HijackThis Log... Bitte um Hilfe.

Riotnrrrd · 06.11.2006, 04:39

Yo, Roboterstress mit (wie Antivir meldet) dem Trojaner
"Pakes.A.971"

Kein Plan was ich da jetzt machen muss, daher hier das HijackThis Logfile...
Vielen Dank schonmal im voraus!

Logfile of HijackThis v1.99.1
Scan saved at 04:34:22, on 06.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\DOKUME~1\*****\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http:///
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: (no name) - {AC16E7B8-BAA0-4683-9051-A68E6C010A0e} - C:\WINDOWS\system32\ncyfgcy.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ChkDisk] C:\WINDOWS\system32\iesniff.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: KVG.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07C9D95A-FF03-4D4C-95B8-D771B754CCC0}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD8F6178-71DF-41C9-83A4-8C4530F9FDE2}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{07C9D95A-FF03-4D4C-95B8-D771B754CCC0}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{07C9D95A-FF03-4D4C-95B8-D771B754CCC0}: NameServer = 192.168.1.1
O20 - Winlogon Notify: instcat - C:\WINDOWS\SYSTEM32\instcat.dll
O21 - SSODL: IEFilter - {A82B4DC4-3A42-4DB7-979C-316161F41C43} - C:\WINDOWS\system32\IEFilter.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe

nochdigger · 06.11.2006, 06:06

mOIn auch

Mache als erstes bitte alle Dateien und Ordner sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

bei dir scheint einiges im argen zu sein, lasse folgende Dateien
C:\WINDOWS\system32\ncyfgcy.dll
KVG.exe (oder bist du Busfahrer?)
C:\WINDOWS\SYSTEM32\instcat.dll
C:\WINDOWS\system32\IEFilter.dll
C:\WINDOWS\system32\Service.exe
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben,
auch wenn nichts gefunden wurde.
Mache dich am besten schon einmal mit dieser Anleitung vertraut.

MFG

Riotnrrrd · 06.11.2006, 16:12

Ok, also hier die Ergebnisse von VirusTotal...
das File IEFilter.dll konnte ich ums Verrecken nicht finden

"instcat.dll"

AntiVir 7.2.0.37 11.06.2006 HEUR/Malware
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.06.2006 no virus found
CAT-QuickHeal 8.00 11.06.2006 no virus found
ClamAV devel-20060426 11.06.2006 no virus found
DrWeb 4.33 11.06.2006 no virus found
eTrust-InoculateIT 23.73.47 11.06.2006 no virus found
eTrust-Vet 30.3.3178 11.06.2006 no virus found
Ewido 4.0 11.06.2006 no virus found
Fortinet 2.82.0.0 11.06.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.05.2006 no virus found
Kaspersky 4.0.2.24 11.06.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.06.2006 no virus found
NOD32v2 1.1854 11.06.2006 no virus found
Norman 5.80.02 11.06.2006 no virus found
Panda 9.0.0.4 11.06.2006 Suspicious file
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.06.2006 no virus found
VirusBuster 4.3.15:9 11.06.2006 no virus found

File size: 49664 bytes
MD5: bf797b72bb86f253ec35d3d7b9871a31
SHA1: 9a849a2e163f71151945040d63e553068e4e6e5f

"ncyfgcy.dll"

AntiVir 7.2.0.37 11.06.2006 no virus found
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.06.2006 no virus found
CAT-QuickHeal 8.00 11.06.2006 no virus found
ClamAV devel-20060426 11.06.2006 no virus found
DrWeb 4.33 11.06.2006 no virus found
eTrust-InoculateIT 23.73.47 11.06.2006 no virus found
eTrust-Vet 30.3.3178 11.06.2006 no virus found
Ewido 4.0 11.06.2006 no virus found
Fortinet 2.82.0.0 11.06.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.05.2006 no virus found
Kaspersky 4.0.2.24 11.06.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.06.2006 no virus found
NOD32v2 1.1854 11.06.2006 no virus found
Norman 5.80.02 11.06.2006 no virus found
Panda 9.0.0.4 11.06.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.06.2006 no virus found
VirusBuster 4.3.15:9 11.06.2006 no virus found

File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

"service.exe"

AntiVir 7.2.0.37 11.06.2006 no virus found
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.06.2006 no virus found
CAT-QuickHeal 8.00 11.06.2006 no virus found
ClamAV devel-20060426 11.06.2006 no virus found
DrWeb 4.33 11.06.2006 no virus found
eTrust-InoculateIT 23.73.47 11.06.2006 no virus found
eTrust-Vet 30.3.3178 11.06.2006 no virus found
Ewido 4.0 11.06.2006 no virus found
Fortinet 2.82.0.0 11.06.2006 no virus found
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.05.2006 no virus found
Kaspersky 4.0.2.24 11.06.2006 no virus found
McAfee 4888 11.03.2006 no virus found
Microsoft 1.1609 11.06.2006 no virus found
NOD32v2 1.1854 11.06.2006 no virus found
Norman 5.80.02 11.06.2006 no virus found
Panda 9.0.0.4 11.06.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.06.2006 no virus found
VirusBuster 4.3.15:9 11.06.2006 no virus found

File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

"KGV.exe"

AntiVir 7.2.0.37 11.06.2006 HEUR/Crypted
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 no virus found
AVG 386 11.04.2006 no virus found
BitDefender 7.2 11.06.2006 no virus found
CAT-QuickHeal 8.00 11.06.2006 no virus found
ClamAV devel-20060426 11.06.2006 no virus found
DrWeb 4.33 11.06.2006 BackDoor.Apex.20
eTrust-InoculateIT 23.73.47 11.06.2006 no virus found
eTrust-Vet 30.3.3178 11.06.2006 Win32/Cavitate!generic
Ewido 4.0 11.06.2006 no virus found
Fortinet 2.82.0.0 11.06.2006 suspicious
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.06.2006 no virus found
Kaspersky 4.0.2.24 11.06.2006 Trojan-Downloader.Win32.Murlo.du
McAfee 4888 11.03.2006 Downloader-YO
Microsoft 1.1609 11.06.2006 no virus found
NOD32v2 1.1854 11.06.2006 a variant of Win32/TrojanDownloader.Murlo
Norman 5.80.02 11.06.2006 no virus found
Panda 9.0.0.4 11.06.2006 Suspicious file
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.112 11.03.2006 no virus found
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.06.2006 BackDoor.Apex.20
VirusBuster 4.3.15:9 11.06.2006 no virus found

File size: 24064 bytes
MD5: 0278eaea94850fb687e307fe3d9fcef9
SHA1: 96a1dca1908d68ba44e18404432dcff2c3684f2b
packers: ASPACK
packers: Aspack

nochdigger · 06.11.2006, 19:08

mOIn auch

hast du dir den Link den ich dir gepostet habe mal angesehen?
Das solltest du jetzt machen, denn bei dir ist u.a. dieser
www.a-2.org/de/malware/?Backdoor.Win32.PPdoor.bcBackdoor.Win32.PPdoor.bc
http://www.virus-protect.org/artikel/dienste/service.html
unterwegs das heißt, du solltest deinen Rechner neu aufsetzen.

Auch ist es sehr verdächtig, dass einige Dateien den zugriff auf sich selbst sperren (ncyfgcy.dll), außerdem hast du evtl. einen unbekannten Schädling auf dem Rechner (instcat.dll) den solltest du mal an z.B. Kaspersky wie hier angegeben senden.

MFG

Riotnrrrd · 07.11.2006, 23:05

Ah ok, das habe ich bereits befürchtet... naja, dann wird c: wohl geplättet werden... Was solls...

Vielen Dank schonmal!!

HijackThis Log... Bitte um Hilfe.

Log-Analyse und Auswertung: HijackThis Log... Bitte um Hilfe.