Kann das jemand bitte auswerten ob sich irgenetwas in meinen sys versteckt wäre nett !? Danke schon mal!



Logfile of HijackThis v1.99.1
Scan saved at 23:58:19, on 21.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\eMule\emule.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\wze76a\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.spieler-stats.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/fuji/defaults/su/*h**p://www.yahoo.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QPDQ Agent] C:\WINDOWS\system32\Sys\QPDQ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



Brauche die auswertung dringend den ich hatte schon

kernels88.exe
drvsyskit.exe
hldrrr.exe
audit.exe

und noch viele mehr auf meinen Pc!

Hallo.

Bitte nochmals die Nutzungsbedingungen und dann unter Beachtung der Goldenen Regeln posten.

Zitat:

Zitat von Regel Nr.5

Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

Sunny

Und letztens erst wollte mir einer aus ICQ eine .exe schicken
Ich hab ihn nicht getraut und habe sie auf Virustotal durchchecken lassen ka was des ist sieht aus wie ein Virus!!!

zitat:

*********_7 (11:49 AM) :
Look at this:
http://9693.deshhuinmdewosion.com/1/137/
*** (11:49 AM) :
was des???
*** (11:53 AM) :
hallo?
*** (11:54 AM) :
jaja
*** (11:54 AM) :
von wem hasten den scheiß
*** (11:54 AM) :
ist ja verseucht mit virus
*********_7 (11:55 AM) :
was den??
*** (11:55 AM) :
wißt schon das des ein Virus ist ne
*********_7 (11:56 AM) :
häää????
*********_7 (11:56 AM) :
ich binvor 2min eben on gekommen
*********_7 (11:56 AM) :
wie solln ich dir dann en virus shcicken


vielleicht wisst ihr was davon

Die Probleme sind beseitigt aber kannst du mir das HJT auswerte !!!(kernels88.exe,drvsyskit.exe,hldrrr.exe,audit.exe) MIT Dr.Web.Cureit und Spybot - Search & Destroy hab ich die Probleme bekämpft!! Jetzt möchte ich nur wissen ob alles sauber ist!!!!

Hallo AGGROBLOOD,

du hast wohl folgenden Wurm und einen Trojaner auf deinem System gehabt bzw. hast sie eventuell sogar noch, die Schadcode aus dem Internet nachladen und anderen Benutzern das Verbinden auf deinen Computer ermöglichen.

http://www.sophos.de/virusinfo/analyses/trojtibspu.html
http://www.sophos.de/virusinfo/analyses/w32baglekh.html

Aus den oben genannten Gründen kann dir zwar jemand die Frage, ob das HijackThis Logfile sauber ist, eventuell mit ja beantworten, jedoch werden dir die meisten Boardies hier zu einer Neuinstallation sowie zur sofortigen Änderung deiner Passwörter raten, da du nur so wieder ein vertrauenswürdiges System erhältst.

Um aber auf deine eigendliche Frage zu antworten:
Bitte aktivier die Einstellung, das du "Alle Dateien" angezeigt bekommst und das Systemdateien nicht ausgeblendet werden.

Jetzt suchst du folgende Dateien und lässt sie bei virustotal.com scannen und postest das Ergebnis des Scanns hier im Thread.

O4 - HKLM\..\Run: [QPDQ Agent] C:\WINDOWS\system32\Sys\QPDQ.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

Ich möchte trotzdem nich einmal erwähnen, das es den Zeitaufwand nicht wert ist. Nutze die Zeit besser für die Neuinstallation deines Systems sowie zur Absicherung. Eine Anleitung, wie das genau funktioniert, findest du in meiner Signatur

Nette Grüße
David

Halli hallo.

Hattest du den Prozess *kernels88.exe* am laufen?
Wie hast du ihn entfernt?

Gruss

Undoreal

Ich habe kernels88.exe gelöscht und in der msconfig ausgeschaltet das des startet und dann wollte ich die reg löschen mit regsearch und dann hab ich nochmal Spybot - Search & Destroy neu installiert weil des irgenwie nett gefunzt hat und dann hat des Win.32 prozese gefunden und entfernt und dann konnte ich schon wieder taskmr öffnen!

Complete scanning result of "QPDQ.001", received in VirusTotal at 02.22.2007, 13:29:46 (CET).

Antivirus Version Update Result
AntiVir 7.3.1.38 02.22.2007 no virus found
Authentium 4.93.8 02.21.2007 no virus found
Avast 4.7.936.0 02.22.2007 no virus found
AVG 386 02.21.2007 no virus found
BitDefender 7.2 02.22.2007 no virus found
CAT-QuickHeal 9.00 02.21.2007 no virus found
ClamAV devel-20060426 02.22.2007 no virus found
DrWeb 4.33 02.22.2007 no virus found
eSafe 7.0.14.0 02.22.2007 no virus found
eTrust-Vet 30.4.3420 02.22.2007 no virus found
Ewido 4.0 02.22.2007 no virus found
FileAdvisor 1 02.22.2007 no virus found
Fortinet 2.85.0.0 02.22.2007 no virus found
F-Prot 4.3.1.45 02.22.2007 no virus found
F-Secure 6.70.13030.0 02.22.2007 no virus found
Ikarus T3.1.0.31 02.22.2007 no virus found
Kaspersky 4.0.2.24 02.22.2007 no virus found
McAfee 4968 02.21.2007 no virus found
Microsoft 1.2204 02.22.2007 no virus found
NOD32v2 2075 02.22.2007 no virus found
Norman 5.80.02 02.22.2007 no virus found
Panda 9.0.0.4 02.22.2007 no virus found
Prevx1 V2 02.22.2007 no virus found
Sophos 4.14.0 02.21.2007 no virus found
Sunbelt 2.2.907.0 02.22.2007 no virus found
Symantec 10 02.22.2007 no virus found
TheHacker 6.1.6.062 02.21.2007 no virus found
UNA 1.83 02.21.2007 no virus found
VBA32 3.11.2 02.21.2007 no virus found
VirusBuster 4.3.19:9 02.22.2007 no virus found


Aditional Information
File size: 1994 bytes
MD5: d507525b4ba3dbe38ecf3446339fd31d
SHA1: ca2d66e30bbc8abab708075af4faf8fe85efea5d

Ich habe mal in meiner Reg gesucht und was gefunden

trojtibspu.html
w32baglekh.html

Ich habe die Einträge sofort gelöscht!!!
Was nun??

Dann hattes du Slate aktiv auf dem Rechner. Einen Backdoortrojaner. Und bestimmt noch 'ne Menge anderen Muell.
Ich wuerde an deiner Stelle Neuaufsetzten.

Gruss

Undoreal

Ich habe aber keine Lust das Sys neu aufzusetzten des kostet mich wieder ne Menge Zeit ,reicht das nicht einfach Pws zu ändern????

Kannst du auch machen. Das ist aber das Mindesteste! Also ich koennte nicht mehr ruhig schlafen... Ist aber dein Bier

Gruss Undoreal

Zitat:

Zitat von AGGROBLOOD

Ich habe aber keine Lust das Sys neu aufzusetzten des kostet mich wieder ne Menge Zeit ,reicht das nicht einfach Pws zu ändern????

Was suchst du hier denn genau?
Wenn du wirklich Hilfe suchst solltest du dich auch daran halten was dir geraten wird.
Bei einem Trojaner mit Backdoor funktion gibt es meiner Meinung nach nichts ausser das System neuaufzusetzen damit du wieder richtig sicher im Netz unterwegs bist.
Alles andere ist spinnerei.

Ich habe keine lust mein Sys wieder neu aufzusetzten Kostet mich jedes mal eine Menge Zeit !reicht des nett nur das Pw zu ändern???

Zitat:

Zitat von AGGROBLOOD

Ich habe keine lust mein Sys wieder neu aufzusetzten Kostet mich jedes mal eine Menge Zeit !reicht des nett nur das Pw zu ändern???

Ändere was du willst, aber du solltest dich erstmal richtig belesen und dann deine Einstellung zur Neuinstallation ändern.

Nur das Passwort ändern ist dann nämlich sehr unproduktiv...

Sunny