|
Bitte um HJT - Auswertung Hallo, kann mir bitte jemand helfen!!! Mein PC streikt und ich vermute einen Trojaner Hier ist mein HJT-Log Welche Dateien soll ich löschen? bzw. wie soll es weitergehen?? Logfile of HijackThis v1.99.1 Scan saved at 13:08:25, on 17.02.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe D:\Program Files\FRITZ!DSL\IGDCTRL.EXE D:\WINDOWS\system32\svchost.exe D:\Program Files\Common Files\LightScribe\LSSrvc.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe D:\Program Files\Eset\nod32krn.exe D:\WINDOWS\system32\nvsvc32.exe D:\Program Files\Cyberlink\Shared files\RichVideo.exe D:\WINDOWS\system32\slserv.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\WFXSVC.EXE D:\Program Files\Symantec\WinFax\WFXMOD32.EXE D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe D:\WINDOWS\system32\LVCOMSX.EXE D:\Program Files\Logitech\Video\LogiTray.exe D:\Program Files\Eset\nod32kui.exe D:\Program Files\QuickTime\qttask.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe D:\Program Files\Logitech\Video\FxSvr2.exe D:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe D:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe D:\Documents and Settings\All Users\Application Data\Spontania4IM\spontania4IM.exe D:\Program Files\FRITZ!DSL\StCenter.exe D:\WINDOWS\system32\taskmgr.exe D:\WINDOWS\system32\rundll32.exe D:\Program Files\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file) R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: mqsBar BHO - {0E677221-E309-4341-81BD-3CC3018BF5B3} - (no file) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: IEHlprObj Class - {40AC4D2D-491D-11D4-AAF2-0008C75DCD2B} - D:\WINDOWS\bpboh.dll O2 - BHO: (no name) - {6D075724-4DED-4B10-A0CC-7C428E68C53A} - D:\WINDOWS\system32\AdobePDFq.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {864D5D86-BB7B-43B5-A021-0DE3E4CF5C67} - d:\windows\system32\cmpbk32p.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar3.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: My &Quick Search - {0E677229-E309-4341-81BD-3CC3018BF5B3} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar3.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [OFFICEKB] D:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ulutil2.dll,SetWriteBack O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PCLEPCI] D:\PROGRA~1\Pinnacle\PPE\PPE.EXE O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TrojanScanner] D:\Program Files\Trojan Remover\Trjscan.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [multi name] D:\DOCUME~1\ADMINI~1.NIK\APPLIC~1\1REAL~1\copyaxis.exe O4 - HKCU\..\Run: [LaunchList] c:\Program Files\Pinnacle\Studio 11\LaunchList2.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - Startup: FRITZ!DSL Internet.lnk = D:\Program Files\FRITZ!DSL\FritzDsl.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Spontania Monitor.lnk = D:\Documents and Settings\All Users\Application Data\Spontania4IM\spontania4IM.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Save with Download Manager... - D:\Program Files\J River\Media Jukebox\DMDownload.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: d:\program files\fritz!dsl\sarah.dll O16 - DPF: {14C1B87C-3342-445F-9B5E-365FF330A3AC} (Hewlett-Packard Online Support Services) - http://h50203.www5.hp.com/HPISWeb/Customer/cabs/HPISDataManager.CAB O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.0.5.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190385993687 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190385923593 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://floridakeysmedia.tv/axiscam/Codebase/AxisCamControl.ocx O16 - DPF: {9b935470-ad4a-11d5-b63e-00c04faedb18} - O16 - DPF: {E5ABEB00-B357-4884-9949-77B2C71A7EE3} (BoardCtl Class) - http://www.intel.com/design/motherbd/boardid/BoardID.cab O16 - DPF: {EAA105FE-7BBD-4196-8B96-D46743894195} (MjpegControl Class) - http://wellington1.hopto.org:3000/plugin/mjpegcontrol.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{60FDF8CA-3A64-43BD-BECF-2581789BE659}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{90E30851-EB6E-4975-BEA0-C01F9CD7846D}: NameServer = 10.84.2.3,10.84.2.1,10.84.1.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: NavLogon - D:\WINDOWS\ O20 - Winlogon Notify: oobshgyg - D:\WINDOWS\SYSTEM32\cmpbk32p.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - D:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Unknown owner - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Program Files\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Program Files\Common Files\AVM\de_serv.exe O23 - Service: Google Updater Service (gusvc) - Google - D:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: OracleClientCache80 - Unknown owner - C:\Oracle\Disco\BIN\ONRSD80.EXE O23 - Service: OracleOraHome81ClientCache - Unknown owner - C:\Oracle\Ora81\BIN\ONRSD.EXE O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\Cyberlink\Shared files\RichVideo.exe O23 - Service: SmartLinkService (SLService) - Smart Link - D:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing) O23 - Service: WinFax PRO (wfxsvc) - Symantec Corporation - D:\WINDOWS\system32\WFXSVC.EXE MfG Mima |
Hallo und Willkommen! Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen: Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Entfernung Swizzor.A * Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten -> Anleitung Swizzor.A * Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende: Zitat:
|
Zitat =* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.) * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Ende Zitat Hallo , vielen Dank! wie soll ich diese Dateien hochladen? Ich habe doch kein Internet an diesem PC. Oder soll ich diese Dateien uber USB-Stick zu meinem Laptop (er hat I nternet) ubertragen und von dort aus sie hochladen? Ist dies nicht gefährlich fur den Laptop? Mima |
Hallo , vielen Dank, ich habe die vier Dateien von Virus Total testen lassen (wollen). Da ich am infektierten PC kein Internet habe, versuchte ich die vier Dateien uber USB-Stick zu einem anderen zu ubertragen. Zvei davon, nämlich "AdobePDFq.dll" und "cmpbk32p.dll" wurden vom neuen PC sofort vernichtet (NAV 2007). Hier sind der NAV-Log: Zitat Category: Security risks Date Time,Feature,Risk Name,Result,Item Type,Virus Definition Version,Product Version,User Name,Computer Name,Details 17.02.2008 23:06:57,Auto-Protect,Trojan Horse,Fully removed,File,2008.02.17.003,14.0.4.1,SYSTEM,N***X,"Source: H:\HJT_Files\cmpbk32p.dll,Risk category: Virus,Overall Risk Impact: High,Action taken: Fully removed" 17.02.2008 23:06:56,Auto-Protect,Trojan Horse,Fully removed,File,2008.02.17.003,14.0.4.1,SYSTEM,N***X,"Source: H:\HJT_Files\AdobePDFq.dll,Risk category: Virus,Overall Risk Impact: High,Action taken: Fully removed" Ende Zitat. Die restlichen zwei wurden von Virus Total als harmlos gefunden: Hier sind die Logs: Datei spontania4IM.exe empfangen 2008.02.17 23:12:12 (CET) Status: Beendet Ergebnis: 0/29 (0%) Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.16.10 2008.02.15 - AntiVir 7.6.0.67 2008.02.15 - Authentium 4.93.8 2008.02.17 - Avast 4.7.1098.0 2008.02.17 - AVG 7.5.0.516 2008.02.17 - BitDefender 7.2 2008.02.17 - CAT-QuickHeal None 2008.02.16 - ClamAV 0.92.1 2008.02.17 - DrWeb 4.44.0.09170 2008.02.17 - eSafe 7.0.15.0 2008.02.17 - eTrust-Vet 31.3.5541 2008.02.15 - Ewido 4.0 2008.02.17 - FileAdvisor 1 2008.02.17 - Fortinet 3.14.0.0 2008.02.17 - F-Prot 4.4.2.54 2008.02.17 - F-Secure 6.70.13260.0 2008.02.17 - Ikarus T3.1.1.20 2008.02.17 - Kaspersky 7.0.0.125 2008.02.17 - McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.17 - NOD32v2 2881 2008.02.17 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.17 - Sunbelt 2.2.907.0 2008.02.16 - Symantec 10 2008.02.17 - TheHacker 6.2.9.222 2008.02.16 - Datei bpboh.dll empfangen 2008.02.17 23:00:26 (CET) Status: Beendet Ergebnis: 1/32 (3.13%) Drucken der Ergebnisse Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.2.16.10 2008.02.15 - AntiVir 7.6.0.67 2008.02.15 - Authentium 4.93.8 2008.02.17 - Avast 4.7.1098.0 2008.02.17 - AVG 7.5.0.516 2008.02.17 - BitDefender 7.2 2008.02.17 - CAT-QuickHeal None 2008.02.16 - ClamAV 0.92.1 2008.02.17 - DrWeb 4.44.0.09170 2008.02.17 - eSafe 7.0.15.0 2008.02.17 - eTrust-Vet 31.3.5541 2008.02.15 - Ewido 4.0 2008.02.17 - FileAdvisor 1 2008.02.17 - Fortinet 3.14.0.0 2008.02.17 - F-Prot 4.4.2.54 2008.02.17 - F-Secure 6.70.13260.0 2008.02.17 - Ikarus T3.1.1.20 2008.02.17 - Kaspersky 7.0.0.125 2008.02.17 - McAfee 5231 2008.02.15 - Microsoft 1.3204 2008.02.17 - NOD32v2 2881 2008.02.17 - Norman 5.80.02 2008.02.15 - Panda 9.0.0.4 2008.02.17 Generic Malware Prevx1 V2 2008.02.17 - Rising 20.31.50.00 2008.02.16 - Sophos 4.26.0 2008.02.17 - Wie soll es weiter gehen Danke und Gute Nacht Mima |
Vundofix * Lade dir vundofix.exe * Doppelklick VundoFix.exe * Klicke "Scan" --> Vundo button. * Nach dem Scannen, klicke den "Remove" Vundo button. * Man wird nun gefragt, ob man "remove" will --> klicke YES * Danach werden alle Desktop-Symbole verschwinden * Dann wird man gefragt, ob der PC neustarten soll --> klicke OK. C:\VundoFix Backups - löschen + Papierkorb leeren ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board