Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJackThis mit Escan 4 Probleme oder mehr? (https://www.trojaner-board.de/25794-hijackthis-escan-4-probleme-mehr.html)

wow4him 13.01.2006 16:47
HiJackThis mit Escan 4 Probleme oder mehr?
 
Hi alle!

Hier mein HiJackThis mit Escan. Sind searchexe, bearshare und ezula echte Probleme? Ich dachte erstere beiden wären ein Versehen von escan? :confused:

Logfile of HijackThis v1.99.1
Scan saved at 16:14:49, on 13.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE
C:\Programme\Norman\bin\ZANDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe
C:\Programme\Norman\bin\NJEEVES.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\winadm.exe
C:\Programme\Norman\bin\ZLH.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\gtwatch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMS.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
C:\Programme\palmOne\Hotsync.exe
C:\Programme\Norman\Nvc\BIN\NIP.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norman\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\winadmd.exe
C:\Programme\Norman\Npf\BIN\npfmsg2.exe
C:\Programme\Norman\bin\niu.exe
D:\Daten\Software\internet-www\Virus-Trojaner-Etc\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~2\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten\Preispiraten2\IEButtonAmazonInterface.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten\Preispiraten2\IEButtonEBayInterface.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Programme\Gemeinsame Dateien\Microsoft Shared\IME\IMTC65\PHONETIC\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\GEMEIN~1\MICROS~1\IME\IMJP9\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\Norman\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\system32\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickFinder Scheduler] c:\Corel\Office7\Shared\QFinder7\QFSCHED.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Programme\Gemeinsame Dateien\DataViz\DvzIncMsgr.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palmOne\Hotsync.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1120210627921
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\PROGRAMME\NORMAN\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Programme\Norman\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\Norman\Npf\BIN\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\Norman\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe


Fri Jan 13 14:28:11 2006 => **********************************************************
Fri Jan 13 14:28:11 2006 => eScan AntiVirus Toolkit Utility.
Fri Jan 13 14:28:11 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Jan 13 14:28:11 2006 => **********************************************************
Fri Jan 13 14:28:11 2006 => Version 7.4.5
Fri Jan 13 14:28:11 2006 => Protokolldatei: C:\BASES_X\MWAV.LOG
Fri Jan 13 14:28:11 2006 => Datum und Uhrzeit des letzten Scans: 10.01.2006 13:35:40
Fri Jan 13 14:28:11 2006 => MWAV Registered: FALSE.
Fri Jan 13 14:28:11 2006 => MWAV Mode: Only Scan files.
Fri Jan 13 14:28:15 2006 => Letztes Datum der MWAV Dateien: 23 Dec 2005 11:32:56.
Fri Jan 13 14:28:19 2006 => AV Bibliothek wird geladen...
Fri Jan 13 14:28:19 2006 => MWAV doing self scanning...
Fri Jan 13 14:28:19 2006 => Scanne Datei C:\BASES_X\kavss.exe
Fri Jan 13 14:28:19 2006 => Scanne Datei C:\BASES_X\Getvlist.exe
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavss.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavssdi.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavssi.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\kavvlg.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\msvlclnt.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\ipc.dll
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\main.avi
Fri Jan 13 14:28:20 2006 => Scanne Datei C:\BASES_X\virus.avi
Fri Jan 13 14:28:21 2006 => MWAV files are clean.
Fri Jan 13 14:28:21 2006 => Virus-Datenbank Datum: 2005/12/23
Fri Jan 13 14:28:21 2006 => Virus-Datenbank Zähler: 163086

Fri Jan 13 14:28:40 2006 => **********************************************************
Fri Jan 13 14:28:40 2006 => eScan AntiVirus Toolkit Utility.
Fri Jan 13 14:28:40 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Jan 13 14:28:40 2006 =>
Fri Jan 13 14:28:40 2006 => Support: support@mwti.net
Fri Jan 13 14:28:40 2006 => Web: http://www.mwti.net
Fri Jan 13 14:28:40 2006 => **********************************************************
Fri Jan 13 14:28:40 2006 => Version 7.4.5
Fri Jan 13 14:28:40 2006 => Protokolldatei: C:\BASES_X\MWAV.LOG
Fri Jan 13 14:28:40 2006 => User Account: MK
Fri Jan 13 14:28:40 2006 => Windows Root Folder: C:\WINDOWS
Fri Jan 13 14:28:40 2006 => Windows Sys32 Folder: C:\WINDOWS\system32
Fri Jan 13 14:28:40 2006 => OS: Windows NT
Fri Jan 13 14:28:40 2006 => Letztes Datum der MWAV Dateien: 23 Dec 2005 11:32:56.

Fri Jan 13 14:28:40 2006 => Optionen vom Benutzer ausgewählt:
Fri Jan 13 14:28:40 2006 => Specherüberprüfung: Aktiviert
Fri Jan 13 14:28:40 2006 => Registry Überprüfung: Aktiviert
Fri Jan 13 14:28:40 2006 => StartUp-Ordner Überprüfung: Aktiviert
Fri Jan 13 14:28:40 2006 => System-Ordner Überprüfung: Aktiviert
Fri Jan 13 14:28:40 2006 => Überprüfung der Systembereiche: Deaktiviert
Fri Jan 13 14:28:40 2006 => Überprüfung der Dienste: Aktiviert
Fri Jan 13 14:28:40 2006 => Festplattenüberprüfung deaktiviert
Fri Jan 13 14:28:40 2006 => Verzeichniss Überprüfung: Deaktiviert

Fri Jan 13 14:29:08 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Fri Jan 13 14:29:08 2006 => Scanne Datei C:\WINDOWS\system32\JAVASUP.VXD

Fri Jan 13 14:29:08 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Fri Jan 13 14:29:08 2006 => Loading Spyware Signatures from new External Database (Size: 146361).
Fri Jan 13 14:29:08 2006 => Indexed Spyware Databases Successfully Created...

Fri Jan 13 14:30:34 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.
Fri Jan 13 14:30:36 2006 => Offending Key found: HKLM\Software\gnu !!!
Fri Jan 13 14:30:36 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Jan 13 14:30:36 2006 => Offending Key found: HKCU\Software\gnu !!!
Fri Jan 13 14:30:36 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Jan 13 14:30:43 2006 => Offending file found: C:\Dokumente und Einstellungen\MK\Desktop\internet.lnk
Fri Jan 13 14:30:43 2006 => System found infected with ezula Spyware/Adware (internet.lnk)! Action taken: Keine Aktion vorgenommen.


Fri Jan 13 14:30:51 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****
Fri Jan 13 14:30:53 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\System32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Fri Jan 13 14:30:53 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\Programme\Common Files\Borland Shared\BDE\IDAPINST.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
...

chaosman 13.01.2006 20:20
@wow4him
Sind searchexe, bearshare und ezula echte Probleme?
man sollte sie nicht im system haben.

lade Adaware und spybot

beide updaten, nacheinander scannen lassen, löschen was vorgeschlagen wird.

BearShare, über systemsteuerung, software deinstallieren

chaosman

wow4him 14.01.2006 12:42
Hi chaosman,

hab mit adaware einen Trojaner: win32.Trojan.Byteverify.A gefunden und gelöscht. Aber wie man bearshare über Systemsteuerung deinstallieren kann, weiß ich nicht. Vielleicht kann mir da jmd. einen Tipp geben.
Spybot hat nichts gefunden auch mit F8-Windows-Start nichts. Ich habe allerdings die normalen Spybot-Einstellungen gelassen.

Escan hat nun folgendes gefunden:
1. searchexe
2. bearshare
3. gtwatch unknown trojan ???

Hier die Details:

Sat Jan 14 10:57:03 2006 => Virusliste wird erstellt... getvlist.exe C:\BASES_X\vlist.txt

Sat Jan 14 10:57:30 2006 => **********************************************************
Sat Jan 14 10:57:30 2006 => eScan AntiVirus Toolkit Utility.
Sat Jan 14 10:57:30 2006 => Copyright © 2003-2004, MicroWorld Technologies Inc.


Sat Jan 14 10:58:31 2006 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Sat Jan 14 10:58:31 2006 => Scanne Datei C:\WINDOWS\system32\JAVASUP.VXD

Sat Jan 14 10:58:31 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Sat Jan 14 10:58:31 2006 => Loading Spyware Signatures from new External Database (Size: 146361).
Sat Jan 14 10:58:31 2006 => Indexed Spyware Databases Successfully Created...

Sat Jan 14 11:07:49 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: Keine Aktion vorgenommen.
Sat Jan 14 11:07:51 2006 => Offending Key found: HKLM\Software\gnu !!!
Sat Jan 14 11:07:51 2006 => Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Sat Jan 14 11:07:51 2006 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: gtwatch !!!
Sat Jan 14 11:07:51 2006 => Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Sat Jan 14 11:08:00 2006 => ***** Scan nach Registrierungsfehlern, verursacht durch Adware/Spyware *****
Sat Jan 14 11:08:01 2006 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\System32\DIMM.DLL". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19