Trojaner-Board - bitte auswerten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - bitte auswerten (https://www.trojaner-board.de/17931-bitte-auswerten.html)

Logfile of HijackThis v1.99.1
Scan saved at 23:28:16, on 17.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Spyware Doctor\swdoctor.exe
D:\Programme\Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
E:\downloads\Neuer Ordner\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h++p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111498645921
O17 - HKLM\System\CCS\Services\Tcpip\..\{E313B011-6B7A-4705-AF88-0F92BA2E38D7}: NameServer = 212.6.108.141 212.6.108.140
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

SP2 kommtr morgen drauf

Sieht soweit gut aus; das hier:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
kannst du fixen;
wenn du über den Server der Uni Oldenburg gehst, dann paßt soweit alles; das SP2 sollte ja jetzt schon drauf sein, oder?
cacatoa

Zitat:

Zitat von cacatoa

wenn du über den Server der Uni Oldenburg gehst, dann paßt soweit alles; das SP2 sollte ja jetzt schon drauf sein, oder?
cacatoa

wie über den server der uni-oldenburg, als proxy ?
das problem ist, dass ich irgentwo was drauf haben muss, obwohl er nichts findet, da meine cpuauslastung völlig im eimer ist und surfen/spielen etc. unmöglich.
hoffe das ändert sich wenn ich das fixe, lass grade bit defender durchlaufen, hat auch schon 1 virus gefunden, dauert nun aber noch geschlagene 14 std :(

ich kann aber auf microsoftupdate lirgentwie nichts runterladen, obwohl ich den dienst aktiviert hab und es mit dem IE mache?
hast du da nen Rat?

@tthree
kannst auch sp2 bestellen
http://www.microsoft.com/windowsxp/d...e/default.mspx
chaosman

naja, schon, aber es kann ja nicht sein das ichs nicht runterladen kann, hab doch nicht umsonst ne flat :)
bin halt n bissel verwirrt das ich weder sp2 runterladen, noch andere files von der page saugen kann
außerdem ist es imo so, das mein rechner sich sich nach 1-2 sekunden in einen trancezustand versetzt.
darum, meine frage:

kann ich sp2 auch im abgesicherten modus installieren ?

Das hier ist die IP von der Uni Oldenburg:
O17 - HKLM\System\CCS\Services\Tcpip\..\{E313B011-6B7A-4705-AF88-0F92BA2E38D7}: NameServer = 212.6.108.141 212.6.108.140

Was hat Bitdefender wo gefunden?
cacatoa

Hab mal bei meinem Provider (NordCom) angerufen, ob der was mit der Uni Oldenburg am hut hätte, dem war aber nicht so.
Nachdem ich SP2 installiert kommt mein Rechner nur noch bis zum Willkommen
danach:
IRQL_NOT_LESS_OR_EQUAL
0x00000000A (0x972D2BF8, 0x00000002, 0x00000000, 0x804DB974)

Danach folgt reboot, Abgesicherter aber noch möglich

hier nochmal der aktualisierte HJTL

Logfile of HijackThis v1.99.1
Scan saved at 18:20:42, on 19.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\downloads\Neuer Ordner\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programme\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - []h++p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111498645921]
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

auffällig ist, das 2mal svchost vorkommt, wobei einer 20 000k benötigt und nichts passiert sobald ich ihn beende

BitDefender LOg
Product: BitDefender 8 Standard
Version: 8.0
Erstellt am: 18/05/2005 22:31:57

C:\Programme\Softwin\BitDefender8\Quarantine\97FA4F43d01 Infiziert mit: Exploit.Html.MhtRedir.Gen
C:\Programme\Softwin\BitDefender8\Quarantine\97FA4F43d01 Desinfizieren fehlgeschlagen
C:\Programme\Softwin\BitDefender8\Quarantine\97FA4F43d01 Verschieben fehlgeschlagen

Updates leider nicht möglich, da ich mit dem Rechner nicht ins Inet komm :nixda:

@tthree
zur fehlermeldung
http://www.winfaq.de/faq_html/tip0391.htm
zur svchost
auffällig ist, das 2mal svchost vorkommt, wobei einer 20 000k benötigt und nichts passiert sobald ich ihn beende
http://www.pctipp.ch/helpdesk/kummer...in2k/25498.asp

zur Exploit.Html.MhtRedir.Gen
schau dir bitte diese links an
http://www.sophos.de/virusinfo/analy...jpadodorp.html
http://www.sophos.de/virusinfo/analy...mhtredirg.html

bei diesen trojaner würde ich neuaufsetzen,
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2
sry
chaosman

jippie :aplaus:

aber brauchst dich nicht dafür zu entschuldigen ;) , bin ja dankbar für jede hilfe, bei mir funktioniert aber die pdfdatei von cidres anleitung nicht.

gibt es hier auf der page ne liste wichtigen tools die man "unbedingt" auf seinem rechner haben sollte ?