Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte den Log-File posten (https://www.trojaner-board.de/28953-bitte-log-file-posten.html)

Babsinella 01.05.2006 21:08

Log-File dringend prüfen
 
Hallo könntet ihr bitte diesen Log-File anschauen. Mein Internet Explorer und der Rest arbeiten sehr langsam und laufend bekomme ich Warnmeldungen Spywaregefahr.

Logfile of HijackThis v1.99.1
Scan saved at 21:36:14, on 01.05.06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\system32\RAMASST.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\System32\DVDRAMSV.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\EUROFA~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp73E7.tmp
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe
O4 - HKLM\..\Run: [ral] C:\WINDOWS\ral.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ldF0A4.tmp" /m
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamore64.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\miamore64.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\miamore64.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://www.amiuptodate.com/vsc/bin/1,0,0,8/McUpdatePortal.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133280324140
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0B5C656C-0C1E-4F0B-832A-75D16D66755F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{13DD70C0-1159-4D90-A0D8-3907239CC498}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0B5C656C-0C1E-4F0B-832A-75D16D66755F}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: classes - C:\WINDOWS\system32\miamores.dll
O20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll (file missing)
O20 - Winlogon Notify: lindow - C:\WINDOWS\system32\miamore64.dll
O20 - Winlogon Notify: lindows - C:\WINDOWS\system32\miamore.dll (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe
O23 - Service: Intel(R) Active Monitor (imonNT) - Intel Corp. - C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

cosinus 01.05.2006 22:56

Zitat:

Hallo könntet ihr bitte diesen Log-File anschauen. Mein Internet Explorer und der Rest arbeiten sehr langsam und laufend bekomme ich Warnmeldungen Spywaregefahr.
Welche Warnmeldungen bekommst Du genau?
Bitte gewöhn es Dir ab, den IE zu nutzen, und nimm als Standard einen weniger unsicheren Browser, sowas wie Firefox oder Opera sind da besser als der IE.

Zitat:

C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\WINDOWS\ral.exe
C:\WINDOWS\system32\miamores.dll
C:\WINDOWS\system32\miamore64.dll
C:\WINDOWS\system32\1024\ldF0A4.tmp
Diese Dateien bitte bei Jotti oder Virustotal (siehe Sig) prüfen lassen und Ergebnisse posten. Dann sehen wir weiter ob eine Bereinigung lohnt.

Zitat:

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
Die Java-Version, die Du verwendest ist veraltet!

Nachtrag: Die Dateien
> C:\WINDOWS\system32\1024\ldF0A4.tmp
> C:\WINDOWS\system32\hp73E7.tmp
bei Dir im Log deuten auf den Zlob hin. Ich befürchte da tummelt sich aber noch Weiteres.

Babsinella 02.05.2006 18:33

Zitat:

Zitat von cosinus
Welche Warnmeldungen bekommst Du genau?

"Browser Version 4.0 ...Spyware details "stealth SWs114.h!dll"ver.4.442w18a."

"...iworm_attck_v122.02a"


Bitte gewöhn es Dir ab, den IE zu nutzen, und nimm als Standard einen weniger unsicheren Browser, sowas wie Firefox oder Opera sind da besser als der IE.

Ich habe den Opera genommen.

Diese Dateien bitte bei Jotti oder Virustotal (siehe Sig) prüfen lassen und Ergebnisse posten. Dann sehen wir weiter ob eine Bereinigung lohnt.

Scanned file: dcomcfg.exe
dcomcfg.exe - OK
dcomcfg.exe - OK
dcomcfg.exe - OK

Scanned file: atmclk.exe
atmclk.exe - OK
atmclk.exe - OK
atmclk.exe - OK

Scanned file: miamore64.dll - Infected
miamore64.dll - infected by Trojan-Clicker.Win32.Agent.ct
Statistics:
Known viruses: 191092 Updated: 02-05-2006
File size (Kb): 67 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0


C:\WINDOWS\ral.exe ; C:\WINDOWS\system32\1024\ldF0A4.tmp nicht bei mir gefunden."miamores.dll" lies sich nicht scannen.


Die Java-Version, die Du verwendest ist veraltet!

Wie kann ich Sie erneuern??

Nachtrag: Die Dateien
> C:\WINDOWS\system32\1024\ldF0A4.tmp
> C:\WINDOWS\system32\hp73E7.tmp
bei Dir im Log deuten auf den Zlob hin. Ich befürchte da tummelt sich aber noch Weiteres.

Was meinst Du mit "siehe Sig"?

Ich hoffe du kannst mir helfen!

Gruß aus München Ramona

Rene-gad 02.05.2006 18:51

Zitat:

Zitat von Babsinella
Was meinst Du mit "siehe Sig"?

Sig= Signatur: die Zeile(n) unterm Strich.
PS: Bitte zitiere den ganzen Posting nicht.

cosinus 03.05.2006 11:53

Ok, dann probier ich es mal weiter ;)
Du hast anscheinend die Dateien, nicht wie ich meinte, bei Jotti oder Virustotal prüfen lassen, sondern mit einem anderen Scanner. Mit welchem? Mit dem Online-File-Scanner von Kaspersky?

Du hast schonmal wie ich das sehe, mindestens eine Zlob-Variante drauf. Womöglich hat der noch was nachgeladen an Schädlingen, und evtl. war noch "so" was anderes drauf.
Ich vermute, dass einige Dateien nicht gescannt werden konnten, da diese wohl noch aktiv sind und somit den Zugriff auf sich unterbinden. Von daher mach mal lieber einen kompletten Systemcheck mit eScan (Anleitung siehe unten in meiner Signatur). Beachte die Anleitung bitte genau!

btw: Eine Bereinigung wird wohl recht aufwändig und birgt immer das Risiko, dass nicht alle Malware gefunden und somit entfernt wird.
Aber mal schauen was der eScan alles findet.
Zitat:

C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
Nachtrach: Bei Dir läuft ein MSSQL-Server? :confused:

Babsinella 07.05.2006 10:11

"Du hast anscheinend die Dateien, nicht wie ich meinte, bei Jotti oder Virustotal prüfen lassen, sondern mit einem anderen Scanner. Mit welchem? Mit dem Online-File-Scanner von Kaspersky?"

Ja mit dem Kaspersky. Die anderen waren überlastet.

" Bei Dir läuft ein MSSQL-Server?"

Ich würde Ihn gern deinstallieren. Ich habe meinen Pc über mein Firma gekauft bei der ich arbeite und der Händler hat gemeint der Pc wäre für meine Firma und nicht für mich.

So den Escan habe ich durchgeführt und das Ergebnis so weit reduziert und als Anhang angeführt. Ich hoffe ich habe nicht zuviel reduziert.
Natürlich hoffe ich auf eine Lösung, da ich langsam am verzweifeln bin mit dem Ganzen Fehlermeldungen und trallalla.

Danke Ramona

cosinus 08.05.2006 06:38

Zitat:

Ich würde Ihn gern deinstallieren. Ich habe meinen Pc über mein Firma gekauft bei der ich arbeite und der Händler hat gemeint der Pc wäre für meine Firma und nicht für mich.
Was hindert Dich daran ihn zu installieren? Wirst Du gezwungen den zu behalten?
Du hast den PC gekauft (also Dein Eigentum) aber Deine Firma entscheidet, welche Software installiert ist? :confused:
Die beanstandeten Objekte von eScan:
Zitat:

C:\winlink
C:\WINDOWS\system32\1024
C:\Programme\myway
C:\Programme\mywebsearch
C:\Programme\Gemeinsame Dateien\winsoftware
C:\dimitxx.chm
C:\WINDOWS\system32\miamore64.dll
Kannst Du nach eigener Prüfung löschen. Manchmal werden auch legitime Ordner/Dateien von Virenscannern beanstandet.
Leere auch sämtliche temporäre Ordner. Dabei kann Dir Clearprog helfen.

Da wohl noch einige Malwarereste in der Registry verbleiben, solltest Du mit Ewido (14-Tage-Testversion) nochmal Dein System scannen und bereinigen lassen. Auch ein Check mit Spybot S&D wäre sinnvoll. Bitte vor dem Scannen beide Programme updaten.

Killburn 08.05.2006 13:16

Also ich würd einiges fixen:
1. C:\WINDOWS\system32\dcomcfg.exe mit diesem Programmhttp://www.chip.de/downloads/c1_downloads_18169812.html

2.C:\WINDOWS\system32\atmclk.exe wie beim ersten auch!!

3.R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =mit HighjackThis fixen!!

4.O2 - BHO: (no name) - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp73E7.tmp sagt mir nichts würd ich aber fixen warte aber auf Rat von Anderen!!

5.20 - Winlogon Notify: eventss - C:\WINDOWS\system32\atmpvc.dll (file missing) mit HighjackThis löschen!!

6. O20 - Winlogon Notify: lindows - C:\WINDOWS\system32\miamore.dl lAuch mit HighjackThis löschen!!

Mfg, Killburn

Babsinella 08.05.2006 14:54

Hallo Cosinus,

was heisst nach "eigener Prüfung löschen" ?? Wie??

Ich würde den Sql deinstallieren, wenn ich wüßte wie, zwingen tut mich keiner.

Ramona

cosinus 08.05.2006 21:36

Mit "eigener Prüfung" meinte ich, dass Du die Programme bzw. Ordner noch mal selber durchschaust, weil die für Dich ja wichtig sein _könnten_. Da ich aber nicht allwissend bin und mir diese Objekte überflüssig erschienen, erwähnte ich das ;) IMHO solltest Du den Krams aber sicher löschen können.
Den MSSQL-Server kannst Du, (oh Wunder) wie jedes andere Programm auch, in Systemsteuerung => Software entfernen.
Nach der Löschaktion bitte ein neues Logfile mit Hijackthis erstellen und posten.

Babsinella 09.05.2006 06:30

Hallo Cosinus,

danke für die Anwort. Ich wollte Dir nicht zu nahe treten, aber wie löschen?
Meinst du fixen mit dem Programm? Weil der miamores64.dll lässt sich nicht einfach löschen.

Ich frage deshalb "o Wunder"???:dummguck: weil ich in meiner Software -->Programme entfernen - Liste den "SQL" nicht als solche namentlich erkennen kann??
Hat dieses Programm vielleicht einen anderen Namen. Im Ordner "SQL" kann ich auch keine Datei finden die "uninstall" heißt.

Sorry, wenn dir die Fragen zu blöd erscheinen, aber nicht jeder ist auf deinem Wissensstand.:)

Liebe Grüße

Ramona

cosinus 09.05.2006 09:18

Notfalls kannst Du die Dateien mit Killbox löschen (Delete on Reboot) wenn diese gelockt sind und sich deshalb nicht auf normalem Weg entfernen lassen.
Hm..der Eintrag zum SQL-Server taucht nicht mehr in der Liste der installierten Software auf? :dummguck: Dann könnte man manuell den SQL-Ordner löschen mit dem Regcleaner verbliebene Registry-Einträge entfernen.
Wenn's Dir komplett zu bunt wird, kannst Du auch immer noch neu aufsetzen! :daumenhoc

Babsinella 09.05.2006 19:23

Vielen Dank !!!!!

Leider lässt sich der Ordner "SQL" nicht löschen. Fehlermeldung "opends.dll kann nich gelöscht werden".

Aber sonst war alles erfolgreich. Keine quälende Fehlermeldung.

Nochmals vielen Dank!!!

Ramona


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:06 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19