Trojaner-Board - Hijackthis log file von Newcommer

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hijackthis log file von Newcommer (https://www.trojaner-board.de/15859-hijackthis-log-file-newcommer.html)

Hijackthis log file von Newcommer

Hallo
anbei mein Hijackthis log file. Könnte es jemand durchschauen?

Logfile of HijackThis v1.99.1
Scan saved at 12:40:46, on 25.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
d:\Programme\Filzip\Filzip.exe
C:\Dokumente und Einstellungen\Sabrina\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\GMX Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - Startup: Speicheranweisung.txt
O4 - Global Startup: Microsoft Office.lnk = C:\apps\mso\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\apps\mso\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: SirSearch - file://C:\Programme\PWRSMND1\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) -
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - O16 - DPF: {3EC05FDF-B1F9-41D2-B737-3A1BE3451EA6} (RDXSoftwareChatClient.RDXChatClient) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) -
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - D:\Programme\0190 Warner\w0svc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Jana Server 2 (Janad) - Thomas Hauck, Privat - C:\Programme\Jana2\janad.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINNT\wanmpsvc.exe

@Newcommer

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Sieht dubios aus. Reicht Google.de dir nicht aus?

Zitat:

O4 - HKCU\..\Run: [WeatherCast] C:\PROGRA~1\WEATHE~1\Weather.exe /q

Sieht Spy-/Adware verdächtig aus.

Zitat:

O4 - Startup: Speicheranweisung.txt

Dito. Noch nie gesehen, dass eine Textdatei in Startup eingetragen ist.

Zitat:

O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm

FlashGet ist mit Adware gesponsort. Liebe finger weg davon zu lassen.

Zitat:

O8 - Extra context menu item: SirSearch - file://C:\Programme\PWRSMND1\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

Bitte Fixen.

Sieht dubios aus. Reicht Google.de dir nicht aus?

die Suchseite ist die Startseite meiner Tochter, die will ich eigentlich nicht haben.

hab ich wahrscheinlich schon beim letzten mal gefixt, aber der Startupeintrag ist wohl noch vorhanden, muss ich mal rauslöschen, wie macht man das?

Dito. Noch nie gesehen, dass eine Textdatei in Startup eingetragen ist.

Die Textdatei hab ich meiner Tochter reingestellt, das sie ihre Daten auf das Netzlaufwerk speichert und nicht mehr in die Eigenen Dateien.

FlashGet ist mit Adware gesponsort. Liebe finger weg davon zu lassen.

FlashGet ist weg und auch der passwortfinder und die webrebates. Kann es sein, das die sachen noch im Startupordner sind? Ich hab sie das letzte mal natürlich nicht gelöscht.

Ich hänge jetzt auch noch meinen escan log hier dran. Könntes Du den auch durchschauen? Vielen Dank im voraus.

File C:\WINNT\gifsworld[gwd-10684,1,1].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\Mp3-Party[veo-10742,1,1].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINNT\system32\SplWbr.dll infected by "not-a-virus:AdWare.VirtualBouncer.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\SplWbr.dll infected by "not-a-virus:AdWare.VirtualBouncer.j" Virus. Action Taken: No Action Taken.
File C:\WINNT\gifsworld[gwd-10684,1,1].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\Downloaded Program Files\WUInst.dll infected by "not-a-virus:AdWare.SaveNow.ab" Virus. Action Taken: No Action Taken.
File C:\WINNT\Mp3-Party[veo-10742,1,1].exe tagged as not-a-virus:Porn-Dialer.Win32.Intexdial. No Action Taken.
File C:\Dokumente und Einstellungen\P*\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YVAFEHQR\a571af74[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8DQZCHQ7\prompt[2].php infected by "Trojan-Downloader.JS.IstBar.j" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDKLE3GD\Radiofox(59-RIX-0-0-,RIX-3)[1].exe infected by "Trojan-Clicker.Win32.Agent.as" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P* \Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDKLE3GD\a574af[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDKLE3GD\a2945b063c07748dcaf280dcf2035f6b[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0167CLQN\Radiofox(59-RIX-0-0-,RIX-3)[1].exe infected by "Trojan-Clicker.Win32.Agent.as" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0167CLQN\a572a872[1].js infected by "Trojan-Downloader.JS.Small.af" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ P*\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLIRSTUB\ifr[1].php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Patrick\Anwendungsdaten\Coder\59-RIX-0-0-\gn.exe infected by "Trojan-Clicker.Win32.Agent.as" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\A* \Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-793fe9c2-293791c2.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\ A*\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-50c6b971-19d76a9d.zip infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken.
File C:\Programme\Password-Finder\PWFinder.dll tagged as not-a-virus:RiskWare.PSWTool.Finder.a. No Action Taken.
File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken.

@Newcommer

Zitat:

die Suchseite ist die Startseite meiner Tochter

Google ist besser.

Zitat:

hab ich wahrscheinlich schon beim letzten mal gefixt, aber der Startupeintrag ist wohl noch vorhanden, muss ich mal rauslöschen, wie macht man das?

Mit HJT scannen, Haken gegenüber den Eintrag setzet, Fix Checked klicken.

Zitat:

Die Textdatei hab ich meiner Tochter reingestellt, das sie ihre Daten auf das Netzlaufwerk speichert und nicht mehr in die Eigenen Dateien.

Deine Tochter ist in IT stark. Sie muss aber unbedingt noch das lesen ;).

Zitat:

FlashGet ist weg und auch der passwortfinder und die webrebates. Kann es sein, das die sachen noch im Startupordner sind?

Kann sein. Falls "ja" dann fixen.

Zitat:

Ich hänge jetzt auch noch meinen escan log hier dran.

Das sieht nicht gut aus. Ich sehe zwar keine Backdoor-Spuren, allerdings die Spuren bzw. Anwesenheit von ein Paar Trojaner lassen mir nur raten, der Anleitung... in meiner Signatur zu folgen. Ich bin der Meinung, dass es schneller geht und wirkt bestimmt sichere, als die "Entfernung" der Malware mit verschiedenen Tools oder "per Hand".
Ich glaube, für euch gäbe es kein Problem beim Neuafsetzten des Systems.
BTW: Ihr sollt alle Passwörter wechseln. Und nehmt einen Alternativbrowser zum Surfen- Firefox ist meine Empfehlung Nr.1 +Thunderbird-Mail . :daumenhoc