Trojaner-Board - Bitte um Überprüfung des Logfiles

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Überprüfung des Logfiles (https://www.trojaner-board.de/29818-bitte-um-uberpruefung-logfiles.html)

Bitte um Überprüfung des Logfiles

anbei meine generierte logfile.
Bitte um Überprüfung auf Spyware, Malware und der gleichen.

Logfile of HijackThis v1.99.1
Scan saved at 09:33:30, on 08.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Prevx1\PXConsole.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$MESONIC\Binn\sqlservr.exe
C:\WINDOWS\system32\niSvcLoc.exe
C:\Programme\Prevx1\PXAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\system32\nipalsm.exe
C:\WINDOWS\system32\nipalsm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\CHARLY\Eigene Dateien\Eigene Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stargames.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx\pxbho.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\CanonIP2000\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PrevxOne] C:\Programme\Prevx1\PXConsole.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\CanonIP2000\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36669D80-D50C-45FA-9675-2A46C5698A6E} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CD68939-7352-49B8-9A7B-5D1F5B395D13}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: nidevldu - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: nipxirmu - National Instruments Corporation - C:\WINDOWS\system32\nipalsm.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\system32\niSvcLoc.exe
O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Programme\HHVcdV7Sys\VC7SecS.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

@badcompamny1
Bitte die Goldenen 7 Regeln lesen, Posting etsprechend korrigieren.
Danke.

Rene-gad,
zu Deinem Hinweis auf die 7 goldenen Regeln folgende Anmerkungen meinerseits:
1.Habe mir irgendeine Malware eingefangen, die ich in den Letzten Tagen mehrmals gegoogelt habe, aber und das ist der springende Punkt auf unterschiedlichste Malwareinfektionen und Bereinigung dieser Infektionen hingewiesen worden bin.

2. Mein Problem habe ich klar geschlidert: Bitte um Auswertung des Hijack Logfiles von den hier anwesenden Experten, da die automatischen Auswertungen schon wieder unterschiedliche Ergebnisse ergeben ( Prevx zeigt zum Beispiel zum erstenmal die Malware Rouge AS. Checkflow an mit der infizierten Datei SHDOCVW.Dll ).

3. Aussagekräftiger Titel: "Bitte um Überprüfung des Logfiles" ist meiner Meinung nach vorhanden

4. Verständliches Deutsch? glaube ja

5. Problem genau beschrieben? ja, da ich dieses Logfile nicht auswerten kann

6. Helfer Hinweise gelesen und befolgt? ja hiermit

7. Quelle ist Hijack

mfg
badcompamny1

Du solltest aber mal einige Problembeschreibungen angeben! Einfach auf Spyware zu überprüfen ist keine Problembeschreibung! z.B. Woher du weißt/glaubst, dass du dir Malware eingefangen hast.

Andi Hessen,
woher ich die Malware eingefangen habe? keine Ahnung?
Spyboot und ein mehrere Houscalls bei Trend Micro haben immer unterschiedliche Infektionen angezeigt, die ich mit Hilfe dieser beiden Tools auch bereinigt habe. Diese beiden Tools finden auch nichts mehr.
Prevx hat nun bei der automatischen Auswertung des Hijack Logfiles die Malware Rouge AS Checkflow mit der infizierten Datei Windows/System32/SHDOCVW.DLL festgestellt.
Die andere automatische Auswertung hat nur den Eintrag "O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)" als unnötig eingestuft und sonst ist alles in Ordnung.
Weiss nun nicht mehr welcher Auswertung ich glauben darf.
Bitte um Mithilfe bei der Auswertung meines Logfiles.

badcompamny

@badcompamny1

Zitat:

Prevx hat nun bei der automatischen Auswertung des Hijack Logfiles die Malware Rouge AS Checkflow mit der infizierten Datei Windows/System32/SHDOCVW.DLL festgestellt.

Komisch, allerdings:

Zitat:

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Programme\Prevx1\PXAgent.exe" -f (file missing)
Dieser Dienst (PXAgent.exe) wurde als gut identifiziert.

Hallo Rene-gad,
Prevx wird in der Besucherbewertung ( 5 Sterne) als "very good spyware scanner" angegeben.
Habe diese Programm gestern installiert. Bis dato hat es bei mir 5 Einträge gefunden, die auch schon im Jail ( Quarantäne ) sind:
1. C/Sytem Volume Information/_Restore........./A0000537.exe 63 KB
2. C/Sytem Volume Information/_Restore........./A0000538.exe 8 KB
3. C/Sytem Volume Information/_Restore........./A0000570.exe 164 KB
4. C/Windows/System32/QXKJMCKY.exe 9 KB
5. C/Windows/IP2000/uninstall.exe

Der 5. Eintrag, die uninstall Datei meines Druckers scheint mir suspekt; was meint Ihr dazu?

badcompamny

Die ersten drei Schädling haben sich in die Systemwiederherstellung eingenistet, deaktivier diese.

Zitat:

4. C:\Windows\System32\QXKJMCKY.exe 9 KB
5. C:\Windows\IP2000\uninstall.exe

Welche Schädlinge sind das bzw. als was werden sie erkannt? Hast Du die schonmal bei Virustotal ausgewertet? Mach das doch mal und poste die Ergebnisse.

Hi,
die Prüfung der Dateien mit Virus Total ergab no virus found.

Prevx zeigt mir aber immer noch 1 infizierte Malware nach automatischer Auswertung meines aktuellen Hijack Logfile: Rouge.AS. Checkflow und Datei %Windir%\system32\shdocvw.dll, obwohl auch diese Datei Virus Total als sicher gewertet hat.

Was tun?
Über diese Malware Rouge.AS. Checkflow finde ich auch im Internet nichts.

Bitte um Hilfe,
badcompamny1

Poste dir Ergebnisse von Virustotal per Copy & Paste. Ich vermute, dass die wahrscheinlich noch aktiven Schädlinge den ZUgriff auf sich selbst blockieren.

Hallo,
eine andere Möglichkeit wäre wenn dieser Supermann :

Zitat:

Prevx wird in der Besucherbewertung ( 5 Sterne) als "very good spyware scanner" angegeben

vielleicht "etwas findet" um als "very good Programm" so um Käufer bettelt.
Also in der Testversion Sachen findet, die das Programm nur in der Kaufversion entfernen kann.
Wäre nicht die erste Verkaufsförderung dieser Art...;)
Irrlicht

Hallo badcompamny1,

Zitat:

Was tun?
Über diese Malware Rouge.AS. Checkflow finde ich auch im Internet nichts.

Nichts, da Fehlalarm!

@irrlicht,

warum so kompliziert, wenn es einfacher geht.

Hi cosinus,
ich verstehe deinen Rat nicht die Ergebnisse von Virus Total per copy and paste zu senden nicht. Es steht überall in den Einträgen bei allen Dateien: no virus found
Soll ich das System im abgesicherten Modus testen? und wenn ja mit welcher Methode?

Übrigens Spyboot und mehrere House Calls bei Trend Micro zeigen mit ein einwandfreies System.

Nur Prevx findet als einziger noch bei der automatischen Auswertung des aktuellen Hijack Logfiles die eine Malware Rouge.AS. Checkflow.

Was ist eure Meinung von Prevx?

Danke im voraus,
badcompamny

Hallo,
@Dartus
Manchmal sehe ich mir selbst gern beim Schreiben zu....:cool:
Wie du aber sehen kannst,ist weder meine langatmige Einlassung noch deine "in der Kürze liegt die Würze"-Bemerkung beim TO angekommen..:D
Der TO sieht sich noch immer umzingelt...:lach:
Irrlicht

Hi Irrlicht,
sorry habe heute früh deinen Beitrag und den von Dart leider nicht gelesen ( vergessen zum umblättern auf die 2. Seite ).
Verstehe aber trotdem nicht wie solche Software, wie Prevx, bis dato nicht von mehreren usern entsprechend eingestuft worden ist, nämlich als software, die nichts taugt.
Man findet auch keine aktuellen Meinungen zu prevx im Internet.

Danke nochmals für die Antworten,
badcompamny1