Hallo, habe heute 2 Troyaner beim automatischen überprüfen gefunden.
1 x Exploit-MHtRedir.gen und 1 x Generic Spy.e unter Quarantöne wurde gestellt<: W32_API.cap Weiteres nach einem Gesamtscan nicht gefunden. Mein Windows Explorer geht allerdings nun nicht mehr. Habe ein bischen gegoogelt und Euch entdeckt. Habe dann ein Logfile erstellt, kann aber leider nix vertstehen. Welche Position ist denn wohl noch nicht in Ordnung? Bitte um Eure Hilfe in Anfängersprache. Danke. Karin


Logfile of HijackThis v1.99.1
Scan saved at 14:01:41, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Netscape\Netscp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Hardcopy\hardcopy.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Admin\LOKALE~1\Temp\Rar$EX01.568\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\action\half-life an sackratte\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Mozilla Quick Launch] "c:\Programme\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BED220-FBC7-4392-93A2-3A50B056F78E} - http://down.plaxo.com/down/release/instub.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2B7D9FF-70ED-419F-B45D-D1E207A39F50}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NetOp Helper ver. 8.00 (2006047) (NetOp Host for NT Service) - Danware Data A/S - C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Hi Karin,

prüf bitte

Zitat:

C:\WINDOWS\System32\Userinit.exe

bei Virustotal. Dabei auf Durchsuchen gehen und o.g. Datei senden. Du wirst wahrscheinlich in der Warteschlange stehen, deine Position wird ständig aktualisiert. Poste die Auswertung der Untersuchung bitte in jedem Fall.

Gruß

Hallo,

habe ich gemacht und auf send gedrückt. Wie sehe ich denn, wo ich stehe? Nach send ist nix passiert.

Vermutlich hast du bei deinem Browser (Netscape?) JavaScript deaktiviert. Das mußt du aktivieren.
Gruß

War aktiviert!

Ist zwar aktiviert aber wenn ich in Konsole schaue folgender Eintrag


Fehler: http_request.responseText has no properties
Quelldatei: http://www.virustotal.com/vt2.js
Zeile: 157

Was nun?

Hm, und mit Internet Explorer geht auch nicht? Wenn nicht, dann lade dir escan, gehe nach der Anleitung vor und poste das log der find.bat, nicht das gesmate mwavscan-log!

Wo genau wurden die Trojaner eigentlich gefunden?

Gruß

edit

Zitat:

Fehler: http_request.responseText has no properties
Quelldatei: http://www.virustotal.com/vt2.js
Zeile: 157

Sieht mir nach einem Javascriptfehler aus, vielleicht gibts hier im Board einen Experten dafür.

2. edit
Blockt dein McAfee Javascript? Prüfe bitte die Einstellungen.

Kann ih genau nur von einem sagen:
Dok/Einstellungen/ADmin/Te..... Datei hieß IHUZ9wzg

Führe den scan im abgesicherten modus durch. Leider konnte ich nicht alle häkchen setzten, da manche wie z.Bsp. all local drivers hellgrau und nich anzuklicken waren.
Nun habe ich mitten im scan folgende <nachricht :

Spyware/Adware Detected!!!!! You will need to buy eScan or this tool in order to eleminate this Spyware/Adware from your system. Click on BUY THISPRODUKT button. Habe es einfach geschlossen nun kommt der Bericht Habe 16Critical Objekts und380 errors.

im abgesicherten Modus komme ich ja nicht ins Internet umhier den Bericht einzustellen wasnun? Imnormalen Modus neu starten?

Hast du bei McAfee geschaut, ob das script geblockt wird? Hast du alternativ versucht, mit dem IE

Zitat:

C:\WINDOWS\System32\Userinit.exe

zu senden? Die Untersuchung der Datei liegt mir am Herzen und könnte die ganze Sache abkürzen.

Zu escan: Ja, starte normal und poste das log der find.bat! nicht das gesamte, ich weiß, ich wiederhole mich.

Gruß

Sorry bin etwas doof, habe nicht gesehen, dass es hier ein 2. Seite gibt.
Also IE kann ich nicht starten. Welches ist den die find.bat? habe einmal den direkten Bericht gespeichert und einmal den View scan

So, habe mal kurz Mcafee ausgeschaltet und bin nun an 65 Stelle bei virustotal, dauer ca.15. Min. werde dann diesesmal hier reinstellen. Soll ich den Berichtvon escan auch reinstellen? Sind 12 Seiten
Danke

Karin

Sehr gut.

Zitat Karin1961

Zitat:

Welches ist den die find.bat?

Hast du die Anleitung gelesen?

Zitat:

[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.

Solltest du auch schaffen
Bitte benutze den Editieren-Button, wenn du kurzfristig Beiträge änderst/ergänzt.

Klasse, bin zwar nich blond aber...
jetzt habe ich auch bis zumEnde gelesen und weiß un was die dicken Zahlen bedeuten. Werde erst mal auf dieses Ergebnis warten, dann noch mal in den gesicherten Modus gehen und scannen und schauen ob Du recht hast und ich es wirklich auf die Reihe bekomme