Bitte um Prüfung meines Logfiles
 

Hallo!
Seit einigen Tagen machen sich bei meinem System Scrollleisten und Fenster selbständig.
Durch Internetrecherche bin ich auf diese Seite aufmerksam geworden.
Ich habe mit hijackthis ein Logfile erstellt. Nur werde ich als, zumindest partieller, DAU daraus nicht schlau. Ich würde mich freuen, wenn sich jemand mal den Inhalt ansieht und dazu Stellung nimmt.
Wenn genauere Infos über das System notwendig sein sollten, werde ich versuchen so schnell wie möglich zu antworten.

Vorab schon mal meinen Dank für die hoffentlich kommende Unterstützung.

Hier nun der Inhalt des Logfile (ich hoffe, ich hab alle notwendigen Editierungen vorgenommen!!)

Logfile of HijackThis v1.99.1
Scan saved at 19:33:22, on 07.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Service\Sicherheit\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=090605 serial=DR12WGJ-1050151-ELW lang=DE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124482738906
O17 - HKLM\System\CCS\Services\Tcpip\..\{94331615-0D09-4EF7-8249-28BBA26E758F}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe

Hm, dein log sieht sauber aus.

Mache mal bitte einen scan mit:

1.Lavasoft
2.Spybot
3.SSW

alle Programme müssen vor dem scan geupdatet werden !
Wenn was gefunden wird ALLES löschen.
Danach würde ich die zwei, die dir am wenigsten zusagen wieder deinstallieren.

Dann arbeite bitte die Anleitung zu eScan/MWAVE aus meiner Signatur ab.

mfg

Undoreal

Das ging ja fix!! Herzlichen Dank!! :daumenhoc

Fein! Ich hoffe das bleibt bei den anderen Überprüfungen so!

Werde ich machen und ggf. was posten, wenn ich nicht weiter weiß!!

Gruß aus Bochum!!
Bernd (Heinerich)

escan läuft grad
 

Hi,

die Scans mit Lavasoft, Spybot und SSW habe ich gestern gemacht. Wurde kein Alarm oder ähnliches ausgelöst.
Im Moment läuft escan im abgesicherten Modus. Da habe ich im Fenster "Virus Log Information" schon mal die folgenden Infos (die mich natürlich kribbelig machen) gefunden:

Ich hoffe ich kriege alles so hin, wie es in der Anleitung zu escan steht und werde dann die komplette Auswertung hier veröffentlichen.

escan log file
 

Hier nun der Inhalt nach dem Scan mit escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Thu Mar 08 10:22:19 2007 => Version 9.1.7 (C:\DOKUME~1\Admin\LOKALE~1\Temp\mexe.com)
Thu Mar 08 00:44:48 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 00:45:32 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 09:17:47 2007 => Virus Database Date: 3/7/2007
Thu Mar 08 09:18:10 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:15:56 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:18:25 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 10:21:57 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 11:12:30 2007 => Virus Database Date: 3/8/2007
Thu Mar 08 11:14:01 2007 => Virus Database Date: 3/8/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 09:19:45 2007 => System found infected with iwon Spyware/Adware (files.ini)! Action taken: No Action Taken.
Thu Mar 08 10:23:41 2007 => System found infected with iwon Spyware/Adware (files.ini)! Action taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Thu Mar 08 10:09:48 2007 => *** File E:\Brennen\Musik_Hörspiel\U_Musik\Stereoplay Highlights\Still alive (25 Jahre Stereoplay) Rare Livetracks tagged V1.1_&_V2.3_224kbs_by_-=Goiko=-.rar having Size Restriction ***. Filesize 66350 kb > 3072 kb...
Thu Mar 08 10:09:48 2007 => Scanning File E:\Brennen\Musik_Hörspiel\U_Musik\Stereoplay Highlights\Still alive (25 Jahre Stereoplay) Rare Livetracks tagged V1.1_&_V2.3_224kbs_by_-=Goiko=-.rar [**]
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Mar 08 09:19:45 2007 => Offending file found: E:\eigene musik\playlisten\files.ini
Thu Mar 08 10:23:41 2007 => Offending file found: E:\eigene musik\playlisten\files.ini
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Mar 08 09:19:40 2007 => Offending Folder found: E:\eigene daten\mtb\bergarbeiter\home\graphiken\mitgliedsdaten\m
Thu Mar 08 10:23:40 2007 => Offending Folder found: E:\eigene daten\mtb\bergarbeiter\home\graphiken\mitgliedsdaten\m
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Mar 08 10:10:09 2007 => Scanning Folder: E:\Eigene Bilder\Adobe\Gescannte Fotos\*.*

Wo ist denn hier der mooler worm gebleiben????? Während des scans wurde der doch angezeigt??? Ich bin ein wenig irritiert!

Nutzt du einen Peer to Peer Manager?

Der mooler Wurm oder auch Bagle Trojaner ist momentan im Umlauf..

Scanne mal bitte einfach alle Dateien die er dir hier so auflistet (offending wie auch tagged) auf Virustotal und texte das Ergebnis.

Gruss

Undoreal

Wenn emule ein Peer to Peer Manager ist, dann ja, gelegentlich.
Wenn emule kein PtP - Manger ist, dann schreib mal ein Beispiel.

Aha! Wenn ich ihn habe, finde ich ihn hoffentlich. Regestry und andere Dateien hab ich schon durchsucht, nachdem ich die Infos über "mooler worm" auf der Infosite von Sophos gelesen habe. Da wurde aber nichts gefunden.

Yes! Werde ich tun!

Noch eine kurze Frage, die aber wichtig sein könnte.
Der PC, von dem ich hier spreche hängt über einen DSL-Router von Draytek an einem Netz. Unter anderem hängt an dem Router auch noch der PC meines Sohnes. Könnte sich auch ein Trojaner/Virus über das LAN auf meinen PC einschleichen??? Also theoretisch vom PC meines Sohnes auf meinen?

Ich frage, weil ich eigentlich sehr sorgfältig mit Dateien etc. umgehe. Antivir Personal Premium läuft ständig, Spybot läuft jeden Tag aktualisiert drüber, Surfen mit Firefox, Mails mit Thunderbird, unbekannte Anhänge werden nicht geöffnet. Ehrlich gesagt wüsste ich nicht, was ich sonst noch so machen soll. Abgesehen davon, dass ich, nach dem Lesen hier, Benutzerrechte geändert habe.

das könnte sein. Muss aber nicht. Da würde ich jetzt niemanden verurteilen.. ^^
Hängt davon ab ob überhaupt Daten ausgetauscht werden.

Antwort: Gruss

Undoreal

Zumindest die tagged-Dateien kann man sich hier sparen. Alle Versuche, das Log frei von Falschmeldungen zu halten, scheitern früher oder später. Grund für die Falschmeldung ist folgende Zeile:
Viel interessanter ist für mich die Frage, wo der Rest des Logs ist (Scan-Optionen und Statistiken)?

Gruß

Marc

Das überprüfen einer Datei über Virustotal hab ich abgebrochen. Funktioniert wahrscheinlich nicht, da die 1. gepackt ist und da schon eine Größe von 66 MB hat.
Im Prinzip könnte doch nix passieren, wenn ich die einfach lösche?
Oder doch besser im eingeschränkten Benutzermodus in einem Ordner entpacken und dann darin enthaltene Dateien einzeln prüfen??

Andere Ergebnisse mit Virustotal und Jotta (hab ich in anderen Beiträgen entdeckt! :) )

Offending file found: E:\eigene musik\playlisten\files.ini


Jotta = keine Viren gefunden
Virustotal = keine Viren gefunden

Offending Folder found: E:\eigene daten\mtb\bergarbeiter\home\graphiken\mitgliedsdat en\m

Das ist ja ein ganzer Ordner!! :eek:
Ich schiebe die Prüfung aller darin enthaltenen Dateien dann mal nach!

das hab ich mich auch gefragt!!!
D.h. mein Post im Diskussionsforum..

PS: Wenn dir die aufgelisteten Daten nicht wichtig sind, dann kannst du auch einfach noch einen scan machen. Nur diesmal mit der Option scan and clean. Allerdings löscht eScan dann alle aufgelisteten Dateien ohne Backup..
PSS: Das bedeutet nicht, dass deine Datei auch sauber ist!!!


Gruss

Undoreal

Nein, es geht auch nicht um verurteilungen, sondern um mehr Klarheit. Daten werden ausgetauscht. Allerdings "nur" selbst erstellte.

Und dann stand da noch auf meine Aufzählung, in welcher Form ich mich bisher geschützt habe:

Antwort: emule ist ein PtP-Manger.

OK. Bisher extrem selten genutzt. Z.B. auch für Musik, die als LP oder CD nicht mehr verlegt wird (gaaanz alte Klassik-LP, die archiviert wurden). Ich weiß, sowas sagt so ziemlich jeder, auch dann, wenn er, wie ich, stramm auf die 60 zugeht.

Wenn ich da dann mal was finde habe ich natürlich die Datei mit meinem Antivir überprüft. Scheint so als würde ein Virenprogramm nicht ausreichen??
Du darfst auch gern was zu dieser Frage sagen!

Ich galube, wenn ich hier und mit Deiner Hilfe, durch den ganzen Prozeß durch bin, werd ich ein wenig beruhigter sein. Und kann mich dann auf die Suche nach dem "Scrollteufel" außerhalb von bisher bekannten Viren machen.

Schon mal auf die Idee gekommen, die Datei mit dem Editor zu öffnen und zu schauen was drinnen steht? ;)

Auch hundert reichen nicht aus. Allerdings solltest du AntiVir mal agressiv konfigurieren.
Und das beste AV Programm in Sachen Erkennungsrate ist es nicht.!.

Dann besteht die Möglichkeit einer Infizierung; grade bei Würmern.
das ist egal.

PS Edit: nö.. :D mach mal bitte Heinrich..


Gruss

Undoreal

In dem File stand nicht mehr. Hab den grad noch einmal aufgemacht!!

Ich werde den escan gleich einfach noch einmal machen!

Ich wüsste nicht, warum ich -insbesondere ich!! :) - eine ini.datei mit einem Editor öffnen sollte. Wenn ich mich frustrieren will, hab ich besseres! Ich verstehe sowieso nicht, was die Kürzel bedeuten.

berichte uns einfach oder poste den Inhald hier. Oder hänge die Datei an deinen Post mit an..

MM kann was damit anfangen..

Hab ich gemacht:

Da steht:

[ArtistName]
5946343=Tschaik
10017489=KlavierGilels
[AlbumName]
5946343=Neues KlavierGilels1
10017489=Neues KlavierGilels2
[AudioCD]
NumCD=3

Und jetzt weiß ich auch, woher die Datei kommt. :D Jedenfalls sicher nicht von "außen".