"turboinet" | "andrewlinks" - Bitte um HJT-Log-Analyse

Tharsis · 30.12.2006, 11:53

Hallo,

ich bitte um Analyse der folgenden Logfile:

-------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 11:35:00, on 30.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\***~***\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CNN News Alert\CNNNewsAlert.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://andrewlinks.net
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.1.5.0\eBayBand.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12D02C08-218F-4A11-BDE1-6611ADB7B81F} - (no file)
O2 - BHO: (no name) - {2344B28B-89BF-42C3-ADC2-6F766CF5ADFD} - C:\WINDOWS\System32\enihba.dll (file missing)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\System32\DLL.dll (file missing)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\system32\wer8274.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.1.5.0\eBayBand.dll (file missing)
O3 - Toolbar: Search toolbar - {9EAC0102-5E61-2312-BC2D-444C4C4F5552} - C:\WINDOWS\System32\DLL.dll (file missing)
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [Realtime Monitor] "C:\PROGRA~1\CA\ETRUST~1\realmon.exe" -s
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOKUME~1\***~***\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe -startup -product IncrediMail
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [eTrustPPAP] "C:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\FotoSuite.exe" /autorun
O4 - HKCU\..\Run: [5-4-145-2] c:\programme\Webdialer\parisvoyeur.exe -m
O4 - HKCU\..\Run: [mscpx32r] C:\WINDOWS\System32\mscpx32r.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [smss32data] C:\WINDOWS\System32\service.exe
O4 - HKCU\..\Run: [smss32sysx] C:\WINDOWS\System32\discwin.exe %srun%
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CNN News Alert] "C:\Programme\CNN News Alert\CNNNewsAlert.exe"
O4 - HKCU\..\Run: [FeedOwl] C:\Programme\FeedOwl_S-Edition\FeedOwl.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Personal ID] C:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE
O4 - HKCU\..\Run: [TVgenial] "C:\Programme\TVgenial\TVgenial.exe" -d
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Stream-Speicher\NTAddList.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Stream-Speicher\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.1.5.0\eBayBand.dll (file missing)
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.1.5.0\eBayBand.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.contentcooler.biz
O15 - Trusted Zone: www.new-access.biz
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.102/all.chm::/all.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/5/files.chm::/file.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108841052062
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697516} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp6_mp3.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: eplrr - {75C66F6B-369B-405B-ACE5-DB2391DB6CAC} - C:\WINDOWS\System32\eplrr3.dll (file missing)
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\***~***\LOKALE~1\TEMP\_VWUPSRV.EXE

------------------------------------------------

Was da eindeutig daneben ist, sind die "andrewlinks", dieses "daily weather forecast" (nie installiert), "incredimail" sowie unter "trusted zones: www.archiviosex.net" und Konsorten (nie besucht).

Vielen Dank schon einmal im Voraus!

cosinus · 30.12.2006, 19:26

Dein System ist völlig hinüber, selten so ein stark befallenes Windows gesehen...

Das System ist m.E. nach neu aufzusetzen.

Tharsis · 31.12.2006, 15:32

Danke schon mal für die Analyse. Wieso kommst du zu dem Schluss? Woran kann man das erkennen?

Und die zweite Frage: Wie kann man sich sowas einfangen? Den Rechner habe ich zwar gebraucht gekauft, jedoch war alles eigentlich gelöscht (wobei das mit dem "gelöscht sein" ja immer so eine Sache ist).

Ist eine Neuinstallation wirklich unumgänglich? Habe hier einige wichtige Daten drauf, und es dauert immer so lange, alles zu sichern und später neu aufzuspielen.

cosinus · 31.12.2006, 15:45

Diese Einträge z.B.

Zitat:

O4 - HKLM\..\Run: [Supernova] C:\WINDOWS\.exe
O4 - HKCU\..\Run: [5-4-145-2] c:\programme\Webdialer\parisvoyeur.exe -m
O4 - HKCU\..\Run: [mscpx32r] C:\WINDOWS\System32\mscpx32r.exe
O4 - HKCU\..\Run: [smss32data] C:\WINDOWS\System32\service.exe
O4 - HKCU\..\Run: [smss32sysx] C:\WINDOWS\System32\discwin.exe %srun%
O4 - HKCU\..\Run: [FeedOwl] C:\Programme\FeedOwl_S-Edition\FeedOwl.exe

sehen ziemlich verdächtig aus.

Zitat:

Ist eine Neuinstallation wirklich unumgänglich?

IMHO ja. Auf jeden Fall ist das sicherer als eine Bereinigung und wahrscheinlich auch schneller.

Zitat:

Habe hier einige wichtige Daten drauf, und es dauert immer so lange, alles zu sichern und später neu aufzuspielen.

Um seine wichtigen Daten macht sich vorher Gedanken und nicht erst dann wenns zu spät ist. Was machst du bei einem Festplattenausfall?

Wie dem auch sei, normale Daten kannst du sichern. Aber keine ausführbaren Dateien mehr, denn diese sind nicht vertrauenswürdig.

Tharsis · 31.12.2006, 16:01

Zitat:

Zitat von cosinus

Um seine wichtigen Daten macht sich vorher Gedanken und nicht erst dann wenns zu spät ist. Was machst du bei einem Festplattenausfall?

Wie dem auch sei, normale Daten kannst du sichern. Aber keine ausführbaren Dateien mehr, denn diese sind nicht vertrauenswürdig.

Habe mich etwas unverständlich ausgedrückt. Ich mache schon Datensicherungen auf einer externen Festplatte, aber eben nur von wichtigen Datein.
Aber ich denke du hast Recht, werde mich mal an eine Neuinstallation begeben. Danke trotzdem für die Hilfe.

30.12.2006, 19:26	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	"turboinet" \| "andrewlinks" - Bitte um HJT-Log-Analyse Dein System ist völlig hinüber, selten so ein stark befallenes Windows gesehen... Das System ist m.E. nach neu aufzusetzen. __________________ __________________

"turboinet" | "andrewlinks" - Bitte um HJT-Log-Analyse

Log-Analyse und Auswertung: "turboinet" | "andrewlinks" - Bitte um HJT-Log-Analyse