Bitte um Überprüfung

twotimes · 28.09.2004, 12:13

Hallo
Auch ich habe/hatte Problem mit Trojaner.
Wäre nett, wenn von den Profis mal jemand was dazu sagen könnte.
Habe den e-scan gemacht, bin mir aber nicht sicher ob jetzt alles ok ist.

Schon mal Vielen Dank im voraus

Logfile of HijackThis v1.98.2
Scan saved at 13:04:37, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\Dit.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\WINDOWS\DitExp.exe
C:\PROGRA~1\AIM\aim.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
D:\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2\bin\javaw.exe
C:\Dokumente und Einstellungen\Sören Strauch\Eigene Dateien\WinOnCD\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\System32\E_S4DE.tmp"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\Overnet\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096044803125
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6D4D402-86F2-4FBC-9A0C-0AE6C4821CD0}: NameServer = 217.237.149.161 217.237.151.225

Shadowdance · 28.09.2004, 18:33

Hallo twotimes,

das Logfile sieht sehr sauber aus. Weisst Du noch, welche Trojaner Du auf Deinem System hattest? So ja, gib uns bitte das Ergebnis des eScan bekannt, also nur die Namen der Viren, die auf Deinem System gefunden worden sind.

Fixe im abgesicherten Modus mit Hijack This folgende Einträge, wenn Du sie nicht kennst/brauchst (*):

(*) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
(*) O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com

Tipps zum sicheren Surfen unter meiner Signatur: "TI Hijacker-Rubrik" ---> Vorbeugung u.a.m.

Shadowdance

28.09.2004, 19:19

Dies nicht fixen:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

twotimes · 28.09.2004, 19:47

Hallo
hatte TR/Dldr.IstBar.Pt drauf.
Wo find ich denn jetzt das Ergebnis des eScan ?

Cidre · 28.09.2004, 19:50

Suche die mwav.log und öffne diese, dann kannst du das Log durchforsten.

twotimes · 28.09.2004, 20:43

Nach langer Suche............

1: Tue Sep 28 10:48:09 2004 => ERROR!!! Invalid Entry system32\drivers\ALCXWDM.SYS in SYSTEM\CurrentControlSet\Services\ALCXWDM...

2: 10:48:11 2004 => ERROR!!! Invalid Entry System32\DRIVERS\CoachUsb.sys in SYSTEM\CurrentControlSet\Services\CoachUsb...

3: 10:48:16 2004 => ERROR!!! Invalid Entry system32\drivers\srvkp.sys in SYSTEM\CurrentControlSet\Services\SiSkp...

4: Lokale Einstellungen\Temporary Internet Files\Content.IE5\NJP7JD4K\0006_regular[1].cab infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.

5: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT

6: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER.DAT

7: Tue Sep 28 11:28:28 2004 => ERROR!!! ScanFile fails for C:\DOKUME~1\SRENST~1\NTUSER~1.LOG

8: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\py152.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

9: Tue Sep 28 11:28:41 2004 => File C:\hp\bin\Terminator.exe tagged as not-a-virus:RiskWare.Tool.KillApp. No Action Taken.

10: Tue Sep 28 11:28:42 2004 => File C:\hp\bin\WIN32ALL-125.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

11: Tue Sep 28 11:49:23 2004 => File C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP101\A0012942.exe infected by "Backdoor.Agobot.ts" Virus. Action Taken: File Renamed.

Wenn noch jemand Lust hat, würd ich gern erfahren was die Punkte (4,8,9,10,11) zu sagen haben.

Ein sich noch mal BEDANKENDER twotimes

29.09.2004, 20:39

4 wurde gelöscht
8,9,10 wurde nichts veranlasst, da nicht schädlich
11 wurde umbenannt um den Backdoor unschädlich zu machen

.....

28.09.2004, 19:19	#3
Christian Gast	Bitte um Überprüfung Dies nicht fixen: O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll __________________

28.09.2004, 19:50	#5
Cidre Administrator, a.D.	Bitte um Überprüfung Suche die mwav.log und öffne diese, dann kannst du das Log durchforsten. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

29.09.2004, 20:39	#7
Christian Gast	Bitte um Überprüfung 4 wurde gelöscht 8,9,10 wurde nichts veranlasst, da nicht schädlich 11 wurde umbenannt um den Backdoor unschädlich zu machen .....

Bitte um Überprüfung

Log-Analyse und Auswertung: Bitte um Überprüfung