Trojaner-Board - Auch meinen PC hat es erwischt: Hijack-log:

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auch meinen PC hat es erwischt: Hijack-log: (https://www.trojaner-board.de/23384-meinen-pc-hat-erwischt-hijack-log.html)

Auch meinen PC hat es erwischt: Hijack-log:

Hallo, meinen PC hat es auch erwischt. Nachfolgend das Hijackthis-Logfile. Wäre schön, wenn mir jemand behilflich sein kann.

Logfile of HijackThis v1.99.1
Scan saved at 17:24:44, on 06.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Scansoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Virus\hijack\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.lycos.de/help/welcome.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:8080;gopher=192.168.0.1:8080;h**p=192.168.0.1:8080;h**ps=192.168.0.1:8080;socks=192.168.0.1:1080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\Scansoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\Scansoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [DTVR Agent] C:\Programme\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
O4 - HKLM\..\Run: [UnlimitedMouse] C:\Programme\Unlimited Mouse 2.0\UnlimitedMouse.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: MA521 Configuration Utility.lnk = C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator (2).lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Global Startup: SmartUI.lnk = ?
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://w*w.lycos.de/
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126723137280
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126724113424
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: IrBridge User-Level Interface (USRBRIDG) - Extended Systems, Inc. - C:\WINDOWS\system32\usrbridg.exe

Hmmm...
also ich kann nix auffälliges bei dir finden.

Hallo,
beende mal diesen Prozess im Taskmanager:
C:\WINDOWS\system32\usrbridg.exe
und überprüfe die zugehörige Datei hier und poste das Ergebnis.

Grüße Wildone

Ich habe bereits die Anleitung für die Entfernung von Smitfraud abgearbeitet. Bei escan wurde noch ein riesiges Logfile erstellt, habe aber davon noch nichts gelöscht. Ist das überhaupt noch nötig?

Um mal einen der Helden des Kompetenzteams zu zitieren :
Dies ist ein freies Land und du kannst selbstverständlich tun und lassen was du möchtest.
Zitat Ende
Irrlicht
Ps.
Dann hast du die E Scan-Anleitung nicht richtig gelesen bzw.nicht richtig ausgeführt.

Habe besagte Datei usbr*** überprüft. Es wurden keine Viren gefunden. Dann müßte mein PC jetzt clean sein ?!

Hallo,
also wenn du ohnehin schon Escan ausgeführt hast, kannst du die MWAV.LOG öffnen unter bearbeiten>>suchen nach den Wörtern "infected" und "tagged" suchen und die jeweiligen Einträge posten.

Grüße Wildone

Also infected wurde ein paar Mal gefunden, aber tagged nicht:

Sun Nov 06 13:12:27 2005 => Offending file found: C:\WINDOWS\system32\mydll.dll
Sun Nov 06 13:12:27 2005 => System found infected with advsearch Spyware/Adware (mydll.dll)! Action taken: No Action Taken.

Sun Nov 06 13:12:29 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Favoriten\lycos\nachrichten\internet.url
Sun Nov 06 13:12:29 2005 => System found infected with ezula Spyware/Adware (internet.url)! Action taken: No Action Taken.

Sun Nov 06 13:12:30 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Eigene Dateien\bewerbungen\vorlagen\extra\krawattenknoten, krawatten knoten binden, krawattenbinden anleitung-dateien\new.gif
Sun Nov 06 13:12:30 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken.

Sun Nov 06 13:12:36 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Startmenü\programme\autostart\powerreg scheduler.exe
Sun Nov 06 13:12:36 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Sun Nov 06 13:12:36 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Startmenü\Programme\autostart\powerreg scheduler.exe
Sun Nov 06 13:12:36 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Sun Nov 06 13:12:36 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Startmenü\Programme\Autostart\powerreg scheduler.exe
Sun Nov 06 13:12:36 2005 => System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: No Action Taken.

Sun Nov 06 13:12:40 2005 => Offending file found: C:\Dokumente und Einstellungen\c****a\Eigene Dateien\bewerbungen\vorlagen\extra\krawattenknoten, krawatten knoten binden, krawattenbinden anleitung-dateien\new.gif
Sun Nov 06 13:12:40 2005 => System found infected with ezula toptext Spyware/Adware (new.gif)! Action taken: No Action Taken.

Sun Nov 06 14:14:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Nov 06 14:14:28 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\OLEEXT.DLL.VIR
Sun Nov 06 14:14:28 2005 => File C:\Programme\AVPersonal\INFECTED\OLEEXT.DLL.VIR infected by "Trojan.Win32.Small.ev" Virus! Action Taken: No Action Taken.

Sun Nov 06 15:10:52 2005 => ***** Scanning complete. *****

Sun Nov 06 15:10:52 2005 => Total Objects Scanned: 93550
Sun Nov 06 15:10:52 2005 => Total Virus(es) Found: 8
Sun Nov 06 15:10:52 2005 => Total Disinfected Files: 0
Sun Nov 06 15:10:52 2005 => Total Files Renamed: 0
Sun Nov 06 15:10:52 2005 => Total Deleted Objects: 0
Sun Nov 06 15:10:52 2005 => Total Errors: 442
Sun Nov 06 15:10:52 2005 => Time Elapsed: 01:59:42
Sun Nov 06 15:10:53 2005 => Virus Database Date: 2005/11/02
Sun Nov 06 15:10:53 2005 => Virus Database Count: 157742

Sun Nov 06 15:10:53 2005 => Scan Completed.

Hallo,
sieht alles recht sauber aus, folgende Dateien solltest du noch löschen:
C:\WINDOWS\system32\mydll.dll
C:\Dokumente und Einstellungen\c****a\Eigene Dateien\bewerbungen\vorlagen\extra\krawattenknoten , krawatten knoten binden, krawattenbinden anleitung-dateien\new.gif (falls nicht gewollt)
C:\Dokumente und Einstellungen\c****a\Startmenü\programme\autostart \powerreg scheduler.exe

Grüße Wildone

Hallo Wildone,

vielen Dank für Deine Mühe. Hoffe, dass jetzt wieder alles einwandfrei funktioniert.

Gruß

Charinia