aufgefallen. Bei der WIndows Passwortabfrage beim Starten des Pc´s kommt erst immer ein Fenster ich soll "Strg + Alt + Entf" drücken um zur PWabfrage zu gelangen. Wenn man das macht, dann kommt man auch dort hin, aber vorher kam das Fenster nicht =).

Gruß
Jan

contestedgenius · 02.08.2006, 20:40

Hey =)

Schaut da jemand nochmal bitte drüber?

Ist das System wieder clean?

Oder soll ich noch was machen?

Ich bitte um Antworten.

Vielen Dank im Vorraus!

Gruß
Jan

Mellosun · 03.08.2006, 14:01

Hallo,

soory erstmal, war Gestern nicht Online!

Also, Log sieht soweit sauber aus.
Die beiden RO Einträge:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

Sind die Gewollt oder unbekannt für Dich?
Laut Google sollten die gelöscht werden. Habe aber, wenn ich ehrlich bin, keine Ahnung davon!

Hab mal was aus Goggle gesucht. klick .
Schau mal und entscheide Dich!

Zu guter letzt solltest noch nen eSan machen, um die letzten Zweifel auszuräumen.

Hast du noch Probleme mit dem Rechner?

Gruß Mellosun

contestedgenius · 03.08.2006, 17:11

Huhu,

also ich kenne die Datei nicht, bin auch schon selbst vorher ein bisschen verwundert gewesen, als ich mein logfile durchlas.

ich hab die datei bei jotti und virustotal gescannt, und dort wird gesagt, dass sie sauber ist.

ebenfalls hab ich versucht den pfad zu finden und mit killbox zu löschen.
hier wird aber gesagt, dass sie nicht existiert..

komisch, komisch

soll ich den eintrag fixen?

die probleme sind bis jetzt auch nicht aufgetreten

danke erstmal =)

gruß
jan

Mellosun · 03.08.2006, 17:27

Hallo,

also wenn bei Jotti nichts negatives rauskam, sollten die Datein ja sauber sein. Das sie nicht da sind, kann ja net sein, sonst hätte eine auswertung ja nicht erfolgen können.

Hast du auch die unsichtbaren Dateien Sichtbar gemacht? ( Siehe SIG )

Gruß Mellosun

contestedgenius · 03.08.2006, 20:43

Huhu,

ich habe schon vorher Alles sichtbar gemacht.
Jetzt bei dem nochmaligen suchen habe ich ebenfalls nichts gefunden. Es kamen nur die beiden Meldungen:

Zum einen, wenn ich über die Suchoption suche sagt er mir:

Und als 2. dies hier direkt hinterher:

Des weiteren hat der Pc recht =) C:\windows\system32 kann ich nirgends finden.. Mhh

..

Was nun?

Gruß
jan

ps.: ich mach jetzt mal den eScan

contestedgenius · 03.08.2006, 22:28

so!

hier ist der escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 15:57:05 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Sun Sep 25 12:00:47 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Sep 25 12:00:47 2005 => Offending file found: C:\DOKUME~1\atight1\LOKALE~1\Temp\insthelp.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sat Sep 24 16:04:52 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
Sun Sep 25 12:11:02 2005 => File C:\mirc\mIRC.rar tagged as not-a-virus:Client-IRC.Win32.mIRC.616. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Sep 24 16:24:36 2005 => Total Virus(es) Found: 3
Sun Sep 25 11:59:14 2005 => Total Virus(es) Found: 0
Sun Sep 25 12:31:17 2005 => Total Virus(es) Found: 3
Sat Sep 24 16:24:36 2005 => Total Errors: 200
Sun Sep 25 11:59:14 2005 => Total Errors: 0
Sun Sep 25 12:31:17 2005 => Total Errors: 202
Sat Sep 24 16:24:36 2005 => Time Elapsed: 00:29:00
Sun Sep 25 11:59:14 2005 => Time Elapsed: 00:00:07
Sun Sep 25 12:31:17 2005 => Time Elapsed: 00:31:20
Sat Sep 24 16:24:36 2005 => Total Objects Scanned: 54943
Sun Sep 25 11:59:14 2005 => Total Objects Scanned: 154
Sun Sep 25 12:31:17 2005 => Total Objects Scanned: 54995
Sat Sep 24 15:55:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 16:24:36 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:08 2005 => Virus Database Date: 2005/09/24
Sat Sep 24 17:05:11 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:58:59 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:13 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:15 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 11:59:47 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:31:17 2005 => Virus Database Date: 2005/09/24
Sun Sep 25 12:34:12 2005 => Virus Database Date: 2005/09/24
Tue Aug 01 16:06:03 2006 => Virus Database Date: 2005/09/24
Tue Aug 01 18:13:48 2006 => Virus Database Date: 2005/09/24
Tue Aug 01 18:14:05 2006 => Virus Database Date: 2005/09/24
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

danke im vorraus

gruß
jan

contestedgenius · 05.08.2006, 20:36

habt ihr mich übersehn´ ?

Logcheck - Pc extrem langsam!

Log-Analyse und Auswertung: Logcheck - Pc extrem langsam!

Bitte um Logcheck!