Habe mein HJT-Log ausgewertet - es sind noch Fragen offen
Hallo,
nachdem ich Probleme mit dem Rechner hatte, habe ich einen HijackThis Logfile erstellt und mit Hilfe der folgenden Seiten ausgewertet: - Pacmans-Startuplist (h**p://www.sysinfo.org/startuplist.php),
- Answer that work (h**p://www.answersthatwork.com/),
- CLSID List (h**p://computercops.biz/CLSID.html),
- Reger24 (h**p://www.reger24.de/processes.php),
- FBJ's O18, 20 and 21, 23 (h**p://www.fbeej.dk/index.htm);
wo ich nicht weitergekommen bin, habe ich versucht, über Suchmaschinen etwas im Internet zu finden.
Zur besseren Verständigung habe ich im folgenden die einzelnen Positionen mit fortlaufenden Nummern versehen sowie ggf. einen Kommentar angehängt.
Die Bedeutung der Kommentare: - to be fixed = Malware, die gefixed wird;
- ok = Dateien bleiben bestehen;
- ok? = vermutlich wie vor, aber ich bin mir nicht ganz sicher;
- not required = überflüssige Dateien, die nicht automatisch gestartet werden müssen, ich werde sie ebenfalls fixen;
- userchoice = Dateien, deren Autostart im Ermessen des Users steht, ich werde sie im Autostart belassen;
- ??? = ich habe keine Informationen finden können und weiss nicht, was zu tun ist.
Hier ist der Logfile: Zitat:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 18:30:13, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
01 C:\WINDOWS\System32\smss.exe
02 C:\WINDOWS\system32\csrss.exe
03 C:\WINDOWS\system32\winlogon.exe
04 C:\WINDOWS\system32\services.exe
05 C:\WINDOWS\system32\lsass.exe
06 C:\WINDOWS\system32\svchost.exe
07 C:\WINDOWS\system32\svchost.exe
08 C:\WINDOWS\System32\svchost.exe
09 C:\WINDOWS\System32\svchost.exe
10 C:\WINDOWS\System32\svchost.exe
11 C:\WINDOWS\system32\spoolsv.exe
12 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
13 C:\Programme\Norton Internet Security\NISUM.EXE
14 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
15 C:\Programme\Norton Internet Security\ccPxySvc.exe
16 C:\Programme\Norton AntiVirus\navapsvc.exe
17 C:\WINDOWS\System32\nvsvc32.exe
18 C:\Programme\CardReader2.0\OTiReader.exe
19 C:\Programme\Eumex-Zubehör\TELEDAT\WCOM\SYSTEM\RVSINST.EXE
20 C:\WINDOWS\System32\tcpsvcs.exe
21 C:\WINDOWS\System32\snmp.exe
22 C:\WINDOWS\System32\svchost.exe
23 C:\WINDOWS\system32\wdfmgr.exe
24 C:\Programme\Eumex-Zubehör\TELEDAT\WCOM\SYSTEM\RVSCC.EXE
25 C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
26 C:\WINDOWS\system32\fxssvc.exe
27 C:\WINDOWS\Explorer.EXE
28 G:\Programme\TrueImageMonitor.exe
29 C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
30 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
31 C:\Programme\CardReader2.0\CRBroadCasting.exe
32 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
33 C:\WINDOWS\system32\ctfmon.exe
34 C:\Programme\Messenger\msmsgs.exe
35 C:\Programme\Eumex 704PC DSL\Capictrl.exe
36 C:\Programme\Eumex 704PC DSL\HNetCtrl.exe
37 C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
38 C:\WINDOWS\System32\alg.exe
39 C:\WINDOWS\System32\wbem\wmiprvse.exe
40 C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSCNo.exe
41 C:\Programme\Internet Explorer\iexplore.exe
42 C:\WINDOWS\system32\cmd.exe
43 C:\WINDOWS\system32\devldr32.exe
44 C:\Programme\_DOWNLOAD Web\Malware Deletors\HijackThis.exe
01 ok R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
02 ok R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
03 ??? R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
04 ??? O1 - Hosts: localhost 127.0.0.1
05 ok O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
06 to be fixed O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\eljwo.dll
07 ok O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
08 ok O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
09 ok O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
10 ok O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
11 ok O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
12 to be fixed O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\eljwo.dll
13 not required O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
14 not required O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
15 not required O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
16 userchoice O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
17 not required O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
18 not required O4 - HKLM\..\Run: [Acronis True Image Monitor] "G:\Programme\TrueImageMonitor.exe"
19 userchoice O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
20 ok O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
21 ok O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
22 userchoice O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
23 ok? O4 - HKLM\..\Run: [CRBroadCasting] C:\Programme\CardReader2.0\CRBroadCasting.exe
24 not required O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
25 ??? O4 - HKLM\..\Run: [dmnqo.exe] C:\WINDOWS\system32\dmnqo.exe
26 not required O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
27 not required O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
28 to be fixed O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe"
29 ok? O4 - Global Startup: CAPIControl.lnk = ?
30 ok? O4 - Global Startup: HomeNet Control.lnk = ?
31 not required O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
32 not required O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
33 not required O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
34 ??? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
35 ok? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
36 ok? O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
37 ok O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
38 O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
39 ok O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\_DOWNLOAD Web\Auktionssoftware\schnapper plus\SchnapperPro.exe
40 ok O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
41 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
42 ok? O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
43 to be fixed O17 - HKLM\System\CCS\Services\Tcpip\..\{E2166125-C99E-4DC9-AF41-AA629710F5C5}: NameServer = 85.255.116.45,85.255.112.172
44 userchoice O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
45 ok O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
46 ok O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
47 ok O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
48 ok O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
49 ok O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
50 not required O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
51 ok? O23 - Service: OTi Card Reader Service - Unknown owner - C:\Programme\CardReader2.0\OTiReader.exe
52 ok? O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Eumex-Zubehör\TELEDAT\WCOM\SYSTEM\RVSCC.EXE
53 ok? O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Eumex-Zubehör\TELEDAT\WCOM\SYSTEM\RVSCOMSV.EXE
54 ok? O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Eumex-Zubehör\TELEDAT\WCOM\SYSTEM\RVSINST.EXE
55 ok O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
56 ok O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
57 ok O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
| Zu den einzelnen lfd. Nr. habe ich folgende Fragen bzw. Anmerkungen: Code:
ad 03: laut h**p://castlecops.com/CLSID.html handelt es sich um ein
legitimes Objekt (siehe unter:
http://castlecops.com/tk1398-toolbar_dll_toolbaru_dll.html),
laut Lutz im Trojaner-Info-Forum (siehe unter:
http://www.trojaner-info.de/anleitungen/hijackthis/
htlogtutorial-p2.html#r) sollten R3-Einträge immer gefixt
werden, wenn es sich um kein bekanntes Programm handelt. Ich
kenne das Programm nicht. Der gleiche Name taucht unter lfd.
Nr. 11 und 34 nochmal auf. Was sollte hier unternommen werden?
ad 04: Mit dieser Eintragung kann ich nichts anfangen. Sie entspricht
nicht der üblichen eingetragenen Umleitung in der HOSTS-Datei.
ad 23: Unbekanntes Programm, evtl. Bestandteil eines angeschlossenen
externen Card-Readers. Informationen zu diesem Programm habe
ich nicht finden können.
ad 25: Über dieses Programm habe ich nirgendwo Informationen finden
können.
ad 26: Datei taucht in dieser Schreibweise (unter Berücksichtigung
der Groß-/Kleinschreibung) in keiner der überprüften Startup-
Listen auf. Da die Datei im system32-Ordner gespeichert ist,
gehört sie vermutlich zum System. answerthatwork.com gibt die
Datei als unbedenklich aus. Ich vermute, der Eintrag muss
nicht gefixt werden.
ad 29/30: vermutlich Steuerungsdateien für die verwendete Telefonanlage/
DLS-Router Eumex 704 PC DSL.
ad 34: siehe lfd. Nr. 03
ad 35/36: Ein solcher Button existiert nicht, auch nicht bei den nicht
aktivierten Schaltflächen. Allerdings ist Java auf dem PC
installiert und die Datei ssv.dll gehört zum Java Runtime
Environment.
ad 42: vermutlich ein Plugin für Quick Time Player, muss wohl nicht
gefixt werden.
ad 51: über dieses Programm habe ich nirgendwo Informationen finden
können. Vermutlich Bestandteil eines angeschlossenen externen
Card-Readers, muss wohl nicht gefixt werden.
ad 52-54: über dieses Programm habe ich nirgendwo Informationen finden
können. Vermutlich Bestandteil einer mit der Eumex-Software
gelieferten Kommunikationssoftware, muss wohl nicht gefixt
werden.
Weitere Infos zu diesem Vorgang gibt’s hier im Forum unter dem Thread http://www.trojaner-board.de/showthread.php?t=28433
Danke schonmal vorab für eure Zeit und Hilfe für die Beantwortung der Fragen.
Vielleicht findet sich zusätzlich jemand, der sich mal anschaut, ob meine eigene Auswertung korrekt ist. (Bin auf diesem Gebiet noch ziemlicher Newbie, bis vor drei Tagen wusste ich noch nicht mal, was es überhaupt für Ad- und Spyware gibt, geschweige denn, was wo auf meinem PC gespeichert wird. Aber dieses Forum und die vielen Links sind extrem hilfreich.)
Liebe Grüsse | 