Trojaner-Board - Bitte um Hilfe bei HJT Log-File

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe bei HJT Log-File (https://www.trojaner-board.de/33085-bitte-um-hilfe-hjt-log-file.html)

Bitte um Hilfe bei HJT Log-File

Hallo,
Ich habe vor ungefähr zwei Wochen meinen Rechner formatiert, seit dem bekomme ich pro Tag mindestens eine Virusmeldung trotz Antivir und Adaware.
Ich hab das jetzt mal mit HJT probiert, wäre nett wenn mit jemand bei der Auswertung der Log helfen würde.

----------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:01:42, on 23.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.mymtw.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158370659404
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158370649482
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A75B7CBF-6E9B-49B6-A8C8-FBD0A608317C}: NameServer = 217.237.151.33 217.237.150.205
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

---------------------
Dankeschön schonmal.

MfG sali

Zitat:

Ich habe vor ungefähr zwei Wochen meinen Rechner formatiert, seit dem bekomme ich pro Tag mindestens eine Virusmeldung trotz Antivir und Adaware.

Warum postest Du nicht die genauen Meldungen? Mit diesen Angaben kann man fast nichts anfangen. Ein Virenscanner ist kein Garant für ein sauberes System!

Zitat:

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

Das Ding sieht garnicht gut aus. Werte die Datei doch mal bei Jotti aus und poste das komplette Ergebnis inkl. Angaben zu Dateigrößen und Hashes.

TR/Proxy.Horst.Gen C:\System Volume Information\_restore{1FBCB2D7-ACE5-4980-964B-E9CF7EFF1CEA}\RP52\A0014564.exe

BDS/Agent.WV C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\52exinjs.g.exe

TR/Proxy.Horst.EQ.3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\50exssd32.9.exe

BDS/Agent.WV C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\50exinjs.g.exe

BDS/Agent.WV C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\4exinjs.g.exe

TR/Proxy.Horst.EQ.3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\49exssd32.9.exe

TR/Proxy.Horst.EQ.3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\45exssd32.9.exe

TR/Proxy.Horst.Gen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\49exmodul32e.b.exe

TR/Proxy.Horst.Gen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\46exmodul32e.b.exe

TR/Proxy.Horst.KJ C:\System Volume Information\_restore{1FBCB2D7-ACE5-4980-964B-E9CF7EFF1CEA}\RP46\A0013809.exe

TR/Proxy.Horst.Gen C:\System Volume Information\_restore{1FBCB2D7-ACE5-4980-964B-E9CF7EFF1CEA}\RP46\A0013731.exe

TR/Proxy.Horst.Gen C:\System Volume Information\_restore{1FBCB2D7-ACE5-4980-964B-E9CF7EFF1CEA}\RP46\A0013730.exe

TR/Proxy.Horst.Gen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp1.tmp

TR/Proxy.Horst.KJ C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\setup.exe

TR/Proxy.Horst.Gen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\98exmodul32e.b.exe

TR/Proxy.Horst.EQ.3 C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\96exssd32.9.exe

BDS/Agent.WV C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\92exinjs.g.exe

TR/Proxy.Horst.Gen C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\54exmodul32e.b.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe

Die Datei findet er bei Jotti nicht.

-------------------------------------------------------------

Das sind meine momentanen Probleme und es werden irgendwie immer mehr. Zu den Dateigrößen weiss
ich nicht wie ich angaben machen soll da ich die dateien nicht finde. Bin leider nur ein Leihe der
nicht so richtig weiss wie das geht. Eine Frage noch: Was sind Hashes??

Ist auch unerheblich, denn hinter lssas.exe verbirgt sich der Agobot!

=> System neu aufsetzen, danach alle Passwörter ändern.

Werd ich machen dankeschön für deine Hilfe cosinus
Greetz sali