Trojaner-Board - my HiJackThis log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - my HiJackThis log - bitte bitte... (https://www.trojaner-board.de/27647-my-hijackthis-log-bitte-bitte.html)

my HiJackThis log - bitte bitte...

o.k. danke erstmal das ihr hier reinschaut...

folgendes, hab eine HQX datei runtergeladen (attachment e-mail - nicht vertrauenswürdig), die ich nicht entpacken konnte. weil eine mac-datei - weiß ich aber leider erst jetzt. in der folge habe ich einen multi-entpacker runtergeladen - ohne erfolg. weil ich ein bisschen panisch wurde - dachte an einen virus - habe ich versucht die datei vom rechner zu kriegen und ANTIVIR runtergeladen. nach dem neustart ging nix mehr, kein button ließ sich vom desktop aus starten, das startmenü liess sich nicht öffnen, etc. irgendwann bin doch noch - nach endloser ladezeit - in die systemstreuerung gekommen und hab PESTPATROL u. E-Trust löschen können. wahrscheinlich haben die sich ggseitig blockiert...

das system läuft nun wieder gut, bin aber trotzdem noch panisch, weil ich nachträglich eine warnung von einem anderen mailing-list user kam, die sagte, besagte HQX datei sei infiziert (nicht öffnen)! na ja, war zu halt zu spät.

also, sorry für den roman, hier ist mein log. wenn ihr bitte posten könntet was euch dazu einfällt....

vielen, vielen dank. cheers, simon.

Logfile of HijackThis v1.99.1
Scan saved at 15:13:22, on 18.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX00.797\HijackThis.exe

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [ViewMgr] C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE /nosplash
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O8 - Extra context menu item: &Search - h**p://ku.bar.need2find.com/KU/menusearch.html?p=KU
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/08d40a72d3bd1a562b06/netzip/RdxIE601_de.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - h**p://chat.yahoo.com/cab/yvwrctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF5847D7-8B3D-40E1-A0CA-681F0898372E}: NameServer = 217.237.148.65 217.237.148.33
O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

habe gerade bei HiJackThis.de eine automatische auswertung der logfile gemacht - sieht ziemlich dramatisch aus...

die sagt mir nun dinge wie "unbedingt fixen", "überprüfen sie" und so - aber wie, sagt sie mir nicht... :dummguck:

what to do?

hier die auswahl der "böse", "evtl. böse" markierten teile........

C:\Programme\ScanSoft\OmniPageSE\opware32.exe
Gut Laufender Prozess. (opware32.exe)
Eventuell Böse! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\caere\omnipa~1.0\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch.

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
Unnötig Einige Programme sind hier schlecht. Das eingegebene Programm ([00D6A7E7-4A97-456f-848A-3B75BF7554D7] - Treffer: 00D6A7E7-4A97-456f-848A-3B75BF7554D7) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann! O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} –

C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([0494D0D1-F8E0-41ad-92A3-14154ECE70AC] - Treffer: 0494D0D1-F8E0-41ad-92A3-14154ECE70AC) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([4D1C4E81-A32A-416b-BCDB-33B3EF3617D3] - Treffer: 4D1C4E81-A32A-416b-BCDB-33B3EF3617D3) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen! O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-

A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)
Unnötig Einige Programme sind hier schlecht. Das eingegebene Programm ([59879FA4-4790-461c-A1CC-4EC4DE4CA483] - Treffer: 59879FA4-4790-461c-A1CC-4EC4DE4CA483) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen!
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([A7327C09-B521-4EDB-8509-7D2660C9EC98] - Treffer: A7327C09-B521-4EDB-8509-7D2660C9EC98) wurde überprüft. Trefferquote: 99 %
Unbedingt fixen! O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-

9DAF-2561D68B2012} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll
Böse Einige Programme sind hier schlecht. Das eingegebene Programm ([F8AD5AA5-D966-4667-9DAF-2561D68B2012] - Treffer: F8AD5AA5-D966-4667-9DAF-2561D68B2012) wurde überprüft. Wenn der Name aus zufälligen Zeichen besteht, sich im Verzeichnis 'Application Data' (Anwendungsdaten) befindet und die Art 'Unbekannt' ist, fixen. Trefferquote: 99 %
Sollte gefixt werden!

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
Böse hijacker
Trefferquote: 99 % (Resultate)
Unbedingt fixen!

O8 - Extra context menu item: &Search - h**p://ku.bar.need2find.com/KU/menusearch.html?p=KU
Böse Der Eintrag &Search wurde als Böse erkannt.

O8 - Extra context menu item: &Viewpoint Search –
res://C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
Böse Der Eintrag &Viewpoint Search wurde als Böse erkannt.

O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - h**p://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
Eventuell Böse Unbekannte ActiveX-Objekte, bzw. ActiveX-Objekte von unbekannten Seiten sollten mit HijackThis gefixt werden. Beinhaltet der Name des ActiveX-Objekts bzw. die angegebene URL Worte wie 'dialer', 'casino', 'free_plugin' etc, sollten diese unbedingt gefixt werden!
Prüfen ob Sie

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\PROGRA~1\RXTOOL~1\sfcont.dll
Böse Nur wenige Hijacker werden hier angezeigt. Die bekannten sind 'cn' (CommonName) , 'ayb' (Lop.com) und 'relatedlinks' (Huntbar) . Diese sollten mit HijackThis gefixt werden.
Sollte gefixt werden!

cheers, simon.

also die bei denen da steht unbedingt fixen, kannst du auf jeden fall weg machen! auch wenn ich hier noch warte, bis sich jemand mal mein log anschaut, so viel weiß ich ;) wenn du hijack this laufen gelassen hast, sind die ganzen dinger ja aufgelistet (in dem program, nich die log-file) und da kannst du vornedran n häkchen rein setzen und dann auf "fix checked" klicken... also schau dir halt nochmal an welches das waren und dann fix die :)

würd sagen die sollen auf jeden fall weg:

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} – C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL

O2 - BHO: RXResultTracker Class - {59879FA4-4790-461c-
A1CC-4EC4DE4CA483} - C:\PROGRA~1\RXTOOL~1\sfcont.dll (file missing)

O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe

O8 - Extra context menu item: &Search - h**p://ku.bar.need2find.com/KU/menusearch.html?p=KU

O8 - Extra context menu item: &Viewpoint Search –
res://C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML

lg lena

stimme zu, alles orange/rote gekennzeichnete fixen, neustarten und virenscann machen ...

unbekannte dateianhänge zu öffnen ist wirklich sehr sehr dumm.

aber noch dümmer ist es, dies ohne aktiven virenschutz zu machen. :daumenhoc

poste dann bitte ein neues hijackthis logfile