Trojaner-Board - Hi hab mir was eingefangen und Hijack scheint trotzdem sauber zu sein!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hi hab mir was eingefangen und Hijack scheint trotzdem sauber zu sein! (https://www.trojaner-board.de/11072-hi-hab-mir-eingefangen-hijack-scheint-trotzdem-sauber.html)

Hi hab mir was eingefangen und Hijack scheint trotzdem sauber zu sein!

Hi bin ganz neu hier und hab mir wohl irgendwas eingefangen, wahrscheinlich einen Trojaner oder so. hab mit e-sacan schon n paar Viren/Trojaner gefunden und eliminiert. Aber nun hab ich dass Problem, dass e-scan noch was findet ich es aber nicht runter bekomme???? Hab mich hier im Forum schon umgeschaut aber nix gefunden oder es nicht hinbekommen. Das Problem, dass ich habe ist, die Tatsache das mein Rechner(Athlon XP 2400+, 512 Mb DDR, GeForce4Ti 4800) total langsam geworden ist. Da ich meine E-scan log-file weder mt copy&paste noch durch hochladen für euch sichtbar machen kann(warum weiss ich nich der lädt ca 5 min aber nix passiert) poste ich euch einfachmal mein Log von Hijackthis... und hoffe auf Rettung.

P.S. ich habe Windows XP mit SP2 drauf

Bitte helft mir!!!
Danke in Vorraus.

Hijackthislog:
Logfile of HijackThis v1.99.0
Scan saved at 08:09:57, on 21.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
C:\Programme\McAfee\Desktop Firewall für Windows XP\McAfee Desktop Firewall für Windows XP\FireSvc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\McAfee\Virus Scan\Mcshield.exe
C:\Programme\McAfee\Virus Scan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\McAfee\Virus Scan\SHSTAT.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\WINDOWS\System32\WISPTIS.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Daniel\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\Virus Scan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\DLink\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\DLink\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100988555187
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\DLink\Bluetooth Software\bin\btwdins.exe
O23 - Service: McAfee Desktop Firewall Service - Networks Associates Technology, Inc. - C:\Programme\McAfee\Desktop Firewall für Windows XP\McAfee Desktop Firewall für Windows XP\FireSvc.exe
O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\McAfee\Virus Scan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\McAfee\Virus Scan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Mfg
Venkman

Hallo,

Zitat:

hab mit e-sacan schon n paar Viren/Trojaner gefunden und eliminiert.

Welche Malware und wie eleminiert?

Zitat:

e-scan noch was findet ich es aber nicht runter bekomme?

Welche Dateien bzw. Malware?

Zitat:

E-scan log-file

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

btw:
Das Log-File ist sauber, was aber nicht heissen muss, dass dein System auch sauber ist.

Hi
erstmal danke für deine Hilfe....
Welche bösen sachen ich entfernt habe weiß ich nich mehr habe sie aber im abgesicherten MOdus mit e-scan gefunden und danach gelöscht und den andern Teil mit Hijackthis gefunden und gefixed.....

Sorry da war ich wohl nich auf Zack hatte noch nich oft mit so sachen zu tun: :confused:

Ok, dann führe wenigstens dies aus, vielleicht kann man dann, falls nicht gelöscht, irgendwelche Rückschlüsse bezüglich Malware ziehen:

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Bin beim scannen mite-scan aber aber nochn paar minuten dauern (ca 15min)....
Ich stell das dann sofort rein

so hier sind schon mal drei Treffer von e-scan:

1.
Mon Dec 20 22:30:06 2004 => File C:\DOKUME~1\Daniel\LOKALE~1\Temp\tmp.xpi infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken.

2.
Tue Dec 21 07:57:39 2004 => File C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Spiele\Counter Strike\hl1110.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

3.
Tue Dec 21 07:58:03 2004 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\{32A3A4F2-B792-11D6-A78A-00B0D0150000}\J2SE Development Kit 5.0.msi tagged as not-a-virus:JavaClass.Chart. No Action Taken.

Nur Punkt 1 ist wirklich von Belang:
Leere den Ordner C:\DOKUME~1\Daniel\LOKALE~1\Temp

Eifachlöschen oder n spezielles programm benutzen???

Dafür brauchst du kein Programm, das kannst du selbst erledigen.

btw:
Nicht den Ordner löschen, sondern nur den Inhalt des Ordners entfernen.

Sorry aber irgendwie bin ich zu blöd den richtigen ordner zu finden... glaub ich ... und wenn ich einen finde ist der leer.... ich hab jetzt mal den kompletten ordner gelöscht... hoffe das war ok?????

Ok war dies nicht, aber er wird beim Systemstart wieder automatisch erstellt.

na mist und was nu??? muss ich e-scan nochmal neu starten um rauszufinden was nu los is oder wie???

Nur mal so zum Verständnis.

Wurde der Scan komplett abgeschlossen? Wenn ja, dann brauchst du nicht mehr scannen.
Hast du eScan im abgesicherten Modus ausgeführt? Wenn nein, dann hole dies nach.

Also der Scan is zwar noch nich durch (aber wenn dann werde ich ihn im AM nachholen) aber sind hier noch 2

P.S. habe die automatische Systemherstellung auf den Festplatten C und D deaktiviert

Mon Dec 20 23:37:37 2004 => File C:\Programme\themexp\Themexp.org File\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Dec 20 23:37:37 2004 => File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

hi

bitte hier nichts fixen, denn HijackThis sollte aus einem eigenen ordner z.B. C:\Programme\HiajckThis\HijackThis.exe gestartet werden, dann wird beim fixen automatisch ein backup-ordner angelegt.
wenn du deine temp. ordner leerst, ist auch HijackThis entsorgt, nicht nur das backup

das wollte cidre sehen
[quote]wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
http://img8.exs.cx/img8/9665/infected6xz.gif
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten :)

Zitat:

Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

mein scan läuft jetzt schon fast 2 stunden. Ich werdee den dann gleich vielleicht abbrechen und ihn morgen nochmal im abgesicherten Modus starten und dann alles posten wie ihr mir das gesagt habt....

schomal danke für alles bin dann morgen wieder mit neuen Infos da.... Ihr müsst leider n bisschen gedult haben bin PC-technisch noch keine leuchte...

So hi da bin ich wieder hab e-scan im A-modus durchlaufen lassen und der hat 8 Treffer gehabt, die ich hier jetzt posten werde:

1
Mon Dec 20 22:30:06 2004 => File C:\DOKUME~1\Daniel\LOKALE~1\Temp\tmp.xpi infected by "TrojanDownloader.Win32.Small.gl" Virus. Action Taken: No Action Taken.

2
Mon Dec 20 23:37:37 2004 => File C:\Programme\themexp\Themexp.org File\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

3
Mon Dec 20 23:37:37 2004 => File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

4
Mon Dec 20 23:25:04 2004 => File C:\Programme\Java\jdk1.5.0\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.

5
Mon Dec 20 23:24:31 2004 => File C:\Programme\Java\jdk1.5.0\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.

6
Mon Dec 20 23:19:56 2004 => File C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jdk1.5.0.b64\demos.zip tagged as not-a-virus:JavaClass.Chart. No Action Taken.

7
Mon Dec 20 23:11:41 2004 => File C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\{32A3A4F2-B792-11D6-A78A-00B0D0150000}\J2SE Development Kit 5.0.msi tagged as not-a-virus:JavaClass.Chart. No Action Taken.

8
Mon Dec 20 23:11:00 2004 => File C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\Spiele\Counter Strike\hl1110.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.

so da sind sie und nun brauche ich weiter Anweisungen....wie ich die Zusammenfassung poste weiß ich net die fin ich inner Log nich aber das das alle Treffer sind, da bin ich mir sicher... Danke!!!!!

Deinstalliere unter Software ThemeXP und lösche den Ordner C:\Programme\themexp -> Leere diesen Ordner C:\DOKUME~1\Daniel\LOKALE~1\Temp -> Besuche nach Möglichkeit nicht wieder die Seite themexp.org, denn dort wird dir ungewollt Spy- und Adware (beim IE) automatisch installiert, ebenso keine Downloads von dieser Seite ausführen.

ok hab ich genau so gemacht und nu sollte alles ordnung sein oder wiNur noch mal e-scan laufen lassen????

Achte darauf, dass du in der Zukunft nur noch mit Firefox surfst, den IE nur noch für das Win Update benutzt und ihn dementsprechend nach dieser Anleitung konfigurierst.

Ok danke, obwohl ich surf seit 1 jahr nur noch mit Netscape bzw. Firefox..
ALso nochmals danke und bis denn