Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   PC der Freundin... (https://www.trojaner-board.de/27390-pc-freundin.html)

aut 07.03.2006 12:37
PC der Freundin...
 
Moin Leute,

ich habe nach Durchläufen von AdAware, Spybot und Antivir (wobei insbesondere die letzteren beiden eine Menge gefunden haben) auch einmal HJT verwendet, womit ich bisher noch keine Erfahrung habe. Die Log sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:31, on 07.03.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
C:\Programme\Trafficdetector3\catcher_.exe
C:\Programme\Trafficdetector3\SpeedMinifenster.exe
C:\Programme\Trafficdetector3\minifenster.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://GLOBAL.ACER.COM/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://www.google.at
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h*tp://www.macromedia.com/de/support/flashplayer/help/settings/global_notify.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8BC47A4E-DA2C-734E-3DF5-5D4FAF261357} - C:\WINDOWS\System32\rxqfxrus.dll
O2 - BHO: (no name) - {90F89F71-A9C7-765A-6A32-BCE31F10E753} - C:\WINDOWS\System32\ytgpehdu.dll
O2 - BHO: (no name) - {A3E9C9C6-1FF8-F8E4-D72F-E6F2B5F4A4F9} - C:\WINDOWS\System32\mwsrmuvu.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\COMPAN~1\INSTALLS\cpn\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MPS] C:\ACER\PSM.EXE
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Programme\Acer\Desktop Manager\admtray.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Trafficdetector.lnk = C:\Programme\Trafficdetector3\TrafficdetectorV3.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h*tp://advnt03.com/dialer/internazionale_ver10.CAB
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - h*tp://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C983F1-E045-4D22-9084-4DEB4BCE22CB}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{54C983F1-E045-4D22-9084-4DEB4BCE22CB}: NameServer = 195.3.96.67 195.3.96.68
O18 - Filter: text/html - {BDE163EB-3885-432A-810D-3BC149EE4266} - C:\Dokumente und Einstellungen\XYZ\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.39.dat
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: mtklefap - {028DE82D-F702-46F5-C3B0-5875B0BBC60D} - C:\WINDOWS\System32\wwmdt32.dll (file missing)
O23 - Service: Hardware Monitoring Program (ADMService) - Unknown owner - C:\Programme\Acer\Desktop Manager\admServ.exe (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: dmoztsjfldyl (nvpgbwtv5) - Unknown owner - C:\WINDOWS\System32\frsyetyd5.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Einige Sachen sind ja offensichtlich nicht ganz sauber, "dmoztsjfldyl" z.B. sieht für mich nach SubSeven o.Ä. aus. Für eure Einschätzung der Log wäre ich sehr dankbar!

[edit]
Da fällt mir noch ein: Ab und zu startet der PC ohne Vorwarnung neu.
[/edit]

stupormundi 07.03.2006 13:25
Servus, aut!

In diesem veraltetem System (SP2 fehlt) finde ich Dialer, einen Downloader und sonst noch einige Einträge, die ich ad hoc nicht zuordnen kann (müssten noch näher untersucht werden), die aber sicher nichts im Logfile und auf diesem Computer zu suchen haben!

imho wäre der kürzere und auch sicherere Weg, gleich hier dieses System neu aufzusetzen und g'scheit abzusichern und Dir so lange Diagnostik und zweifelhafte Therapie zu ersparen.

stupormundi

irrlicht 07.03.2006 13:32
Eine kleine Anmerkung noch zu Stupormondis weisem Rat.....
Welche Art der Internetanbindung wird benutzt ?
Sollte es DSL sein,ist alles gut und zügiges Neuaufsetzen angezeigt.Bei jeder anderen Art der Anbindung sollte für spätere eventuelle Streiterreihen über die Höhe der Telefon bzw.Internetkosten dieser hier gesichert werden :
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h*tp://advnt03.com/dialer/internazionale_ver10.CAB
Irrlicht

stupormundi 07.03.2006 13:38
@ irrlicht: full ack und thx!
:party:
stupormundi


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131