Trojaner-Board - Bräuchte mal eure Hilfe zur Logfileauswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bräuchte mal eure Hilfe zur Logfileauswertung (https://www.trojaner-board.de/13312-braeuchte-mal-hilfe-logfileauswertung.html)

Bräuchte bitte mal eure Hilfe zur Logfileauswertung

Hallo erstmal an alle!

Habe durch dieses Forum von "Hijackthis" erfahren, und hab mir das Programm gleich mal runtergeladen und meinen PC gescannt. Jetzt weiß ich nur nicht, was ich mit dem Logfile anfangen soll :dummguck:

Ich habe eigentlich schon seit längerem Probleme mit meinem PC.
Zum Einen hängt er sich dauern auf, dann kann er keine Programme mehr ausführen - wegen ausgelastetem Arbeitsspreicher - auch wenn ich schon sämtliche Programme geschlossen habe. Manchmal läuft glaube ich im Hintergrund etwas, da verwandelt sich der Mauszeiger immer in eine Sanduhr.
Dann öffnet sich der Browser wieder nicht (manchmal erst nach mehrmaligen Versuchen, oder sogar erst nach ein paar Neustarts).
Oft dauert es trotz dsl eine halbe Ewigkeit, bis Internetseiten geladen werden.
Kurz: da macht das Surfen keinen Spaß mehr!!

Ich hab das System schon mit Antivir checken lassen: Nix gefunden. Antivir wird mindestens 1x wöchentlich aktualisiert.

Ich würde mich sehr freuen, wenn Ihr mir mal den Logfile auswerten würdet, und mir mitteilt, was ich da alles fixen muss (vielleicht ein wenig "idiotensicher" weil ich von solchen Sachen keine Ahnung habe). Vielleicht liegt ja dort die Wurzel allen Übels??

Freu mich ganz doll, auf eure Hilfe

Logfile of HijackThis v1.99.0
Scan saved at 09:56:42, on 05.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\WPSPSW.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\RHS\ZIPEX\ZIPEX.EXE
C:\WINDOWS\TEMP\ZIPEXTMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F1 - win.ini: load=WPSHRC.EXE
N1 - Netscape 4: user_pref("browser.startup.homepage", "https://portal.izb.de/ihb/sparkasse-allgaeu/Main"); (C:\Programme\Netscape\Users\a_schubert\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [ETapiSt] "C:\PROGRAMME\ESTOS\PROCALL\etapist.exe" -autostart
O4 - HKLM\..\Run: [Dialer Control] C:\PROGRA~1\DIALER~1\DC.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28791f03b573f3b...p/RdxIE601.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/...LER_loader.exe
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup155.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\HAUFE\HAUFEREADER\HRINSTMON.DLL

Log schaut soweit ganz sauber aus.

Fixe jedoch dies:

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28791f03b573f3...ip/RdxIE601.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ntrol_v1-32.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc...LLER_loader.exe
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/downloa...abasetup155.cab

Dein JAVA SUN ist veraltet und hat Sicherheitslücken. Bitte updaten!

Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present weist für mich auf einen trojaner hin. also mach mal das:
-lade dir escan runter und gehe genau nach dieser anleitung vor
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum

fixe außerdem dass:
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/28791f03b573f3...ip/RdxIE601.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ntrol_v1-32.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc...LLER_loader.exe
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/downloa...abasetup155.cab

So, da bin ich nun wieder. Ganz lieben Dank für eure schnelle Hilfestellung!

Nachdem mir der PC beim escan jetzt schon zum xten Mal abgestürzt ist, (und das im abgesicherten Modus!) hab ich jetzt einfach mal ein vorläufiges Ergebnis hier gepostet.

Jetzt bin ich mal gespannt, was Ihr dazu sagt...

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Desktop\mp3\termine.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP_2\Install\Reboot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP_2\Modem\PCI\WinME\pctptt.ex_ infected by "not-a-virus:PornWare.Dialer.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP_2\Utility\PCDJ\setupsilver.exe infected by "not-a-virus:AdWare.TimeSink.d" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\TEMP_2\Install\Reboot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP_2\Modem\PCI\WinME\pctptt.ex_ infected by "not-a-virus:PornWare.Dialer.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP_2\Utility\PCDJ\setupsilver.exe infected by "not-a-virus:AdWare.TimeSink.d" Virus. Action Taken: No Action Taken.

Und der neue HJT Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 19:02:55, on 05.02.2005
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\FRITZ!DSL\FWEBPROT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WPSPSW.EXE
C:\BASES\MWAVSCAN.COM
C:\BASES\KAVSS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\RHS\ZIPEX\ZIPEX.EXE
C:\WINDOWS\TEMP\ZIPEXTMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
F1 - win.ini: load=C:\WINDOWS\SYSTEM\WPSHRC.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: FRITZ!webProtect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\HAUFE\HAUFEREADER\HRINSTMON.DLL

ok. lade dir clearprog runter, installiere es.
gehe in den abgesicherten modus, starte clearprog
haken hin bei "alles löschen"
klick auf alles löschen

Hallo Chris14

also: ich hab das jetzt alles nach deiner Anleitung gemacht. Der Browser bzw. das Surfen funktioniert wieder ganz normal.

Aber beim escan sind die Meldungen immer noch vorhanden.

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Desktop\mp3\termine.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP_2\Install\Reboot.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\TEMP_2\Modem\PCI\WinME\pctptt.ex_ infected by "not-a-virus:PornWare.Dialer.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP_2\Utility\PCDJ\setupsilver.exe infected by "not-a-virus:AdWare.TimeSink.d" Virus. Action Taken: No Action Taken.

Kann ich eigentlich den Temp2-Ordner nicht einfach löschen?
Und dann werden von escan auch noch die ganzen "Quarantäne-Einträge" von Norton und PCilln gelistet. Diese Programme habe ich bereits deinstalliert. Darf ich diese Quarantäne-Ordner löschen?

Nochmal ganz lieben Dank für deine Hilfe :daumenhoc

PS: hab' fälschlicherweise den "daumen unten"-smiley für meinen Thread benutzt. Dachte das wär ein Fragezeichen :o . Also: bloß nicht falsch verstehen..

Gruß
Spikey

ahja..
du darfst btw. sollst den ordner temp2 löschen. da ist nur müll drin. (ich bin der meinung, man sollte seine tempordner alle 2wochen entleeren (spart plattenplatz)
aber ebd.cab ist nichts böses. (gehört zum startdiskette erstellen)
die quarantäne ordner wäre es auch gut, diese zu löschen

So, den Temp2-Ordner hab ich gelöscht.

Wie verhält sich denn das mit den Quarantäne-Dateien? Sind das nicht irgendwelche Systemdateien, die infiziert sind? Und deswegen in Qu statt gelöscht? Ich dachte das wäre sowas wie ein Filter, indem auf die Dateien zugegriffen werden kann, ohne dass der Virus ausgeführt wird, oder so.
Bitte korrigier mich, wenn ich da falsch liege.