Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte logfile prüfen (https://www.trojaner-board.de/19375-bitte-logfile-pruefen.html)

userli 29.06.2005 12:09
Bitte logfile prüfen
 
Hallo zusammen!
wenn mal jemand Zeit hätte sich mein logfile anzuschauen
habe probs mit dem ersten "O2" und mit den letzten beiden "O16"
die kommen nach dem fixen und neustart immer wieder

Dank an alle Helfer im voraus

USERLI

Logfile of HijackThis v1.99.1
Scan saved at 12:58:09, on 29.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\PROGRAMME\KEN!\KENCLI.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\WIN98\SYSTEM\KB891711\KB891711.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\0000\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - von mir edidiert (sind nur meine Proxyeinstellungen)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O4 - HKLM\..\Run: [vptray] C:\Programme\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\Programme\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\Programme\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [KB891711] C:\WIN98\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

dartus 29.06.2005 22:20
Hallo,

hast Du schon versucht im abgesicherten Modus zu fixen?

dartus

userli 01.07.2005 08:52
Hallo,

ich hau mir an Kopf - abgesicherter Modus wie immer vergessen.
hatte aber leider nur den Erfolg, dass sich die fraglichen Einträge verdoppelt haben.
Lasse nun Ad-Aware, Spybot - Search & Destroy, Anti-Vir, e-scan usw noch mal drüberlaufen, das kann dauern.
kann mich warscheinlich erst MO oder MI wieder melden.

Zum Vergleich noch das neue Logfile
(hab in msconfig alles eingeschalten)

Userli

Logfile of HijackThis v1.99.1
Scan saved at 09:49:23, on 01.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\PROGRAMME\KEN!\KENCLI.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WIN98\SYSTEM\SSDPSRV.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\HW\ATI\ATIDESK\ATISCHED.EXE
C:\WIN98\TASKMON.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\WIN98\SYSTEM\ATICWD32.EXE
C:\WIN98\SYSTEM\ATITASK.EXE
C:\WIN98\HPLRA.EXE
C:\WIN98\RUNDLL32.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\0000\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Bertelsmann
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [vptray] C:\Programme\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [ATI Scheduler] C:\HW\ATI\ATIDESK\ATISched.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WIN98\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RegAgent] C:\WIN98\HPLRA.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WIN98\rundll32.exe C:\WIN98\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [USB Disk Tool] C:\Programme\USB Disk Tool\USNDISKT.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\Programme\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\Programme\Norton AntiVirus\defwatch.exe
O4 - HKLM\..\RunServices: [DkService] C:\Programme\Executive Software\Diskeeper\DkService.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WIN98\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98\web\related.htm
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

userli 06.07.2005 07:24
Hallo zusammen,
habe nun alles durchlaufen lassen.
Für den trendmicro-online Scan muss man JAVA installiert haben.
(hatte ich vorher runtergeschmissen)
Lief ohne Befund ab.
Der nachfolgende Scan mit e-scan brachte folgende Meldung:

File C:\WIN98\Local Settings\Anwendungsdaten\{32A3A4F2-B792-11D6-A78A-00B0D0150040}\J2SE Development Kit 5.0 Update 4.msi tagged as not-a-virus:FalseAlarm.Java.Chart. No Action Taken.

Fehlarlarm ist ja ganz schön, aber im Bild zappelte ein Virus!
Woher kommen solche Meldungen?
Am LOG (siehe vorherige Post) hat sich nichts verändert. Kann mir jemand sagen ob das System iO ist.
Ich hab das subjektive Gefühl, dass das System mit der Zeit immer langsamer wird.

Ich weiß nicht, ob das im Zusammenhang steht. Aber seit ca. 1 Woche flimmert mein Monitor. Nach dem Neustart stellt sich die Bildwiederholfrequenz auf 60Hz nach der Umstellung Auf 85Hz und alles speichern ist die Optik wieder iO - bis zum nächsten Start.

Userli

Chris14 06.07.2005 08:21
Also wenn der PC langsam läuft würds mich nicht wundern.

fixe mal mit hijackthis diese einträge:

O4 - HKLM\..\Run: [ATI Scheduler] C:\HW\ATI\ATIDESK\ATISched.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WIN98\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ScanRegistry] C:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [RegAgent] C:\WIN98\HPLRA.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WIN98\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WIN98\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WIN98\web\related.htm
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} -
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} -

da escan ohne richtigen befund ist, nehme ich an, dass da kein trojaner vorhanden ist.

dass mitm flackern:

start,ausführen,regedit
[hkey_local_machine\SYSTEM\CURRENTcontrolset\services\class\display\0000 ]
den wert ddc auf 0 setzen
neustarten

dass da ein "zappelnder virus" angezeigt wird, ist normal, ist nur für die optik.

userli 06.07.2005 09:23
Hallo Chris
danke für die schnelle Antwort.
Anti-vir hat soeben doch was gefunden!
Meldung: C:\0000
tis12de_gm_eval.exe
ArchiveType: CAB SFX (self extracting)
--> \Setup\program files\Trend Micro\PC-cillin\tmproxy.exe
[FUND!] Enthält verdächtigen Code: HEURISTIC/Backdoor.Generic

In der exe "tis12de_gm_eval.exe" sollen mehrere infizierte Dateien sein.
Ist eigentlich so glaub ich, (weil ausführen tu ich die nicht) eine Install.exe von Trent Micro Internet Security


Zum fixen:
O4 Spamhilator ist mein Filter von Spammails (soll schon laufen)
O4 Teatimer dachte ich ist gut

Der Rest kann schon weg.

Die O16 kommen immer wieder auch nach dem fixen im Abgesicherten Modus.

werd erst mal alles machen und mich wieder melden. kann wahrscheinlich erst morgen werden

Userli

dartus 06.07.2005 09:34
Hallo userli,

das sieht mir nach einem Fehlalarm von Anti-vir aus.
Du kannst die Datei zur Überpfüfung AntiVir mailen.
Vorgehensweise wird hier beschrieben.

dartus

userli 07.07.2005 14:20
Hallo,

bin jetzt mit den ganzen Prüfungen durch.
Bei Spybot - Search & Destroy / Einstellungen / Produktausnahmen waren bei dreien Haken dran. Weis der Geyer wie die dort hin kommen. Hab ich weg gemacht und schon wurde ALEXA gefunden.
Da mir das schon einmal passiert ist empfehle ich jedem, da immer mal nachzuschauen. Selbiges bei Einzelausnahmen, Cookie Ausnahmen und Dateiende Ausnahmen. (Modus = erweiterter Modus dann unter Einstellungen)
Zuletzt noch mein letzter LOG.
Der O2 kommt von Spybot - Search & Destroy. Ist die Hilfsanwendung zur Blockierung bedrohlicher Downloads

Wo die O16 alle hin sind ... egal alles weg!

Logfile of HijackThis v1.99.1
Scan saved at 14:50:11, on 07.07.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\PROGRAMME\KEN!\KENCLI.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\RPCSS.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WIN98\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WIN98\SYSTEM\WMIEXE.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\0000\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Bertelsmann
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=***.***.***.*:****;http=***.***.***.*:****;https=***.***.***.*:****;socks=***.***.***.*:**** (edit userli)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O4 - HKLM\..\Run: [vptray] C:\Programme\Norton AntiVirus\vptray.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\Programme\Norton AntiVirus\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\Programme\Norton AntiVirus\defwatch.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\PROGRAMME\SPAMIHILATOR\SPAMIHILATOR.EXE"

Dank ins unermüdliche Forum für die schnellen Hilfen und Tips

Userli


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55