Hallo zusammen,

Da einer meiner Rechner kürzlich Probleme hatte (Danke nochmal an Chris), möchte ich auch gern mal das HJT Log meines zweiten PC durchschauen lassen, ob da u.U. Auffälligkeiten zu erkennen sind.

Wäre super , wenn das jemand vom Helfer Team überprüfen könnte.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:41:38, on 07.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Tall Emu\Online Armor\OAcat.exe
C:\Programme\Tall Emu\Online Armor\oasrv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Tall Emu\Online Armor\oaui.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
C:\Programme\Tall Emu\Online Armor\OAhlp.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programme\Tall Emu\Online Armor\oaui.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Programme\Tall Emu\Online Armor\OAcat.exe
O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Programme\Tall Emu\Online Armor\oasrv.exe

--
End of file - 6273 bytes
         

Danke und viele Grüße,
Marcus

Hi nochmal,

Habe noch etwas Merkwürdiges feststellen können.

Bei Downloads auf Filepony werden ja die Versionen erst mit Klick auf "Download lastest Version" aktiv.

Das funktioniert zwar mit dem IE, aber im Opera tut sich da nix (Im Gegensatz zu meinen anderen Rechnern, da geht es mit Opera).

Woran könnte das liegen?
Hat jemand eine Idee?

Danke und Gruß,
Marcus

Hallo Gemeinde,

hab das Opera Problem gelöst:
Die Einstellung "Herkunft (Referrer) übertragen" war wohl der Knackpunkt.

Sorry für die Anfrage.

Kann das HJT-Log trotzdem bitte jemand auf Auffälligkeiten prüfen?

Danke und Gruß,
Marcus

Dein Log ist sauber

Zitat:

Zitat von Dodger

...möchte ich auch gern mal das HJT Log meines zweiten PC durchschauen lassen, ob da u.U. Auffälligkeiten zu erkennen sind.

Naja...

Zitat:

Zitat von Dodger

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Cheers...

Hallo und Danke,

Ja - das weiss ich wohl - SP2 und IE6...

Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern.

Hier aber noch mein RSIT nachdem Andreas mich mal wieder in die korrekte Richtung gewiesen hat.

Zitat:

Zitat von Dodger

Hallo und Danke,

Ja - das weiss ich wohl - SP2 und IE6...

Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern.

Hier aber noch mein RSIT nachdem Andreas mich mal wieder in die korrekte Richtung gewiesen hat.

Ich denk mal, Du solltest dir von Andreas weiterhelfen lassen...
Er ist kompetenter...

IMHO mit SP2 und IE6 wirst du eh nicht sehr weit kommen...

Cheers...

Hallo,

Zitat:

Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern.

Nein, der Rechner ist regelrecht kaputtinstalliert. Die Logs zu lesen ist eine Zumutung.

Mein Lieblingszitat von Marc:

Zitat:

Einen Mangel an IT-Sacherverstand erkennt man u.a. an einem übermäßigen Gebrauch von Sicherheits- und Optimierungstools.

1.) Deinstalliere:

• Adobe Acrobat - Reader 6.0.2 Update
• Adobe Acrobat 6.0.1 Professional
• Adobe Acrobat and Reader 6.0.3 Update
• Adobe Acrobat and Reader 6.0.4 Update
• Adobe Acrobat and Reader 6.0.5 Update
• Adobe Acrobat and Reader 6.0.6 Update
• avast! Antivirus
• Kaspersky Online Scanner
• Online Armor 3.5
• PowerQuest PartitionMagic 8.0 (Partitionierung erfolgt vor der Installation!)
• TuneUp Utilities 2007

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ja hallo Andreas,

Mir schwante sowas an Zitat und das trifft mich tief! Ich weiss wohl, dass das Gegenteil von "Gut" "Gut gemeint" ist.

Wobei ich nun aber mal sagen muss: Wenn jeder alles könnte, bräuchten wir uns in der IT nicht zu spezialisieren.

Ich geb mir Mühe (Er hat sich stets bemüht...ich weiss...) - nur kamen folgende Einträge nur Aufgrund der letzten 3 Wochen und der Hinweise, was man alles scannen soll und was besser und schlechter ist und das alle Software ein update braucht, erst zustande:

Zitat:

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat and Reader 6.0.3 Update
Adobe Acrobat and Reader 6.0.4 Update
Adobe Acrobat and Reader 6.0.5 Update
Adobe Acrobat and Reader 6.0.6 Update
avast! Antivirus
Kaspersky Online Scanner
Online Armor 3.5

Da wäre ich ja ohne die Tipps hier gar nicht drauf gekommen das überhaupt zu installieren.

hier noch das austehende mbam-log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2580
Windows 5.1.2600 Service Pack 2

08.08.2009 22:47:26
mbam-log-2009-08-08 (22-47-26).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 299598
Laufzeit: 2 hour(s), 35 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Also hau ich den ganzen Kram wieder aus dem System, aber was soll ich in der Zeit zum Schützen nehmen?

Danke, dass Du Dir die Zeit nimmst....Und sag mir bitte, wie ich es besser machen soll!
Ich bin leider nicht so auf dem Draht und würde das gern lernen....aber Fragen, die man stellt werden ja zum Teil auch übergangen oder ignoriert (was auf's Gleiche rauskommt ).

Combofix folgt noch (hab 2 kleine Jungs und bin die Woche über unterwegs - da muss ich schauen, wann ich Zeit finde alles zu machen)

Viele Grüße,
Marcus

Hallo Andreas,

Also bis auf den avast hab ich alles aus dem System entfernt.

Muss der avast komplett raus oder reicht es den zu deaktivieren während des Scans?

Wichtigere Frage: Wie lange wird der Scan ca. dauern? Ist das vergleichbar mit dem mbam? Dann würde ich es heute nicht mehr schaffen und müsste das auf kommendes WE verlegen.

Danke und Gruß,
Marcus

So - jetzt versteh ich auch, warum ich avast deinstallieren sollte.

Hab ich für den Scan gemacht, hier ist das Ergebnis vom Combofix.

Vielen Dank und viele Grüße,
Marcus

Zitat:

aber was soll ich in der Zeit zum Schützen nehmen?

Wieso glaubt ihr eigentlich alle, das ein Antivirenprogramm euch schützen kann? Klicke auf den dritten Link in meiner Signatur.

Es gibt da einige sehr merkwürdige Einträge, die ich noch nicht zuvor gesehen habe. Die sehen für mich alle wie Schädlinge aus. Die Dateien sind z.T. nicht sichtbar, auch wenn du Schritt 1 ausführst. Es sind z.T. Rootkits. Markiere jeweils eine Zeile, kopiere sie und füge sie im Uploadchannel ein.

Lade folgende Dateien

Code: Alles auswählenAufklappen

ATTFilter

c:\huadio.tmp
c:\programme\Gigabyte\Gigabyte Windows Utility Manager\markfun.w32
c:\windows\system32\DRIVERS\inidvd.sys\00
c:\windows\system32\DRIVERS\inidvd.sys
         

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Rootkitsuche mit SysProt:

• Lade dir SysProt auf den Desktop und starte das Tool
• Gehe dort auf den Reiter "Log"
• Setze nun einen Haken bei:
  • Kernel Modules
  • Kernel Hooks
  • Hidden Files
  • Und Unten bei "Hidden Objects Only"
• Drücke nun auf "Create Log"
• Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
• Wenn der Scan abgeschlossen ist, beende SysProt.
• Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Hallo Aandreas,

2 Dateien konnte ich finden und hab sie hochgeladen.

Die hier konnte ich nicht finden, hab leider auch keine Zeit mehr heute und kann erst wieder kommenden Freitag weiter machen

Code: Alles auswählenAufklappen

ATTFilter

c:\huadio.tmp
c:\windows\system32\DRIVERS\inidvd.sys\00
         

Danke Dir und vielleicht sagen die ersten beiden schon etwas aus?

Viele Grüße,
Marcus

Zitat:

hab leider auch keine Zeit mehr heute und kann erst wieder kommenden Freitag weiter machen

Ich kann warten.

Zitat:

Die hier konnte ich nicht finden,

Das ist gut so, denn dann sind die Einträge in den Logs nur noch Reste, die wir in jedem Fall entfernen werden.

Zitat:

vielleicht sagen die ersten beiden schon etwas aus?

Die sind sauber.

ciao, andreas

Hi Andreas,

bin zwar online, aber nicht an dem PC, den wir gerade in der Mangel haben.

Ich danke Dir auf jeden Fall für den bisherigen Part!

Würde mich dann kurz per PN melden, wenn wir den Rest rauswerfen können.

Dann eine schöne Woche und auf bald...viele Grüße,
Marcus