Logauswertung.... brauche Hilfe

AntiVir · 16.09.2004, 18:47

So, hier mach ich jetzt einfach ein neues Thema:

Hier ist mein Log, ich glaube da gibts ein paar Probleme:

Logfile of HijackThis v1.98.2
Scan saved at 19:43:48, on 16.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Program Files\Winad Client\Winad.exe
C:\temp\msbb.exe
C:\Program Files\Winad Client\WinClt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [dslib] C:\WINDOWS\dslib.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...2ce89775140bcf
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

Meine Prüfungsauswerung von HouseCall:

Betriebssystem: Wird unterstützt
Java Anbieter: Sun Microsystems Inc.
Java Version: 1.4
Java aktiviert: Ja

Eine Viren suche habe ich noh nicht gemacht...

Was soll ich jetzt machen?

chaosman · 16.09.2004, 19:27

@ AntiVir

werte mit copy and paste dein log aus : www.hijackthis.de
starte doch mal in abgesicherte modus, lasse dann dein virenscanner laufen, mache dann ein HJT log und poste es hier.

chaosman

Shadowdance · 16.09.2004, 21:08

Hallo AntiVir,

- besuche www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

- prüfe diese Datei mit dem Online-Scan von Kaspersky:

C:\WINDOWS\dslib.exe

Ergebnis?

- fixe im abgesicherten Modus mit Hijack This - [Einträge, die ich mit (*) kennzeichne, kannst Du fixen, wenn Du sie nicht kennst oder nicht brauchst.]

(*) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/

O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...02ce89775140bcf

(*) O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
(*) O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

- beende im Taskmanager diese Prozesse:

Winad.exe
msbb.exe
WinClt.exe
WebRebates1.exe
WebRebates0.exe

- hattest Du den eScan bereits gedownloadet? So nicht, lade den eScan entsprechend der Anweisung runter und teile uns das Ergebnis mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:

Poste danach ein neues Logfile mit Hijack This.

Anmerkung:

aus Formatieren+Neuaufsetzen

Zitat:

Zitat von MountainKing

[...] Pflichtlektüre:

http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/

Es ist unbedingt wichtig zu verstehen, dass DU selbst in 99% der Fälle der Grund für eine Infektion des Systems bist und dort muss auch angesetzt werden, diese "Basisarbeit" kann keine Software übernehmen. Klingt vielleicht etwas hart, sorry, aber ist leider die Wahrheit.

- Hier ein weiterer, oft gegebener Rat von Cidre:

Zitat:

Zitat von Cidre

- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm

- Hier noch einige Links:

- Entfernungstools von Spyware und Adware
- Eine Auswahl Virenscanner

SD

AntiVir · 18.09.2004, 21:12

Hier ist mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 22:11:11, on 18.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\WyvernWorks\Firewall 2004\Firewall 2004.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\93b9023ce74cc2dad700644c5dc522ef\update\update.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.flugzeugposter.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://soundkarte/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [WyvernWorks Firewall] C:\Programme\WyvernWorks\Firewall 2004\Firewall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

Bei Kaspersky passierte nichts...
Ich bin wärend des eScan scans eingeschlafen und am nächsten Tag war der Pc aus (wahrscheinlich meine Eltern)...

Shadowdance · 18.09.2004, 22:39

Hallo AntiVir,

update den eScan nocheinmal online und lasse ihn noch einmal offline im abgesicherten Modus Dein System scannen. Teile uns dann bitte das Ergebnis des eScan mit.

Und bevor Du das machst, möchte ich gerne, dass Du diese Datei überprüfen läßt durch Kaspersky:

C:\Programme\WyvernWorks\Firewall 2004\Firewall.exe

Teile uns bitte das Ergebnis mit. Enthält die Datei einen Virus? Wie heisst der Virus? Verwende notfalls copy&paste und gib den genauen Namen hier ins Forum.

Erstelle dann bitte ein weiteres Logfile mit Hijack This.

SD

Schoko · 22.09.2004, 13:49

Hallo AntiVir,

falls du AOL-User bist darfst du unter keinen Umstanden die zwei Zeilen fixen, die mit 017 beginnen und die IP-Adresse enthalten. Das ist ein Server von AOL den du in der Registry brauchst, um mit der AOL-Software Internet-Seiten aufrufen zu können.

Gruß. Schoko.

Logauswertung.... brauche Hilfe

Log-Analyse und Auswertung: Logauswertung.... brauche Hilfe