Hallo,

ich habe 3 PC's über Router vernetzt. Sie zeigen unterschiedliche Schadensinfektionen.

PC1 WinXPSP2: Dateien kernel.exe, ntosknrl.exe und user32.dll werden von AVG als CHANGED angezeigt. Kein Zugang zu Antivir-Seiten per IE oder FF. Blockierung von Downloadmanagern, keine Ausführung von javascript in Webseiten, der BOOT.INI Tab in der msconfig fehlt.

PC2 WinXP2: Dateien ntosknrl.exe und user32.dll werden von AVG als CHANGED angezeigt. Keine weiteren Probleme bisher festgestellt.

PC3 Win2k: AVG Anti-Spyware lädt keine Updates. Keine weiteren Einschränkungen festgestellt.

Ich will hier mal mit dem vermeintlich leichtestem Problem (PC3) anfangen. Ich habe esan, HJT und find.bat im Abgesicherten Modus laufen lassen (war das korrekt?).

Esan zeigt keine Infektion, die HJT log will ich hier als erstes Posten. Es gibt auch eine Error-Datei von AVG-Antispy, hilft es die hier auch zu posten?

Zitat:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:47:14, on 26.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: Normal

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
D:\PROGRA~1\AVGFRE~1\avgemc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\Tablet.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\PROGRA~1\AVGFRE~1\avgcc.exe
D:\Programme\Java\jre1.5.0_11\bin\jusched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\WINNT\system32\WTablet\TabUserW.exe
D:\Programme\Rainlendar\Rainlendar.exe
D:\WINNT\system32\ZoneLabs\vsmon.exe
D:\HJT\Pruefung.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar3.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - D:\Programme\FolderBox\FolderBox.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [MediaFace Integration] D:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] D:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = D:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = D:\WINNT\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O12 - Plugin for .UVR: D:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126443534363
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINNT\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINNT\system32\browseui.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - D:\WINNT\system32\OOD2000.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINNT\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: wacomkey - Unknown owner - D:\WINNT\SYSTEM32\wacomkey.exe
O23 - Service: wintab32 - Unknown owner - D:\WINNT\SYSTEM32\wintab32.exe

--
End of file - 6454 bytes

Schon mal Danke im Voraus für eure Hilfe.
_______
kupferboy

Zitat:

Zitat von kupferboy

Ich habe esan, HJT und find.bat im Abgesicherten Modus laufen lassen (war das korrekt?).

Nur zum Teil: HJT im abgesichrten Modus ist noch weniger aussagekräftig, als im Normalmodus. Zumeindest zeigt der Log keine Auffälligkeiten. Ich denke mal, das wäre der Fall für AVZ4 (s. Link in meiner Signatur).

Ich kann ja HJT heut abend nochmal im normalen Modus laufen lassen und posten.
Hilft es weiter, die Resultate der find.bat jetzt zu posten?
_______
kupferboy