|
Log-Analyse und Auswertung: adir und coWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.01.2007, 21:25 | #1 |
| adir und co hi! anscheinend hab ich wirklich mal auf susi sorglos gemacht. auf meiner hd finde ich im mom adir.dll, taskdir.exe und game3.exe. hatte schon geglaubt das ich den scheiss los bin, aber das zeug ist offensichtlich besser. hatte schon eine halbe stunde ruhe, dann gings wieder los mir adir.dll warnungen. jetzt versucht das ding plötzlich wieder mails zu versenden, was aber avast zum glück unterbindet. den schrott mit winsys2f.dll hab ich im mom nicht mehr da. wie gesagt, einiges schon selber gemacht mit hilfe der HijackThis log analyse, aber offensichtlich nicht ganz erfolgreich. klar, formatieren ist die einfachste lösung, aber ich habe und will nicht so schnell aufstecken! kiste ist im mom von meinem netzwerk abgesteckt, da ich auch von den anderen rechnern nicht mehr ins netz kam. system: intel 3,2 w2ksp4 firewall im router avast 4.7 home hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 19:44:44, on 29.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINNT\system32\E_S00RP1.EXE C:\WINNT\system32\hidserv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\oodag.exe C:\WINNT\system32\regsvc.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\SAgent4.exe C:\WINNT\system32\stisvc.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINNT\system32\vmnat.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\Ati2evxx.exe C:\Programme\UltraVNC\WinVNC.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe G:\Gene6 FTP Server\G6FTPSERVER.EXE C:\WINNT\system32\vmnetdhcp.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINNT\system32\RunDll32.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\CameraAssistant.exe C:\WINNT\system32\ElkCtrl.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe G:\Gene6 FTP Server\G6FTPTray.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Mozilla Firefox 2\firefox.exe C:\WINNT\system32\taskdir.exe C:\WINNT\system32\game1.exe C:\WINNT\system32\game4.exe C:\Dokumente und Einstellungen\xxx\Desktop\AdWare\HijackThis.exe C:\WINNT\system32\abc.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.at/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=&siteid=16&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&f avoritenav=&confirm=&ebxPageType=&existingEmail=&isCheckout=&migrateVisitor= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] "RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Programme\Logitech\Video\InstallHelper.exe" /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINNT\system32\ElkCtrl.exe" /automation O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [sysinter] C:\WINNT\system32\adirss.exe O4 - HKLM\..\Run: [lnwin.exe] C:\WINNT\system32\lnwin.exe O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "G:\Gene6 FTP Server\G6FTPTray.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155111663140 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155111831578 O17 - HKLM\System\CCS\Services\Tcpip\..\{37708F38-F8D0-48F3-AF25-8AA82CD4801F}: NameServer = 195.34.xxx.xx,195.34.xxx.xx O18 - Protocol: offline-8876480 - {B62C8771-D57E-4992-B77D-ACA6039F2B34} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINNT\system32\E_S00RP1.EXE O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - G:\Gene6 FTP Server\G6FTPSERVER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINNT\system32\SAgent4.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ok, wenn ich mir das so durchlese, dann passt das: C:\WINNT\system32\taskdir.exe C:\WINNT\system32\game1.exe C:\WINNT\system32\game4.exe sicher nicht rein auch der eintrag: O4 - HKLM\..\Run: [sysinter] C:\WINNT\system32\adirss.exe kann nicht richtig sein! jo, das maxtor one touch wär latürnich fein, aber die externe maxtor ist mir halt vor einiger zeit abgekackt und damit steht mir das letzte backup auch nicht mehr zur verfügung. wenns jemand schafft mir zu helfen, wird ihr/ihm mein dank ewig nachschleichen! zusatzinfos: noadware v5 findet inzwischen besagte taskdir.exe abc.exe zlbw.dll adirss.exe nach nem scan/ remove und reboot ist nur mehr adir.dll zu finden (troj/lager-m) 2.scan auch die weg. allerdings musste ich den explorer im taskmanager händisch starten. noadware lässt sich nicht mehr starten. ad-aware se personal: meldet nix spybot s&d: sagt auch nichts
__________________ greez sjfm ich boote, drum bin ich... |
29.01.2007, 21:26 | #2 |
| adir und co hi!
__________________tjo, der erste beitrag war zu lange... und jetzt das nächste log von hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 21:01:28, on 29.01.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINNT\system32\E_S00RP1.EXE C:\WINNT\system32\hidserv.exe c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\oodag.exe C:\WINNT\system32\regsvc.exe C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\SAgent4.exe C:\WINNT\system32\stisvc.exe C:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINNT\system32\vmnat.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\UltraVNC\WinVNC.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe G:\Gene6 FTP Server\G6FTPSERVER.EXE C:\WINNT\system32\Ati2evxx.exe C:\WINNT\system32\vmnetdhcp.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINNT\system32\RunDll32.exe C:\Programme\VIA\RAID\raid_tool.exe C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\CameraAssistant.exe C:\WINNT\system32\ElkCtrl.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINNT\system32\lnwin.exe G:\Gene6 FTP Server\G6FTPTray.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\NoAdware5.0\NoAdware5.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\xxx\Desktop\AdWare\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.at/ws/eBayISAPI.dll?SignIn&co_partnerId=2&pUserId=&siteid=16&pageType=&pa1=&i1=&bshowgif=&UsingSSL=&ru=&pp=&pa2=&errmsg=&runame=&ruparams=&ruproduct=&sid=&f avoritenav=&confirm=&ebxPageType=&existingEmail=&isCheckout=&migrateVisitor= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] "RUNDLL32.EXE" TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe O4 - HKLM\..\Run: [MaxtorOneTouch] C:\Programme\Maxtor\OneTouch\utils\Onetouch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Programme\Logitech\Video\CameraAssistant.exe O4 - HKLM\..\Run: [LogitechVideo[inspector]] "C:\Programme\Logitech\Video\InstallHelper.exe" /inspect O4 - HKLM\..\Run: [LogitechCameraService(E)] "C:\WINNT\system32\ElkCtrl.exe" /automation O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\UltraVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [sysinter] C:\WINNT\system32\adirss.exe O4 - HKLM\..\Run: [lnwin.exe] C:\WINNT\system32\lnwin.exe O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "G:\Gene6 FTP Server\G6FTPTray.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: Registration-PCTV.lnk = C:\Programme\Pinnacle\Pinnacle PCTV\ERegister\RegTool.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155111663140 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155111831578 O17 - HKLM\System\CCS\Services\Tcpip\..\{37708F38-F8D0-48F3-AF25-8AA82CD4801F}: NameServer = 195.34.xxx.xx,195.34.xxx.xx O18 - Protocol: offline-8876480 - {B62C8771-D57E-4992-B77D-ACA6039F2B34} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINNT\system32\btxppanel.dll O20 - Winlogon Notify: LBTServ - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\lbtserv.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINNT\system32\E_S00RP1.EXE O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - G:\Gene6 FTP Server\G6FTPSERVER.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: MySQL - Unknown owner - C:\mysql\bin\mysqld-nt.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINNT\system32\SAgent4.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINNT\system32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINNT\system32\vmnat.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\UltraVNC\WinVNC.exe" -service (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe so, ich hoffe das reicht mal. irgend so ne scheiss datei muss dafür doch noch veranwortlich sein...
__________________ |
29.01.2007, 22:22 | #3 |
| adir und co mOIn auch
__________________leider sieht es bei dir so aus, dass du einen Backdoortrojaner mit Rootkiteigenschaften auf dem System hast sowie zwei Trojaner die Daten stehlen, Daten nachladen, Spammails über dich verschicken, Systemsicherheit herabsetzen und nicht infizierte Dateien auf deinem Rechner hinterlassen. Mit anderen Worten folge dieser Anleitung zur Neuinstallation und anschließender Absicherung. Ändere nach der Neuinstallation auch alle deine Passwörter. MFG |
30.01.2007, 19:18 | #4 |
| adir und co hi! thnx für deine aw, aber ich will nicht so schnell aufgeben! wie gesagt, ich bin nicht seit gestern mit den kisten unterwegs, stamme noch aus dos3 zeiten. drum will ich einen weg finden wie ich den schrott wieder los bekomme. mir gehts nicht um neuinstall, das kann ich schon im schlaf. aber das zeug muss doch irgendwie wieder weg zu bekommen sein! kein prob, ich hab zeit zum experimentieren! der lap is ja auch noch da. wie gesagt, ich war schon alles los, aber irgend ein schrott hat sich doch gut versteckt. hab auch keine angst vor der registry und sonstigen eingriffen. neuinstall kann ich dann immer noch machen. wär doch eine schöne aufgabe, oder?
__________________ greez sjfm ich boote, drum bin ich... |
30.01.2007, 20:15 | #5 |
| adir und co Du darfst gerne etwas weiterspielen, aber fakt ist Neu aufsetzen ist Pflicht, wenn du das kannst, warum hast du nicht schon laengst ein vernuenftiges Image/Backup angelegt. Passworte wechseln sowieso. Der Rechner gehoert vom Netz, den die Taskdir und die Adi*.* Dateien spamen gerade was das Zeug haelt! Zureck zum "spielen", du brauchst http://virus-protect.org/datfindbat.html und einen Rootkitscanner(Gmer) da taskdir und die adirss.exe Rootkit Techniken nutzen. Antivir mit heuristikstufe "Hoch" kickt auch einiges....
__________________ MfG Ralf |
31.01.2007, 10:57 | #6 |
| adir und co hi! ok, vergiss es. du hast offensichtlich meine posts nicht mal ganz gelesen. 1. es ging keine spammail raus, das hat avast verhindert. 2. dert rechner ist nicht mehr in meinem netzwerk eingebunden. 3. genau die platte wo das image lag ist mir eben vor einiger zeit abgekackt. für die restlichen tips dank ich dir.
__________________ --> adir und co |
31.01.2007, 12:19 | #7 |
| adir und co Doch, das hatte ich schon gesehen. Ich war nur davon ausgegangen, das Avast die DLL geblockt hat und nicht die Taskdir.exe( Proxy Trojaner) und adirss.exe. Was ja auch egal ist, da du den Rechner nicht am Netz hast.
__________________ MfG Ralf |
01.02.2007, 10:40 | #8 |
| adir und co hi! avast hat alles geblockt, auch die mails die das teil verschicken wollte, nur die verseuchung wurde nicht erkannt. tja, die moral von der geschicht: mann sollte nicht mitten in der nacht, hundemüde und mit ein paar bierchen am rechner rumturnen.
__________________ greez sjfm ich boote, drum bin ich... |
Themen zu adir und co |
adobe, adware, antivirus, avast, avast!, bho, confused, cyberlink, desktop, einstellungen, excel, explorer, firefox, ftp, helfen, helper, hijack, hijackthis, hijackthis log, internet, internet explorer, mozilla, mozilla firefox, mozilla thunderbird, netzwerk, object, rundll, server, software, taskmanager, will nicht, windows |