Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Könnte bitte einer mein HijackThis logfile ansehen (https://www.trojaner-board.de/30483-koennte-bitte-hijackthis-logfile-ansehen.html)

ÖkoFighter 09.07.2006 20:56
Könnte bitte einer mein HijackThis logfile ansehen
 
Hi leute,

könnte mir bitte einer das logfile(wenns das über haubt is)auswerten

ich kann damit leider garnix anfangen..mein´prob is nelich das mein internet seher langsam geworden ist seit gestern...und wenn ich unter www.winamp.com das prog runterladen möchet bricht der nach paar min. ab.


ihr is mein logfile..helft mir bitte..ich hoffe ich muss mein pc nicht neu aufsetzten:(

ile of HijackThis v1.99.1
Scan saved at 21:50:28, on 09.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 85.10.205.8 l2authd.lineage2.com
O1 - Hosts: 85.10.205.8 l2testauthd.lineage2.com
O1 - Hosts: 85.10.205.8 l2patcher.lineage2.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [msnmsgr] ~"C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mellosun 09.07.2006 21:02
Guten Abend,

Dein Log sieht sauber aus. Kannst zur Sicherheit noch nen eScan machen. Zu finden hier.


Gruß Mellosun

felix1 09.07.2006 21:08
Der PC ist nicht sauber. Mache einen escan, genau nach Anleitung und poste das mit der find.bat erzeugte Log.
http://www.trojaner-board.de/showthread.php?t=24192

@Mellosun
Erkläre bitte, wieso das Log sauber ist.:headbang: :headbang:

Mellosun 09.07.2006 21:18
Zitat:
Zitat von felix1

@Mellosun
Erkläre bitte, wieso das Log sauber ist.:headbang: :headbang:

Was gibts da zu erklären: Finde nichts auffälliges. Und nein, mit den 01 Einträgen kann ich nichts anfangen. Aber deswegen ja auch der Tip mit dem eScan!

felix1 09.07.2006 21:54
Zitat:
Zitat von Mellosun
Was gibts da zu erklären: Finde nichts auffälliges. Und nein, mit den 01 Einträgen kann ich nichts anfangen. Aber deswegen ja auch der Tip mit dem eScan!
Wenn Du etwas nicht weisst, dann ist es besser, nicht zu posten und einfach mitlesen.

ÖkoFighter 09.07.2006 22:10
hallo zusammen zur zeit bin ich noch am laden.is ja rekord verdächtig eine 10mb grosse datei in mehr als 15min runter zuladen und das mit dsl.

Mellosun 09.07.2006 22:26
Zitat:
Zitat von felix1
Wenn Du etwas nicht weisst, dann ist es besser, nicht zu posten und einfach mitlesen.

Und wenn du etwas besser weißt, ist es nicht schlecht, andere aufzuklären!

Aber gut.....bin raus!
War oder besser ist nen geiles Bord hier aber wahrscheinlich sind hier doch nur Profis gefragt und niemand, der Lernen will!


Schade,

Gruß Mellosun!

felix1 09.07.2006 22:30
Zitat:
Zitat von Mellosun
Und wenn du etwas besser weißt, ist es nicht schlecht, andere aufzuklären!

Aber gut.....bin raus!
War oder besser ist nen geiles Bord hier aber wahrscheinlich sind hier doch nur Profis gefragt und niemand, der Lernen will!


Schade,

Gruß Mellosun!
Darum geht es nicht. Wenn Du antwortest, übernimmst Du Verantwortung. Im konkreten Fall hast Du mit dem Verweis auf den escan nichts falsch gemacht. Ohne den Verweis hätte es sein können, dass TO mit einer falschen Sicherheit das Thema beendet hätte.

ordell1234 09.07.2006 22:42
@ ökofighter: Mach zusätzlich! zum escan einen scan mit Blacklight und poste das Ergebnis.

Hast du mit Trojanscan bereits etwas entfernt, und wenn ja, was?

@ mellosun: nana, wer wird denn die Flinte so schnell ins Korn werfen? Felix1 ist mit Kritik recht schnell bei der Sache...

@ Felix1: Welchen Verdacht hast du anhand des logs? Lerne auch gern dazu :D. Die Ip scheint sauber zu sein.

:confused: :confused: :confused:

Gruß

cosinus 09.07.2006 22:49
Zitat:
C:\Programme\MessengerPlus! 3\MsgPlus.exe
Der kommt mit Spy- und Adware daher.
Zitat:
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
Ist eine veraltete Version. Aktuell ist 1.5.0_07.
Zitat:
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\HijackThis.exe
:rolleyes:
Die O1-Einträge sehen irgendwie nicht ganz koscher aus...

felix1 09.07.2006 22:54
@Cosinus

Warste mal schneller.:party:
Richtig: bei den 01-Einträgen passen Provider und Adresse nicht.
Beim Rest hast auch Recht:daumenhoc

Mellosun 09.07.2006 22:55
Zitat:
Zitat von cosinus
Der kommt mit Spy- und Adware daher.

Mache mir keine Angst......hab auch MSN drauf, wegen der Arbeit, muss ich mir da jetzt sorgen machen?

@ordell1234

Nene, aufgeben gibts net! Hab schon soviel gelernt, aber hab noch etwas Platz im Kopf! :party:

Wildone 09.07.2006 23:00
Hallo,
also der Messenger3 Plus(hat nichts mit MSN zu tun) bringt nur ev. das Sponsorenprogramm (Lop, Swizzor) mit sich, etwas anderes definitiv nicht. Wenn jemand sich also den installiert und den Haken bei "Sponsorenprogramm nicht installieren" setzt, so ist sein Log deswegen keinesfalls als unsauber zu bezeichnen.

Auch hat ein nicht vollkommen aktuelles System nichts damit zu tunn ob das Log sauber ist, ein Hinweis in die Richtung ist aber natürlich immer sinnvoll.

Und bei den IPs bin ich mir auch nicht so sicher, hat da jemand was eindeutiges das diese von Malware her rühren?


Grüße Wildone

ÖkoFighter 09.07.2006 23:05
so das is das logfile von eSca:
musste sie mit ranhägen war zu lang.

hmm komich die txt datei is zu gross..was kann ich machen?

Mellosun 09.07.2006 23:06
Hab bei der Installation extra drauf geachtet, eine Sponsoren Programme und ähnliches mitzuinstallieren.
Hatte auch vor paar Tagen nen eScan gemacht. Aber wurde nichts gefunden.

Danke für die Aufklärung!



Gruß Mellosun

cosinus 09.07.2006 23:06
Zitat:
Zitat von ÖkoFighter
so das is das logfile von eSca:
musste sie mit ranhägen war zu lang.
Lies die Anleitung komplett, achte auf den unteren Teil mit der FIND.BAT.

Wildone 09.07.2006 23:12
@Mellosun
Würde aber trotzdem eine alternative(Miranda, Trillian) benutzen, denn als sonderlich seriös kann man ein solches Vorgehen ja nicht bezeichen, besonders das es nicht möglich ist das Sposorenprogramm über Systemsteuerung>>Software zu deinstallieren.



Grüße Wildone

Mellosun 09.07.2006 23:20
OK, dank Dir Wildone. Hab mir grad mal Trillian geladen. Werde es morgen mal Installieren und nuzen!

Gruß Mellosun

ÖkoFighter 09.07.2006 23:36
das is das logfile :

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => System found infected with emule P2P-worm (emule.exe)! Action taken: No Action Taken.
Mon Jul 10 00:18:26 2006 => System found infected with emule P2P-worm (template.emuleskin.ini)! Action taken: No Action Taken.
Mon Jul 10 00:18:24 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.
Mon Jul 10 00:18:26 2006 => Object "dope wars Spyware/Adware" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\emule.exe
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\template.emuleskin.ini
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Jul 10 00:18:26 2006 => Offending Folder found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr01.109\nokia 3650-3660 software\software für nokia 7650 und 3650\games\dopewars
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Mon Jul 10 00:18:23 2006 => Offending Key found: HKCU\Software\emule !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Jul 10 00:20:37 2006 => Virus Database Date: 7/9/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




..und so wie ich das jetzt erkenne is emule dran schuld..scheiss prog.

wo finde ich das tool Blacklight?

ordell1234 10.07.2006 00:21
hmm... emule p2p worm ist nicht sehr genau. Es gibt verschiedene Varianten, die idR Backdoors sind. Scanne die infizierten Dateien bei Virustotal oder/ und Jotti und poste das Ergebnis.

Blacklight? Unter Google. 1 Klick. Wetten!

ÖkoFighter 10.07.2006 01:01
logfile zitat:
Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\emule.exe

Mon Jul 10 00:18:26 2006 => Offending file found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr00.156\emule44bv16-webcache-rar\template.emuleskin.ini

Mon Jul 10 00:18:26 2006 => Offending Folder found: C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\temp\rar$dr01.109\nokia 3650-3660 software\software für nokia 7650 und 3650\games\dopewars

denke mal das das der fad is wos gefunden worden ist...habe ich alles bei Jotti gescannt und dort habe ich nix an viren gefunden

ÖkoFighter 10.07.2006 13:18
hallo :)
ich habe jetzt mal ein online scann gemacht....wie kann ich die viren jetzt löschen?oder soll ich kleich das system neu machen?(datrauf habe ich garkein bock:heulen: :heulen: )

Kaspersky Anti-Virus database records: 206071
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: extended
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
C:\
D:\
E:\
F:\
G:\
H:\

Scan Statistics:
Total number of scanned objects: 118904
Number of viruses found: 6
Number of infected objects: 23 / 0
Number of suspicious objects: 0
Duration of the scan process: 01:57:05

Infected Object Name / Virus Name / Last Action
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0002 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0003 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe/data0006 Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip/vnc-4.0-x86_win32.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32.zip ZIP: infected - 4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32_viewer.zip/vnc-4.0-x86_win32_viewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Desktop\Downloade\vnc-4.0-x86_win32_viewer.zip ZIP: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temp\Rar$DR01.109\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temp\Rar$DR01.109\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE NSIS: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37NRZ0P9\ErrorSafeScannerInstallDE[1].cab/UERSU_0001_N68M1402NetInstaller.exe Infected: not-a-virus:Downloader.Win32.WinFixer.d skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\37NRZ0P9\ErrorSafeScannerInstallDE[1].cab CAB: infected - 1 skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006071020060711\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\!!SCHEISS PC GAMES!!\Startmenü\RealVNC\vnc-4.0-x86_win32_viewer.exe Infected: not-a-virus:RemoteAdmin.Win32.WinVNC.4 skipped
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Object is locked skipped
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\Internet Logs\fwdbglog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\fwpktlog.txt Object is locked skipped
C:\WINDOWS\Internet Logs\IAMDB.RDB Object is locked skipped
C:\WINDOWS\Internet Logs\tvDebug.log Object is locked skipped
C:\WINDOWS\Internet Logs\ZOCKER-1985.ldb Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\config\ACEEvent.evt Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\Temp\ZLT02f93.TMP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe/data0004 Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip ZIP: infected - 2 skipped
D:\Incoming\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Bifrose.sz skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe/data0079 Infected: not-a-virus:AdWare.Win32.Lop.ai skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe Inno: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE NSIS: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar RAR: infected - 2 skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped

Scan process completed.

irrlicht 10.07.2006 14:18
Hallo,
mal sehen ob ich das verstehe...:confused:
Zitat:
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe/data0004 Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip/Pocket PC Software/Area Code Reverse Lookup Install File (PocketPC).exe Infected: not-a-virus:AdWare.Win32.OnFlow skipped
D:\emule\Incoming\18 Pocket PC Applications.zip ZIP: infected - 2 skipped
D:\Incoming\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Bifrose.sz skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe/data0079 Infected: not-a-virus:AdWare.Win32.Lop.ai skipped
D:\System Volume Information\_restore{C8279290-F7D6-43B3-999E-42BC1387FF4C}\RP9\A0004326.exe Inno: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software\Software für Nokia 7650 und 3650\SmartMovie+Crack\SMARTMOVIE_KEYGEN.EXE NSIS: infected - 1 skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE/data0003 Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar/NOKIA 3650-3660 Software/Software für Nokia 7650 und 3650/SmartMovie+Crack/SMARTMOVIE_KEYGEN.EXE Infected: not-a-virus:AdWare.Win32.Locator.e skipped
E:\Nokia 2650 Software\NOKIA 3650-3660 Software.rar RAR: infected - 2 skipped
Kaspersky findet ein Laufwerk D und E,die beide im Hijack-Log nicht auftauchen.Auch ist bei HJT keine Rede von "Cracks":koch:
Ich denke mal laut.....:D
Der TO hat eine externe Festplatte und einen USB Stick,auf dem die Bösen und geklauten Sachen sind.Schlaumeier wie er ist,hat er das natürlich nicht mit HJT erfassen lassen.:aplaus:
Lieber schaut er zu,wie sich die Leute über merkwürdige Einträge wundern :pfui:
Neuaufsetzen ist die gerechte Strafe dafür. ;)
Irrlicht

felix1 10.07.2006 14:41
Ich enthalte mich eines Kommentares.:pfui:

ÖkoFighter 10.07.2006 18:23
also meine platte is in 3 laufwerke geteilt also c,d und e..aber wieso erkent Hijack die platen nicht?
also ich habe an den logfile von Hijack nix aber auch garnix geänder...nich mal den windows benutzer name.

Ps:ja ich weiss das mit den cracks is nicht inordnung.SORRY

felix1 10.07.2006 19:52
Bei der Masse an Befall, denke ich, dass Du den PC neu machen solltest.
Du solltest generell Dein Surfverhalten überprüfen.
Filesharing, Keys aus unsicheren Quellen.
Denkst Du ernsthaft, dass Dir jemand etwas umsonst gibt? Der, der den Keygenerator programmiert hat, macht das bestimmt nicht aus Nächstenliebe oder er Dich so toll findet:mad:
Er hat seine Interessen. Und wenn er nur Deine E-Mail-Adressen haben möchte. Das ist noch das kleinere Übel. Vielleicht sind Deine Konto- oder Ebay-Daten für ihn von Bedeutung. Da sieht es schon schlechter aus.

Wildone 10.07.2006 20:04
Hallo,
also ich denke das das bloße löschen der Dateien reichen sollte, ich sehe keienrlei Anzeichen dafür das die Dateien auch ausgeführt worden sind, denn das würde man dann ja (höchstwahrscheinlich) am HijackThis Log sehen.
Der Rest ist aber richtig, solange du mit Cracks rumhantieren wirst, wirst du ein potenziell verseuchtes System haben.
Übrigens ist die Scan Meldung über die Emule.exe wohl ein false positive (wäre ja nicht das erste von Escan).
Wenn du übrigens die Datei:
D:\Incoming\Nero-7.2.0.3b.exe Infected: Backdoor.Win32.Bifrose.sz skipped

ausführst kannst du den Rechner danach direkt formatieren.

Übrigens solltest du mal die Temp Dateien mit Cleanup! löschen und deine Surfgewohnheiten, wie auch schon von felix1 erwähnt, auch gleich überdenken.


Grüße Wildone

ordell1234 10.07.2006 20:13
Hallo,

deaktiviere zusätzlich die Systemwiederherstellung, Rechner neu booten, danach kann der Haken wieder rein.

felix1 10.07.2006 20:18
Bin mir nicht sicher. Dann müsste sich aber auch nochmal um das Log von HJT gekümmert werden.
Wenn Du Dich entscheidest, den PC nicht neu zu machen und nur die Dateien zu löschen, poste am Ende ein neues HJT-Log.

ÖkoFighter 11.07.2006 10:29
guten morgen alle zusammen ich habe gester mein pc neu aufgesetzt habe ZoneAlarm und AntiVir PersonalEdition Classic trauf gemacht.aber mein schei** pc spinnt immer noch ich weiss echt ne weiter. das hier is mein neues logfile von HijackThis..vieleicht kann jemand was finden...escan logfile kommt noch muss mal wieder 24 min warten.



Scan saved at 11:24:16, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\test\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Sunny 11.07.2006 10:42
Hallo,

hattest du zur Zeit des Scans mit Hijackthis 2 Fenster des Internet Explorer´s geöffnet?

Zitat:
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
Nutze abgesehen davon einen sicheren Browser wie Opera oder Firefox :)

Gruß
Daniel

Wildone 11.07.2006 12:03
Hallo,
Zitat:
aber mein schei** pc spinnt immer noch ich weiss echt ne weiter.
Wenn du das nochmal mit drei weitergehend beschreibenden Sätzen erläutern könntest wäre das ganz praktisch.


Grüße Wildone

ÖkoFighter 11.07.2006 12:38
Liste der Anhänge anzeigen (Anzahl: 1)
1.also zb.wenn ich was runterladen möchte (escan)dauert es stunden oder es hält einfach bei ner bestimmten %zahl auf zu laden
2.die internet seiten öffnen sich seher seher langsam
3.siehe bild..ich finde das es nicht normal ist


mitlerweile kann ich escann auch ne mehr runterladen..muss mal gucken ob ich das prog. beim kumpel runterladen kann:(

Wildone 11.07.2006 12:46
Hallo,
schalte mal Zonealarm aus, tritt dann eine Besserung ein?
Wenn nicht solltest du mal die Hardware durchprüfen, Festplatte, Arbeitsspeicher, Temperaturen von CPU, GraKa und Mainboard...



Grüße Wildone

PhaTox 11.07.2006 15:05
Ich habe nach Neuinstallation schon öfter das Problem gehabt, daß das Netzwerk nur langsam lief (wurde in der Schnellstartleiste mit gelbem Rufzeichen angezeigt.)Das lag an der fehlenden eindeutigen Zuweisung von Netzwerkadresse (IP). Sobald ich das gemacht habe, war die Meldung verschwunden und das Netzwerk lief sauber. Kann es daran liegen?

ÖkoFighter 11.07.2006 16:41
hi ich bins mal wieder

also das is das logfile von escan:

Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jul 11 15:34:37 2006 => System found infected with cws.loadadv.400 Browser Hijacker ({5e2121ee-0300-11d4-8d3b-444553540000})! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Tue Jul 11 15:59:49 2006 => File D:\Backup\Downloade\vnc-4.0-x86_win32.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
Tue Jul 11 15:59:49 2006 => File D:\Backup\Downloade\vnc-4.0-x86_win32_viewer.zip tagged as not-a-virus:RemoteAdmin.Win32.WinVNC.4. No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Jul 11 17:26:11 2006 => Total Errors: 13
Tue Jul 11 17:26:11 2006 => Time Elapsed: 01:52:04
Tue Jul 11 17:26:11 2006 => Total Objects Scanned: 86919
Tue Jul 11 15:33:46 2006 => Virus Database Date: 7/8/2006
Tue Jul 11 17:26:11 2006 => Virus Database Date: 7/8/2006
Tue Jul 11 17:26:42 2006 => Virus Database Date: 7/8/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


also meine hardware is ok
und das mit der ip stimmt auch..hmm komsich:confused:
mir is auch aufgefallen das wen ich AntiVir/Ad-Aware updaten möchte der downloade bei ca.47% oder 95% hengenbleibt.und wenn ich ne seite öffnen möchte dauert es wirklich lange..dann drücke ich paar mal aktualisieren und dann öffnet er die seite.vielleicht sollte ich es noch mal neu machen mein system?

Wildone 11.07.2006 16:51
Hallo,
Zitat:
vielleicht sollte ich es noch mal neu machen mein system?
Was sollte das ändern? Malwarefrei ist das System, die eine Meldung von Escan ist ein Fehlalarm.
Zitat:
also meine hardware is ok
Glaubst du, oder hast du es überprüft?

Ansonsten könnte der Ratschlag von PhaTox auch hilfreich sein, hast du das überprüft?

Hast du übrigens die Chipsatztreiber vom Mainboard installiert?



Grüße Wildone

ÖkoFighter 11.07.2006 16:56
Chipsatztreiber habe ich install.
ich weiss es das meine hardware funtz..ich bin jeden dag am dauer zocken und habe nie probs..ich hatte das prob schonmal gehabt(da habe ich das forum aber noch nicht gekannt)da habe ich das win einfach neu aufgesetzt..und dann gings..ich werde heute das win noch mal aufsetzten..und dann mal gucken.

danke für eure hilfe bis jetzt..bis später(bin auch erst mal beruigt das keine viren mehr drauf sind)

ÖkoFighter 11.07.2006 20:43
guten abend

also mein prob hatt sich gelöst*freu*mal sehen wielange
jetzt habe ich ein anderes ich kann meine startseite nicht ändern...hatte schon was im forum drüber gelesen aber nix passendes gefunden
Mal ne frage für was is das SmitfraudFix jetzt so richtig gut?

Wildone 11.07.2006 21:23
Hallo,
Zitat:
Mal ne frage für was is das SmitfraudFix jetzt so richtig gut?
Um Zlob (und Zlobverwandte) Infektionen zu entfernen

Zitat:
jetzt habe ich ein anderes ich kann meine startseite nicht ändern...hatte schon was im forum drüber gelesen aber nix passendes gefunden
Im abgesicherten Modus versucht? Das eigentliche Problem konnte ich noch nicht finden, keine Ahnung woran das liegt, ev. ein MS Update?? Ist aber reine Spekulation.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55