Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HiJackThis Log-File, bitte einma drüber schauen... (https://www.trojaner-board.de/38985-hijackthis-log-file-bitte-einma-drueber-schauen.html)

Tecs 17.05.2007 11:32
HiJackThis Log-File, bitte einma drüber schauen...
 
Hi. Das Wichtigste steht ja schon in der Überschrift!

Ausserdem habe ich das Problem das ich öfters eine Fehlermeldung bekomme wenn ich im Ordner "Eigene Dateien" am "rumklicken" bin. Dann kommt dort immer "Explorer.exe hat ein Problem...."

Hier das Log-File (Kenn mich leider kaum mit sowas aus, deswegenfrag ich hier nach was ich machen kann, denn ich weiß das da irgendwo was falsch ist ;-))

Logfile of HijackThis v1.99.1
Scan saved at 12:19:34, on 17.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\nfomon\nfomon.exe
C:\WINDOWS\system32\vidmon\vidmon.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\webHancer\Programs\whagent.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Valve\Steam\Steam.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\HLSW\hlsw.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\WI0381~1\tbu237F\tbhelper.dll
O2 - BHO: (no name) - {2A5EF7A1-0AC0-4ABD-A254-E193E6D2FA0B} - C:\WINDOWS\system32\gebcd.dll (file missing)
O2 - BHO: (no name) - {6767FBFC-DF02-4133-854C-9A3CB733DBF1} - C:\WINDOWS\system32\yogswyuj.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\mvvnwhnp.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Programme\webHancer\programs\whiehlpr.dll
O3 - Toolbar: Windows FTP plugin - {BFB5F154-9212-46F3-B547-AC6106030A54} - C:\Programme\Windows FTP plugin\tbu237F\win_ftp_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxur.dll,startup
O4 - HKLM\..\Run: [{547E3C31-08A2-1031-0810-060707060031}] "C:\Programme\Gemeinsame Dateien\{547E3C31-08A2-1031-0810-060707060031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [Nfo] C:\WINDOWS\system32\nfomon\nfomon.exe
O4 - HKLM\..\Run: [vidmon] C:\WINDOWS\system32\vidmon\vidmon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [{547E3C31-08A1-1031-0810-060707060031}] "C:\Programme\Gemeinsame Dateien\{547E3C31-08A1-1031-0810-060707060031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ugexuhmq.dll",setvm
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\johvgbll.dll",setvm
O4 - HKLM\..\Run: [VaCtrls] v7
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DmwClient] "C:\Programme\DMW Client 3\dmwclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IpWins] C:\Programme\Ipwindows\ipwins.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Valve\Steam\Steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3544AAE2-EB84-4F56-A649-4F29342B6EC2}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DDD5E65-2E10-4782-A5D2-46FF06797E77}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8664FDF-87F5-4A9F-A600-B933D73E744C}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{3544AAE2-EB84-4F56-A649-4F29342B6EC2}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Danke im Voraus

myrtille 17.05.2007 12:05
Hi,
schlechte Nachrichten für dich. :o

Dieser Eintrag:
Zitat:
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272

gehört zu einem Backdoortrojaner der SdBotklasse.
Das heißt für dich leider einmal Neuaufsetzen

Allerdings hätte ich dir ein Neuaufsetzen wahrscheinlich eh empfohlen, da du recht viele suspekte und definitive Malware-Einträge in deinem Log hast:
Zitat:
O2 - BHO: (no name) - {2A5EF7A1-0AC0-4ABD-A254-E193E6D2FA0B} - C:\WINDOWS\system32\gebcd.dll (file missing)
O2 - BHO: (no name) - {6767FBFC-DF02-4133-854C-9A3CB733DBF1} - C:\WINDOWS\system32\yogswyuj.dll (file missing)
O2 - BHO: (no name) - {67C55A8D-E808-4caa-9EA7-F77102DE0BB6} - C:\WINDOWS\system32\mvvnwhnp.dll (file missing)
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvxur.dll,startup
O4 - HKLM\..\Run: [{547E3C31-08A2-1031-0810-060707060031}] "C:\Programme\Gemeinsame Dateien\{547E3C31-08A2-1031-0810-060707060031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [{547E3C31-08A1-1031-0810-060707060031}] "C:\Programme\Gemeinsame Dateien\{547E3C31-08A1-1031-0810-060707060031}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [webHancer Agent] C:\Programme\webHancer\Programs\whagent.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ugexuhmq.dll",setvm
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\johvgbll.dll",setvm
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O17 - HKLM\System\CCS\Services\Tcpip\..\{3544AAE2-EB84-4F56-A649-4F29342B6EC2}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DDD5E65-2E10-4782-A5D2-46FF06797E77}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8664FDF-87F5-4A9F-A600-B933D73E744C}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\..\{3544AAE2-EB84-4F56-A649-4F29342B6EC2}: NameServer = 85.255.115.45,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.45 85.255.112.215
O20 - Winlogon Notify: winrkq32 - winrkq32.dll (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
(und ich dürfte auch noch einige Einträge übersehen haben)

Wobei der letzte Eintrag ein weiterer Backdoortrojaner ist.
Ich würde SOFORT Neuaufsetzen und sicherheitshalber auch sämtliche Passwörter ändern.

lg myrtille

Tecs 17.05.2007 12:23
Ohje, das ist ja schon ziemlich Krass!

Obwhol ich AntiVir und Windows-Firewall habe :-/

Ok, werde es dann jetzt direkt neu aufsetzten!!!

Danke dir!!!!!!!!!!!

myrtille 17.05.2007 12:30
Leider reichen Schutzprogramme nicht aus.:kloppen: Oder wie es so schön heißt: Die größte Gefahr in Sachen PC-Sicherheit sitzt vor der Tastatur. ;)
Wenn man persönlich Schadprogramme installiert kann Firewall oder Antivir auch nicht mehr viel dagegen tun. Viele Schädlinge sind zb. in Toolbars für IE oder Firefox integriert und werden so aktiv vom Nutzer installiert.

Ist das System erst einmal kompromittiert wird vom installierten Schädling meist weiterer Schadcode nachgeladen. Sprich hast du einen Trojaner reingeladen, dauerts meist nicht lange, bis andere nachkommen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131