Trojaner-Board - Mein HijackThis Logfile

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein HijackThis Logfile (https://www.trojaner-board.de/17796-hijackthis-logfile.html)

Mein HijackThis Logfile

hallo zusammen
bei mir geht seit ein paar tagen plötzlich mein mcAfee nicht mehr. ich bekomme folgende FM:
Die Anweisung in "0x00403007" verweist auf Speicher in "0x1023b957". Der Vorgang "read" konnte nicht auf dem Speicher durchgeführt werden.

ich habe den mcAfee deinstalliert und wieder installiert, ohne erfolg. nun habe ich zum ersten mal das hijackThis programm ausgeführt. kann mir jemand helfen, was ich nun tun muss.
hier das logFile:
Logfile of HijackThis v1.99.1
Scan saved at 20:57:39, on 14.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\SYSTEM32\DNTUS26.EXE
C:\WINNT\System32\svchost.exe
E:\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\llssrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
e:\MICROS~1\MSSQL\binn\sqlservr.exe
E:\Norman\NPF\NPFSVICE.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\file-name.exe
D:\Microsoft Hardware\Mouse\point32.exe
E:\QuickTime\qttask.exe
E:\Ahead\InCD\InCD.exe
C:\WINNT\system32\ctfmon.exe
E:\Norman\NPF\NPFMSG.EXE
E:\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
E:\WinZip\WZQKPICK.EXE
E:\Webshots\WebshotsTray.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe
E:\McAfee\NetShld 4.5\shstat.exe
E:\McAfee\NetShld 4.5\MCCONSOL.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\WINZIP\winzip32.exe
F:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.bluewin.ch[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.bluewin.ch/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = h**p://v4.windowsupdate.microsoft.com/en/default.asp[/url]
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F3 - REG:win.ini: load=C:\WINNT\system32\file-name.exe
O1 - Hosts: 69.64.35.177 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\msgr.de.de-ch\msntb.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\4.4\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VTPreset] VTPreset.exe
O4 - HKLM\..\Run: [InCD] E:\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ShStatEXE] "E:\McAfee\NetShld 4.5\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [SSS] "E:\Steganos\Steganos Security Suite 4\steganos4.exe" /booting
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Webshots.lnk = E:\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NPF Messenger.lnk = E:\Norman\NPF\NPFMSG.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = E:\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: Yahoo! Chat - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - h**p://www.7adpower.com/dialer/A091105.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {C7B05B62-C8D7-438C-840B-4994DAAA8EEE} - h**p://webpdp.gator.com/v3/download/pdpplugin5094_hd3ptdmgainads.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager (AlertManager) - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Application - Unknown owner - C:\WINNT\system32\ntservice.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development - C:\WINNT\SYSTEM32\DNTUS26.EXE
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - E:\Ahead\InCD\InCDsrv.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - E:\McAfee\NetShld 4.5\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - E:\McAfee\NetShld 4.5\VsTskMgr.exe
O23 - Service: Microsoft NetWork FireWall Services - Unknown owner - NetServices.exe (file missing)
O23 - Service: Norman Type-R - Unknown owner - E:\Norman\NPF\NPFSVICE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINNT\System32\SLEE401.exe (file missing)

Hi,

in Deinem Log-File gibt es einige Einträge, die nichts Gutes erahnen lassen. Um Gewissheit zu bekommen, mache bitte einen Scan mit eScan (s. Signatur) und poste anschließend die Funde.

hoi lutz

danke schon mal, dass du dich meinem problem annimmst!

hier sind die daten aus dem logfile:
File C:\WINNT\system32\file-name.exe infected by "Trojan-Notifier.Win32.Sysbopt" Virus. Action Taken: No Action Taken.
File System Found infected by "Power scan Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "ISearchTech Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "ISearchTech Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINNT\istinstall_kart.exe infected by "Trojan-Downloader.Win32.IstBar.bu" Virus. Action Taken: No Action Taken.
File C:\WINNT\lhZroT7V.ocx infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\niBvi.dll infected by "Trojan-Downloader.Win32.Lemmy.w" Virus. Action Taken: No Action Taken.
File C:\WINNT\o5wgx8.dll infected by "Trojan-Downloader.Win32.Lemmy.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\r207.ocx infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\RGJWOYFH.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINNT\rTVdL.exe infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\system32\cmm32.exe infected by "Backdoor.IRC.Cloner" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\nb.bat infected by "Trojan.BAT.Passer.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\ntregfix.exe infected by "Net-Worm.Win32.Randon.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\pcMsg.dll infected by "Trojan-Spy.Win32.PcGhost.412" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sms.exe infected by "Trojan-Notifier.Win32.Sysbopt" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sms2.exe.exe infected by "Trojan-Notifier.Win32.Sysbopt" Virus. Action Taken: No Action Taken.
File C:\WINNT\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.1\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.s" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.2\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.s" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\CONFLICT.3\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.s" Virus. Action Taken: No Action Taken.
File C:\WINNT\inf\other\BACKUP.BAT infected by "Backdoor.IRC.Cloner.t" Virus. Action Taken: No Action Taken.
File C:\WINNT\inf\other\hide.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\WINNT\inf\other\psexec.exe tagged as not-a-virus:RiskWare.Tool.PsExec.13. No Action Taken.
File C:\WINNT\inf\other\win32.mrc infected by "Net-Worm.Win32.Randon.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\istinstall_kart.exe infected by "Trojan-Downloader.Win32.IstBar.bu" Virus. Action Taken: No Action Taken.
File C:\WINNT\lhZroT7V.ocx infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\niBvi.dll infected by "Trojan-Downloader.Win32.Lemmy.w" Virus. Action Taken: No Action Taken.
File C:\WINNT\o5wgx8.dll infected by "Trojan-Downloader.Win32.Lemmy.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\r207.ocx infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\RGJWOYFH.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
File C:\WINNT\rTVdL.exe infected by "Trojan-Downloader.Win32.VB.bo" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\cmm32.exe infected by "Backdoor.IRC.Cloner" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\nb.bat infected by "Trojan.BAT.Passer.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\ntregfix.exe infected by "Net-Worm.Win32.Randon.l" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\pcMsg.dll infected by "Trojan-Spy.Win32.PcGhost.412" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sms.exe infected by "Trojan-Notifier.Win32.Sysbopt" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\sms2.exe.exe infected by "Trojan-Notifier.Win32.Sysbopt" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

ich habe gestern selber das ganze noch ein bisschen studiert und habe schon mal das dameware deinstalliert. ausserdem soll ich einen virus im bootsektor haben, sagt mir das mcAfee programm wenn ich dieses updaten will.
was soll ich als nächstes tun, oder soll ich gleich neu aufsetzen?

gruss
gallduff

Hi,

bei den Funden würde ich keine Zeit in eine Bereinigungsaktion investieren, welche anschließend unter Umständen nur ein scheinbar sauberes System hinterlässt.
Ich kann Dir nur empfehlen, Dein System neu aufzusetzen. Halte Dich dabei bitte an Cidres Anleitung...

hi lutz,

alles klar, das habe mir schon gedacht und werde mich demnächst an die arbeit machen.
vielen dank nochmals für deine hilfe!

gruss
gallduff