Trojaner-Board - Bitte Logfile anschauen ;)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Logfile anschauen ;) (https://www.trojaner-board.de/40223-bitte-logfile-anschauen.html)

Bitte Logfile anschauen ;)

Servus... hab zurzeit Probleme mit einem einfachem abschalten des PCs und Freezes.

Netzteil habe ich schon ausgetauscht, die Rams sind auch in Ordnung.

Ich vermute, dass es das Motherboard ist (Asrock Sata2-Glan), allerdings kann ein kleiner Scan, ob mein Computer in Ordnung ist, ja auch nicht schaden. :Boogie:

(Ich benutze übrigens Firefox... )

Logfile of HijackThis v1.99.1
Scan saved at 17:21:38, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Ctfmon.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\ATITool\ATITool.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\CoreTemp\Core Temp.exe
C:\Programme\RivaTuner v2.0 Final Release\RivaTuner.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\Simon\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.0 Final Release\RivaTuner.exe" /S
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Startup: Core Temp.lnk = C:\Programme\CoreTemp\Core Temp.exe
O4 - Startup: RivaTuner.lnk = C:\Programme\RivaTuner v2.0 Final Release\RivaTuner.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: ATITool.lnk = C:\Programme\ATITool\ATITool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - AVM Berlin - (no file)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP2\RpcSandraSrv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Hallo seimon. Auf deinem Rechner stimmt was nicht.

Lasse bitte mal folgende Datei auf VT auswerten und poste das Ergebnis:

" C:\WINDOWS\system32\pr2ah4nc.exe "

Beachte den Link meiner Signatur zum Suchen von Dateien!)

Gruß

Undoreal

Hat bissel länger gedauert, die sind überlastet...

Aber gefunden wurde nix. Komischerweise gibts nichtmal bei google brauchbare Ergebnisse für die Datei... :confused:

Zitat:

Complete scanning result of "pr2ah4nc.exe", processed in VirusTotal at 06/22/2007 19:08:54 (CET).

[ file data ]
* name: pr2ah4nc.exe
* size: 407152
* md5.: c411a1442a9cc121ad1eb8111cda41c3
* sha1: 36ba918ee2363b9bd98edeb6bbcb074a50aae1aa

[ scan result ]
AhnLab-V3 2007.6.21.1/20070622 found nothing
AntiVir 7.4.0.34/20070622 found nothing
Authentium 4.93.8/20070622 found nothing
Avast 4.7.997.0/20070622 found nothing
AVG 7.5.0.476/20070622 found nothing
BitDefender 7.2/20070622 found nothing
CAT-QuickHeal 9.00/20070622 found nothing
ClamAV devel-20070416/20070622 found nothing
DrWeb 4.33/20070622 found nothing
eSafe 7.0.15.0/20070621 found nothing
eTrust-Vet 30.8.3735/20070622 found nothing
Ewido 4.0/20070622 found nothing
F-Prot 4.3.2.48/20070622 found nothing
F-Secure 6.70.13030.0/20070622 found nothing
FileAdvisor 1/20070622 found nothing
Fortinet 2.91.0.0/20070622 found nothing
Ikarus T3.1.1.8/20070622 found nothing
Kaspersky 4.0.2.24/20070622 found nothing
McAfee 5059/20070622 found nothing
Microsoft 1.2701/20070622 found nothing
Norman 5.80.02/20070622 found nothing
Panda 9.0.0.4/20070622 found nothing
Prevx1 V2/20070622 found nothing
Sophos 4.19.0/20070622 found nothing
Sunbelt 2.2.907.0/20070621 found nothing
Symantec 10/20070622 found nothing
TheHacker 6.1.6.137/20070622 found nothing
VBA32 3.12.0.2/20070621 found nothing
VirusBuster 4.3.23:9/20070622 found nothing
Webwasher-Gateway 6.0.1/20070622 found nothing

Das ist doch scheiße. Was ist denn hier los ^^ ist da was neues im Busch oder was? bist schon der Zweite mit so komischen Problemen..

Mache bitte einen eScan. Anleitung ist in meiner Signatur verlinkt.

Gruß

Undoreal

Hier ist der Escan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\DOKUME~1\Simon\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with zipitpro Spyware/Adware (irsetup.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\temp\_ir_sf7_temp_0\irsetup.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Simon\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9831bd7e-0d0c-11dc-9406-00040ec552b2} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Simon\LOKALE~1\Temp\dta\dtatempfile1174765267849.part0 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Simon\LOKALE~1\Temp\dta\dtatempfile1176745605594.part0 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Simon\LOKALE~1\Temp\dta\dtatempfile1176840048972.part0 nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Simon\LOKALE~1\Temp\h3ok7fnh.ZIP nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Simon\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Simon\LOKALE~1\Temp\_is23\FlatOut Demo.msi nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 21
Gescannte Dateien: 98724
Gefundene Viren: 0
Gefundene Viren: 4
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 0
Anzahl Fehler: 69
Dauer des Scans bisher: 00:00:02
Dauer des Scans bisher: 00:58:14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:34:15,10
Batchende: 15:34:26,78

Kann mir niemand mit dem escan helfen?

Das ist doch bekloppt.. :kloppen:

Lösche bitte folgende Datei mit Killbox (wähle die Option "delet on reboot":

" C:\Dokumente und Einstellungen\Simon\Lokale Einstellungen\temp\_ir_sf7_temp_0\irsetup.exe "

Arbeiten in der Registry:

Start->ausführen: " regedit "->Datei->exportieren.

Dann suche nach: " MountPoints2 "

lösche folgenen Sclüssel:

" HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{9831bd7e-0d0c-11dc-9406-00040ec552b2} "