Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Erstes Hijackthis-Logfile, bitte um Prüfung (https://www.trojaner-board.de/30038-erstes-hijackthis-logfile-bitte-um-pruefung.html)

schildi 18.06.2006 12:58
Erstes Hijackthis-Logfile, bitte um Prüfung
 
Hallo an alle,
unser "Familien-computer" macht uns seit einiger zeit etwas Sorgen. Wir hatten ihn zwar schon einmal zur Reparatur gebracht (wegen Blitzschlagschäden) doch als wir ihn wieder in Betrieb nahmen mussten wir feststellen, dass keine Anti-Viren-Software mehr aktiv war. Anschließend hatten wir so viele Viren drauf, dass wir den PC nochmals komplett neuafsetzen mussten. Eine zeitlang war dann Ruhe aber jetzt haben wir folgende Probleme:
-erstmal startet der PC extrem langsam und auch Anwendungen (egal ob das Öffnen eines Ordners oder das Ausführe eines Programmes) verlaufen verzögert.
-im Taskmanager werden Prozesse angezeigt wie : TheMatrixHasYou und Omcamcap, die uns völlig unbekannt sind ( nach der Boardsuche fanden wir keine Ergebnisse dazu)

Da wir mit der Hilfe des Trojaner-Boardes schon Spy-Sheriff erfolgreich löschen konnten hoffen wir jetzt, dass ihr uns auch bei diesem Problem helfen könnt. Ich habe hier gleichmal ein Hijackthis-Logfile gepostet und hoffe, (weil ich das zum ersten Mal mache) dass ich alle Links und persönliche Daten geändert habe.
Ich würde mich sehr über eure Hilfe freuen.


Logfile of HijackThis v1.99.1
Scan saved at 11:29:15, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\asn.exe
C:\windows\system32\spool\printers\FireDaemon.exe
C:\WINDOWS\system32\spool\PRINTERS\dll32.exe
C:\windows\system32\spool\printers\FireDaemon.exe
C:\WINDOWS\system32\nvsec.exe
c:\windows\system32\spool\printers\events.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\vdmsec.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\dxvwmkoa.exe
C:\Program Files\mdhff.exe
C:\WINDOWS\System32\rpcc.exe
C:\WINDOWS\System32\HIMENSYST.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Anti-SpySheriff\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\xyur.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\xyur.exe
c:\ufjwwltk.exe
c:\Program Files\vaws.exe
c:\nicqxakl.exe
c:\nicqxakl.exe
C:\WINDOWS\System32\0mcamcap.exe
C:\WINDOWS\System32\TheMatrixHasYou.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {7D1031FC-AB4F-D1B2-48A0-85CA9424E2C1} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTI-S~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\System32\ipv4mons.dll
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\gebcc.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\pmkjj.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\System32\dxvwmkoa.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\mdhff.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Anti-SpySheriff\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [Microsoft System Saver] kwanah.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\schild\Dokumente und Einstellungen\***\ICQ Lite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - h**p://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136326658609
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EDDE154-C261-4093-9D6B-F40D18FF2DD8}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
O20 - Winlogon Notify: gebcc - C:\WINDOWS\System32\gebcc.dll
O20 - Winlogon Notify: ideusr50 - C:\WINDOWS\SYSTEM32\ideusr50.dll
O20 - Winlogon Notify: mmxeroxk - mmxeroxk.dll (file missing)
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\SYSTEM32\pmkjj.dll
O20 - Winlogon Notify: se500mdm - se500mdm.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\j6j60g1se6.dll (file missing)
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\aabcdocn.dll (file missing)
O21 - SSODL: SysTray.Exinv - {2363ECFC-4E5D-2f3b-B384-D67432FC72F6} - (no file)
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dxvwmkoa.exe
O23 - Service: ASN Service (asn.exe) - Unknown owner - C:\WINDOWS\asn.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
O23 - Service: FireDaemon Service: dll32 (dll32) - Sublime Solutions Pty Ltd - C:\windows\system32\spool\printers\FireDaemon.exe
O23 - Service: FireDaemon Service: events (events) - Sublime Solutions Pty Ltd - C:\windows\system32\spool\printers\FireDaemon.exe
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)
O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

ordell1234 18.06.2006 13:42
Eine hübsche Sammlung an Würmern und Trojanern hast du da. Setze dein System neu auf, sonst wirst du nicht glücklich. Eine gute Anleitung findest du bei den FAQ. Patche insb. dein OS!

Markus1234 18.06.2006 13:43
Ich würde euren Rechner gerne als EXTREMST-VERSEUCHTESTER PC des Jahres 2006 nominieren :daumenhoc

Es sind leider Duzzende Einträge zu erkennen, die auf Netzwerkwürmer/Backdoors hinweisen.

Backdoors an sich kann man nicht entfernen, da sie sich tief in das System eingraben und praktisch immer wieder kommen. Ganz zu schweigen vom angerichteten Schaden und den offenen Hintertürchen (PC ist nimmer unter eurer Kontrolle - etwa 20 Leute teilen sich diese nun :party:)

Grund dafür - wohl die übermütigen Kids die auf alles klicken was sich bewegt. Eine gute Lern-Vorkehrung wäre es, wenn du Ihnen die in meiner Signatur verlinkte Anleitung zum Neuaufsetzen zu lernen gibst und jedesmal, wenn sich wieder ein Backdoor einnistet, die Kids den Computer neu installieren lässt. Also Formatieren, Windows installieren, Windows einrichten ... Updates ect aufspielen, Software installieren uvm.

Das wirkt bestimmt :daumenhoc

Achja, da es gerade ein bisschen undeutlich war, das System nach der in meiner Signatur verlinkten Anleitung zum Neuaufsetzen, Neuaufsetzen!

mfg,
Markus

irrlicht 18.06.2006 13:51
Hallo schildi,
mein Respekt !!:party:
Das ist die verseuchteste Kiste,die seit langem hier war...:pfui:
Schnellstens vom Netz trennen und neuaufsetzen nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=12154
Jeden Tag den du länger damit wartest bringt dich der Bekanntschaft mit Polizei und Staatsanwaltschaft unablässig näher :kloppen:
Irrlicht

ordell1234 18.06.2006 14:02
PS: Überdenkt euer Surf- und Downloadverhalten. Viren kommt nicht durch den Ausfall eines Antivirenprogramms auf den PC. Gruß

schildi 18.06.2006 14:39
Danke schon mal an euch alle.^^
Wenn der PC das überlebt :balla: meld ich mich nochmal, dann hoffentlich ohne Viren, Würmer etc.
Gruß, schildi


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131