Trojaner-Board - Meine Logfile - bitte helft mir beim auswerten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Meine Logfile - bitte helft mir beim auswerten (https://www.trojaner-board.de/29836-logfile-bitte-helft-mir-beim-auswerten.html)

Meine Logfile - bitte helft mir beim auswerten

Hallo,

ich wende mich jetzt an euch, weil ich alleine einfach nicht mehr weiter weiss.
Meinen PC habe ich erst im Dezember gekauft, aber er lahmt total. Ich habe einen HP Pavilion mit AMD Athlon 64 und das Betriebssystem ist Windows XP Home mit Service Pack 2. Hoffentlich reichen diese Angaben. Ich habe mehrfach Antivir durchlaufen lassen und immer hat er diese Sache gefunden und auch gelöscht:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\jbridgep.sys
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Genlot.DX
[INFO] Die Datei wurde gelöscht.

Aber er findet diese Datei immer wieder. Dann habe ich HiJackThis durchlaufen lassen und poste jetzt das Ergebnis. Ich hoffe Ihr könnt mir helfen und meine Angaben reichen. Wenn was fehlen sollte, sagt es mir bitte, dann füge ich das hinzu.

Logfile of HijackThis v1.99.1
Scan saved at 09:26:29, on 09.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\HPQ\SHARED\HPQWMI.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Microsoft Outlook.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop
O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - h**p://msnde.oberon-media.com/online2/MSN_INTL_GERMANY/feeding_frenzy/SproutLauncher.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - h**p://www.playfirst.com/play/game/dinerdash/dinerdash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - c:\PROGRA~1\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\FileZillaFTP\FileZillaServer.exe (file missing)
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\SHARED\HPQWMI.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MySQL - Unknown owner - c:\PROGRA~1\AppServ\mysql\bin\mysqld-nt.exe (file missing)

Vielen Dank für eure Hilfe im vorraus,
SoryuAsuka

Hallo SoryuAsuka,
ich würde dir vorschlagen einen Escan nach dieser Anleitung durchzuführen.http://www.trojaner-board.de/showthread.php?t=17492
Grund sind diese Einträge :
O23 - Service: Apache2 - Unknown owner - c:\PROGRA~1\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - O23 - Service: MySQL - Unknown owner - c:\PROGRA~1\AppServ\mysql\bin\mysqld-nt.exe (file missing)
Auf einem gewöhnlichen Homecomputer ist normalerweise keine Serversoftware.Schon gar nicht drei mal.Es fehlen zwar die Dateien jetzt,aber dagewesen sind sie mal.
Poste die Ergebnisse des EScans.
Irrlicht

Hi,

danke für deine Hilfe.
Also ich hatte mal Serversoftware auf dem Rechner und zwar mit dem Programm Xampp. Ich hatte da mal was ausprobiert mit Homepage-basteln. Das hat aber nicht so funktioniert und dann habe ich das wieder deinstalliert. Anscheinend aber nicht vollständig. :o

Ich habe jetzt den eScanWin durchlaufen lassen und da wurde nix gefunden. Das Protokoll ist sehr sehr lang. Aber wenn ich das richtig verstanden habe, wurde da nix mehr gefunden:

Fri Jun 09 21:35:41 2006 => Gescannte Dateien: 784
Fri Jun 09 21:35:41 2006 => Gefundene Viren: 0
Fri Jun 09 21:35:41 2006 => Anzahl der desinfizierten Dateien: 0
Fri Jun 09 21:35:41 2006 => Umbenannte Dateien: 0
Fri Jun 09 21:35:41 2006 => Anzahl der gelöschten Dateien: 0
Fri Jun 09 21:35:41 2006 => Anzahl Fehler: 0
Fri Jun 09 21:35:41 2006 => Dauer des Scans bisher: 00:00:21
Fri Jun 09 21:35:41 2006 => Virus-Datenbank Datum: 6/9/2006
Fri Jun 09 21:35:41 2006 => Virus-Datenbank Zähler: 191202

Fri Jun 09 21:35:41 2006 => Scan vollständig.

Fr Jun 09 22:04:16 2006 => ***** Analyse vollständig. *****
Fr Jun 09 22:04:16 2006 =>
Fr Jun 09 22:04:16 2006 => Anzahl gescannter Dateien: 27652
Fr Jun 09 22:04:16 2006 => Anzahl infizierter Dateien: 0
Fr Jun 09 22:04:16 2006 => Anzahl desinfizierter Dateien: 0
Fr Jun 09 22:04:16 2006 => Anzahl der umbennanten Dateien: 0
Fr Jun 09 22:04:16 2006 => Anzahl der gelöschten Dateien: 0
Fr Jun 09 22:04:16 2006 => Anzahl Fehler: 0
Fr Jun 09 22:04:16 2006 => Dauer:: 00:28:34

Vielen Dank für die Hilfe,
SoryuAsuka

Hallo,

wurde denn auch alles gescannt? Bei

Zitat:

27652 Dateien und Dauer:: 00:28:34

fände ich das eine bemerkenswert kleine Installation.
Scanne noch mal, wie in der Anleitung beschrieben, dann noch diesen Absatz und das Log ist sehr viel kürzer

Zitat:

[5] Rechtsklick auf die Find.zip -> Ziel speichern unter… z.B. 'C:\Find.zip' -> 'Find.zip' entpacken z.B. 'C:\Find.bat' -> 'Find.bat' doppelklicken und den Scan abwarten -> den Inhalt [6] der automatisch erstellten 'C:\eScan_neu.txt' posten.
An dieser Stelle, vielen Dank an Haui45, dem Autor der Find.bat.
Sollten Probleme beim Ausführen der Find.bat auftreten, dann lies bitte folgenden Thread von Haui durch.
[6] Strg + A (alles markieren) -> Strg + C (kopieren) -> Strg + V (Thread einfügen).

Gruß

Schrulli

Hallo,

also ich habe auch nicht viel auf meinem Rechner, da ich ihn hauptsächlich zum arbeiten benutze. Wenn ich mal ein Spiel spiele und es durch habe, dann deinstalliere ich die immer. Ich habe von 93,1 GB noch 81,1 GB frei.

Ich habe den e-scan noch einmal durchlaufen lassen. Es ist wieder ein elend langes Protokoll. Dann habe ich das von dir beschriebene versucht, aber irgendwie wurde da nix gescannt und demnach auch keine txt-datei erstellt.
Die Datei Find.zip habe ich auf C: gespeichert, nach C: entpackt und doppelt auf die Find.bat - Datei geklickt. Da öffnet sich nur ein Dokument. Kannst du mir bitte sagen, was ich falsch mache?
Vielen Dank
SoryuAsuka

Hallo,

Zitat:

Zitat von SoryuAsuka

Da öffnet sich nur ein Dokument.

diese "C:\eScan_neu.txt"? Wenn ja poste den Inhalt hier.

Gruß

Schrulli

Hi,

ich glaub nicht, das hier öffnet sich:

REM © Haui ;-)
REM Vielen Dank an Cidre und MightyMarc fuer ihre Verbesserungsvorschlaege!

if exist %systemdrive%\bases_x\mwav.log goto 2
mkdir %systemdrive%\bases_x
dir /s /b %systemdrive%\mwav.log>%systemdrive%\Pfad.txt
set /P FILE=<%systemdrive%\Pfad.txt
copy "%FILE%" %systemdrive%\bases_x\
:2
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %systemdrive%\eScan_neu.txt
echo Infektionsmeldungen >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\eScan_neu.txt
findstr /i "System" %systemdrive%\bases_x\mwav.log | findstr /i "found" | findstr /i "infected" >> %systemdrive%\eScan_neu.txt
findstr /i "object" %systemdrive%\bases_x\mwav.log | findstr /i "found" | findstr /i "file" | findstr /i "system" >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo Dateien >> %systemdrive%\escan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo ~~~~ Infected files >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
findstr /i "File" %systemdrive%\bases_x\mwav.log | findstr /i "infected" | findstr /i "by" >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo ~~~~ Offending files >> %systemdrive%\escan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
findstr /i "Offending" %systemdrive%\bases_x\mwav.log | findstr /i "file" >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo ~~~~ Tagged files >> %systemdrive%\escan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
findstr /i "tagged" %systemdrive%\bases_x\mwav.log >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo Ordner >> %systemdrive%\escan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
findstr /i "Offending" %systemdrive%\bases_x\mwav.log | findstr /i "Folder" >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo Registry >> %systemdrive%\escan_neu.txt
echo ~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
findstr /i "Offending" %systemdrive%\bases_x\mwav.log | findstr /i "Key" >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\escan_neu.txt
echo Statistiken: >>%systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\eScan_neu.txt
findstr /i "virus(es)" %systemdrive%\bases_X\mwav.log >> %systemdrive%\eScan_neu.txt
findstr /i "Errors:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\eScan_neu.txt
findstr /i "Elapsed:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\eScan_neu.txt
findstr /i "Scanned:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\eScan_neu.txt
findstr /i "Date:" %systemdrive%\bases_x\mwav.log >> %systemdrive%\eScan_neu.txt
echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> %systemdrive%\eScan_neu.txt
if exist %systemdrive%\Pfad.txt echo -------------------------------------------------- >> %systemdrive%\eScan_neu.txt
if exist %systemdrive%\Pfad.txt echo %FILE% >>%systemdrive%\eScan_neu.txt
if exist %systemdrive%\Pfad.txt echo -------------------------------------------------- >> %systemdrive%\eScan_neu.txt
if exist %systemdrive%\Pfad.txt del %systemdrive%\Pfad.txt
:3 exit

Tut mir leid, dass ich damit irgendwie nicht so richtig klar komme. Vielen vielen Dank für die Hilfe,
SoryuAsuka

Hallo,

die Datei find.bat nicht bearbeiten, sondern "öffnen", dann erhält Du eine Textdatei.

Gruß

Schrulli

Hi,

ich habe die Datei geöffnet. Mit nem Doppelklick auf die Datei. Ich habe das sogar mir rechtsklick und dann öffnen gemacht.

Trotzdem danke für die Hilfe,
SoryuAsuka

Hallo,

nimm diesen Link, entpacken, dann den Ordner öffnen und doppelkilck auf die Datei find.bat.

Jetzt solltest Du ein Ergebnis erhalten, wenn nein, poste genau Dein vorgehen.

Gruß

Schrulli

Hallo,

entschuldige bitte, dass ich mich erst jetzt melde, aber ich bin früher einfach nicht dazu gekommen.

Ich habe jetzt über meinen Bruder einen Computerfreak meinen PC untersuchen lassen. Dieser hat gesagt, es ist nix auf dem PC was nicht drauf gehört und meinte auch, dass ich deshalb so wenig Dateien habe, weil kaum etwas auf meinem PC ist.

Für die Find.bat bin ich wohl zu doof. :headbang: Ich klicke auf den Link den du mir gegeben hast, speicher die Datei in meinem Ordner Downloads. Dann entpacke ich die Datei mit WinRar in einen neuen Ordner Namens Find. In dem Ordner befindet sich dann die Datei Find.bat, diese klicke ich doppelt an und es öffnet sich eine Text-Datei. Ich habe diese Datei auch schon mal direkt auf C: gespeichert und nicht in eigene Dateien, aber es passierte das Gleiche. Ich weiß echt nicht, was ich falsch mache. Aber da der Computerfreak sich das ganze gestern angeschaut hat, werde ich das glaube ich nicht weiter versuchen.

Ich danke euch trotzdem für die Mühe und die Hilfe,
find ich klasse, dass es so hilfsbereite Menschen noch gibt,
SoryuAsuka

Hallo,

die Datei an sich ist eine Stapelverarveitungsdatei mit der Endung .bat überprüfe dies bei Dir. Oder klicke die Datei mittels rechtklick an uns wähle "öffnen".
Wobei die Daten, die Du gesammelt hast mittlerweile schon etwas veraltet sind, wenn Du willst führe einen neuen Scan durch.

Gruß

Schrulli