So eine juten morgen, mein computer läuft sehr schneckenmäßig und pestpatrol bleibt hängen.
Wäre sehr dankbar wenn jemand mal meine .log file inzpizieren könnte und mir einen kundigen rat gibt.
Logfile of HijackThis v1.99.1
Scan saved at 10:41:16, on 23.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\ATKKBService.exe
H:\Programme\FRITZ!DSL\IGDCTRL.EXE
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\Programme\Java\jre1.5.0_09\bin\jusched.exe
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
H:\Programme\CA\eTrust Internet Security Suite\caissdt.exe
H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\FRITZ!DSL\FwebProt.exe
H:\Programme\FRITZ!DSL\StCenter.EXE
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\WinRAR\WinRAR.exe
H:\DOKUME~1\Horst\LOKALE~1\Temp\Rar$EX00.750\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Windows Live
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.samsungodd.com/liveupdate.asp?type=en
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] "H:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [CaISSDT] "H:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "H:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Startup: FRITZ!DSL Protect.lnk = H:\Programme\FRITZ!DSL\FwebProt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - H:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - H:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: h:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{684D6A5B-CC8F-4261-989E-4CFB9733379A}: NameServer = 192.168.122.252,192.168.122.253
O20 - Winlogon Notify: WgaLogon - H:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - H:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - H:\WINDOWS\ATKKBService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - H:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - H:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - H:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

Vielen dank so weit ...

Hi,

am besten erst mal folgendes fixen:

Zitat:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Windows Live
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Windows Live
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com

hier wirst du in die USA geleitet:

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{684D6A5B-CC8F-4261-989E-4CFB9733379A}: NameServer = 192.168.122.252,192.168.122.253

also am besten auch fixen.

Mit dem Eintrag kann ich gar nichts anfangen:

Zitat:

O21 - SSODL: flammei - {9d635a36-6b3c-4146-8625-f3aaf507bbf8} - (no file)

Wenn niemand eine Erklärung oder Einspruch hat, würde ich die
auch fixen.

Aber irgendeine Infizierung kann ich nicht finden.

mfg Cleriker

O17 Einträge, in denen die IP(s) mit 192.168 anfangen, sind ok. Ein Nummernbereich reserviert für lokale Netzwerke, der wird überhaupt nicht im Internet geroutet, deshalb kann es einen auch nicht in die USA leiten.

Wenn im Whois eine Organisation in den USA steht, dann ist das die IANA (= Internet Assigned Numbers Authority), die verwalten die Nummern und deshalb stehen die bei diesen Bereichen eingetragen. Nur weil Du was persönlich nicht kennst muß es noch lange nicht gefixt werden.

Ich würde zwar keine Microsoftseiten in meinen R*-Einträgen haben wollen, aber ein Grund sie zu fixen sind sie nicht. Anscheinend kennst Du nur ICQ, denn den R1-Eintrag hast Du seltsamerweise ausgelassen.

Der O21 kann wirklich weg, Überrest einer nicht komplett auskurierten Smitfraud-Infektion.

@Cleriker,

meinst du nicht auch, du solltest lieber noch etwas lesen und dabei lernen und sicherer werden, bevor du Tips gibst, die das System eines Hilfesuchenden verschlimmbessern? Meinjanur...

Gruß
Yopie

Leicht Off-topic:

Zitat:

Zitat von KarlKarl

O17 Einträge, in denen die IP(s) mit 192.168 anfangen, sind ok. Ein Nummernbereich reserviert für lokale Netzwerke, der wird überhaupt nicht im Internet geroutet,

Ja, so sollte es eigentlich sein. Aber:
D-Link-Suche mit nmap [Fabians Blog-Surrogat]
(via http://www.trojaner-board.de/35582-w...meinem-nw.html )

Ich kann mir da nicht so recht einen Reim drauf machen.

Gruß
Yopie

zum 2. ihr beiden *g*,

Zitat:

meinst du nicht auch, du solltest lieber noch etwas lesen und dabei lernen und sicherer werden, bevor du Tips gibst, die das System eines Hilfesuchenden verschlimmbessern? Meinjanur...

Habe ich mir auch bei den Posts so gedacht. Aber allein durch äure
Richtigstellungen lerne ich viel schneller (zuzüglich dem Lesen)

mfg Cleriker

Zitat:

Zitat von Cleriker

Habe ich mir auch bei den Posts so gedacht. Aber allein durch äure
Richtigstellungen lerne ich viel schneller (zuzüglich dem Lesen)

Das mag wohl so sein das du es so schneller lernst, aber es sind nicht ständig Moderatoren oder Regulars anwesend, die dein Beiträge kontrollieren.

Demnach hättest du seit gestern (bei dem was auch ich schon von dir gelesen habe!) mindestens 2.Systeme "zerschossen", die danach mit großer Wahrscheinlichkeit keinen Weg mehr ins Internet gefunden hätten, wenn sie deinen Anweisungen gefolgt wären..

Und wir wollen doch helfen, und nicht verschlimmern, oder?!

Sunny

ja ...

ich halte meine Finger ab jetzt still ...

Na der dialog verunsichert schon leicht...
Und lieben gruss an die heilige inquisition...

Thema geschlossen, siehe:
http://www.trojaner-board.de/255860-post3.html