Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:22, on 23.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SparVoip\SparVoip.exe
C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe
C:\Programme\BudgetSip.com\BudgetSip\BudgetSip.exe
C:\Programme\ASCOMP Software\BackUp Maker\bkmaker42.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Dtemp\DTemp.exe
C:\PROGRA~1\Siemens\GIGASE~1\PRISMSVR.EXE
C:\Programme\PoivY.com\PoivY.exe
C:\Programme\%ramdrv%AdAwareSEpro\Ad-Aware.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\dmremote.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://bren**eam.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AL2Spy Class - {DC200356-0864-4F66-8964-5D43A19300F5} - C:\WINDOWS\AUTOLO~1\AL2DLL.dll
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten4\IEButtonPPInterface.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL
O3 - Toolbar: (no name) - {982E186D-7E13-45ac-9789-50B535246E28} - (no file)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [LXBXCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBXtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [PoivY] "C:\Programme\PoivY.com\PoivY.exe" -nosplash -minimized
O4 - HKCU\..\Run: [SparVoip] "C:\Programme\SparVoip\SparVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [1&1 EasyLogin] "C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe" HIDE
O4 - HKCU\..\Run: [BudgetSip] "C:\Programme\BudgetSip.com\BudgetSip\BudgetSip.exe" -nosplash -minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: DTemp.lnk = C:\Programme\Dtemp\DTemp.exe
O4 - Global Startup: AutorunsDisabled
O4 - Global Startup: bkmaker42.exe.lnk = C:\Programme\ASCOMP Software\BackUp Maker\bkmaker42.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2007\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Clear Cache - {1CBD2A41-F62A-4C67-A0BC-2FDA8704C8BE} - C:\Programme\Cache Cleaner\cachecleaner.exe
O9 - Extra 'Tools' menuitem: Clear Cache - {1CBD2A41-F62A-4C67-A0BC-2FDA8704C8BE} - C:\Programme\Cache Cleaner\cachecleaner.exe
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2007\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2007\spy.htm
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten4\preispiraten3ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h**p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EEEC9405-BB8B-48F3-BA8C-15824C7AEFF8}: NameServer = 192.168.178.1
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O18 - Protocol: {ms-its,ms-itss,its,mk} - (no CLSID) - (no file)
O20 - Winlogon Notify: AutorunsDisabled - C:\WINDOWS\
O20 - Winlogon Notify: urqropq - urqropq.dll (file missing)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: LEC TranslateDotNet Server - Unknown owner - C:\Programme\Power Translator 10\LogoMedia TranslateDotNet Server.exe (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: lxbx_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbxcoms.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\system32\HPHipm11.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TeamViewer 3 (TeamViewer) - Unknown owner - C:\Programme\TeamViewer3\TeamViewer_Host.exe (file missing)
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - C:\WINDOWS\system32\WFXSVC.EXE
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 11737 bytes

Hallo Experten,

nachdem ich davon nun nichts verstehe und nicht glaube, meine Trojaner 100% "vernichtet" zu haben, habe ich hier das Protokoll.

Wie in der Überschrift ausgedrückt, war der Auslöser TR/Drop.Agent.dgo.8 und nun nach allen Aktionen kommt gelegentlich (habe noch nicht erkannt bei welcher Aktion) TR/Vundo.DWK. Um den kümmere ich mich noch ...

Ich bitte darum, das Protokoll mal anzusehen und mir eine Rückmeldung zu geben, ob da noch was drinsteckt.

Besten Dank
http://www.trojaner-board.de/images/smilies/aplaus.gif
:aplaus:

Ist das ein gewerblich genutzter PC?

Zitat:

Zitat von BataAlexander

Ist das ein gewerblich genutzter PC?

Nicht mehr. Gewerbe ist abgemeldet.

Ok

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Danke. Das mit Combofix hatte ich bereits schon ein paarmal gemacht. Auch jetzt läuft es wieder. allerdings finde ich nirgends ein Protokoll. Wie würde der Dateiname lauten?

Ich vermute, dass Combofix nicht richtig abscließt, denn am Ende kommt eine Meldung, die aber wegen der hohen Geschwindigkeit in der Anzeige nicht lesen kann.
Blöd, dass diese Meldungen nicht gespeichert werden - oder doch?
Ich versuche das mal per Video aufzuzeichnen und langsam abzuspielen. Vielleicht kann ich es dann enträtseln.

Falls Du den Dateinamen für das Protokoll weißt, dann lasse es mich bitte wissen.
Gruß

Zitat:

Zitat von trojavirus

Ich versuche das mal per Video aufzuzeichnen und langsam abzuspielen. Vielleicht kann ich es dann enträtseln.

Im Video erkenne ich:
Starte Windows neu ... Bitte warten
Der Befehl "add" ist falsch geschrieben oder konnte nicht gefunden werden.

Das wiederholt sich sich 8 mal mit anderen Befehlen wie:
Export und import, sowie der datei temp00.dat, die nicht gefunden wird.

Ich lade das Programm nochmals herunter und wiederhole das alles nochmal.

Gruß

Zitat:

Falls Du den Dateinamen für das Protokoll weißt, dann lasse es mich bitte wissen.

Üblicherweise ist das c:\combofix.txt

@Franz: Danke für den Hinweis. Zu finden st das Protokoll unter C:\Combofix\combofix.txt und nicht wie im Programm gepostet.

@BataAlexander, experts & all

Nach einigen Problemen ging es weiter, sicher bin ich mir aber nicht, ob die Abwicklung mit COMBOFIX korrekt gelaufen ist.

Beim Neustart durch COMBOFIX erscheint eine Meldung (sinngemäß): Keine Programme starten solange COMBOFIX läuft. Na ja, dann müsste irgendetwas umgestellt werden, damit die Autostart-Programme nicht starten - oder?

Außerdem verändert COMBOFIX auch Datums-, Regionen- und Ordnereinstellungen, obwohl rausgeschrieben wird, dass diese wieder zurückgestellt werden; bei mir nicht ...

Anbei nun die Protokolle in der Hoffnung, dass die Abwicklung korrekt war und diese Buchstaben und Zahlen die Experten weiterbringen.

Besten Dank

Deinstalliere Combofix (den qoobox ordner) gebe unter Start /Ausfuehren "combofix /u" ein. Ohne die " natuerlich.
Dann starte combofix erneut, poste das Logfile hier.

Kennst Du die Ordner oder deren Inhalt:

Zitat:

C:\sp3rsk komischer Ordner
C:\Programme\HOTALBUMMyBOX

Den kenn ich in einem mir nicht rechten Zusammenhang :/
C:\SO WIRD'S GEMACHT Žndern des 'Volume License Product Key' auf einem Windows XP SP1-basierten Computer-Dateien

Die Datei bei VirusTotal - Free Online Virus and Malware Scan scannen lassen, das Ergebnis hier posten(incl MD5/Sha1)

Zitat:

WiNcLogon.dll

Zitat:

C:\DOKUME~1\BRENNE~1\LOKALE~1\Temp\RarSFX1\mpr_freader.sys []

Kommt von Dir, ist gewollt?



Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp
Credits to Karl83 / KarlKarl

@BataAlexaner

Es gibt im Moment Probleme (und Zeitengpässe). Einmal ist der PC beim Antworten (war fast fertig) abgestürzt.
Ich melde mich wieder, sobald einigermaßen Stabilität eingekehrt ist.

Gruß

Zitat:

Zitat von trojavirus

@BataAlexaner

Sorry, es sollte BataAlexander heißen ...

@BataAlexander

Besten Dank für Deine Unterstützung. Im Moment ist alles sauber, habe ich den Eindruck, den es gibt keine Meldungen und keine außergewöhnlichen Aktionen.

Leider bin ich sehr unter Zeitdruck und will und kann im Moment und in den nächsten Wochen (abwesend) mit den vorgesehenen Analysen nicht weitermachen, es sei denn, das Problem kommt wieder hoch und gewinnt dadurch einen anderen Stellenwert.

Das Forum ist sehr hilfreich und als Lerneffekt aus den hier geschilderten Vorschlägen und Maßnahmen whabe ich verschiedene Dinge auf meinem PC verändert.


Allen Mitwirkenden zolle ich Dank und Anerkennung :aplaus:
TROJAVIRUS