Trojaner-Board - Bitte um Hilfe bei HjT-Log Auswertung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe bei HjT-Log Auswertung (https://www.trojaner-board.de/6180-bitte-um-hilfe-hjt-log-auswertung.html)

Bitte um Hilfe bei HjT-Log Auswertung

Hallo Zusammen,

ich habe hier mit nem Log ein kleines Problemchen und zwar die Eintragung unter 018 ... was ist das fürn Ding? Das ist schon ein viertes Log, in den ersten dreien haben wir schon haufenweise hijacker gefunden, und bisher den grössten Teil erfolgreich eliminiert. Über diesen Eintrag unter 018 fand ich leider auch bei google nix, das ist auch der Grund warum ich mich nun an Euch wende. Ich hoffe, Ihr könnt mir sagen, was da noch zu fixen ist. Diese Einträge unter 018 kommen wieder nach dem Fixen.

Hier der aktuelle Log:

Code:

Logfile of HijackThis v1.98.0

Scan saved at 23:01:16, on 03.07.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AVPersonal\AVGNT.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\PROGRA~1\ICQ\ICQ.exe

C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ntvdm.exe

C:\T-ONLINE\BSW4\ToDuCAlC.EXE

C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
 

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2E83F25B-4000-46A0-94F9-0D1F04837EF7} - C:\WINDOWS\System32\ejdlog.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - Startup: Reminder-hpc41003.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe

O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE

O4 - Global Startup: GTBReminder.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe

O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .psd: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{EB4A2173-63CF-4B64-AD28-C63000686E8B}: NameServer = 217.237.150.97 194.25.2.129

O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\ILORUX[^.dll

ich sage schon mal herzlichen Dank für Eure Bemühungen...

LG
Freaky

Hi Freaky und willkommen "on board"!

Folgende Einträge solltest Du noch fixen:

Zitat:

O2 - BHO: (no name) - {2E83F25B-4000-46A0-94F9-0D1F04837EF7} - C:\WINDOWS\System32\ejdlog.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

Hast Du die dll von dem O18 - Eintrag schon bei Kaspersky checken lassen?
Poste mal bitte das Ergebnis!

Hast Du Dein System mit eScan schon prüfen lassen?

Ich gehe mal fast davon aus, dass Du diese dll löschen solltest.

Hallo Freaky,

diesen Eintrag
O1 - Hosts: 213.159.117.235 auto.search.msn.com
solltest Du noch fixen.
Gehört lt. Whois Abfrage zu einer russischen Webseite und nicht zu msn.com.

Dieser Eintrag
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
gehört zu Spybot Search&Destroy und sollte nur gefixt werden, wenn Du Spybot S&D deinstalliert hast und dies 'nur' ein Überbleibsel ist...

Ist die Datei in dem O18-Eintrag wirklich so 'kryptisch' oder handelt es sich um einen Darstellungsfehler?
C:\WINDOWS\SYSTEM32\ILORUX[^.dll
Ich denke, diesen Eintrag kannst Du 'gefahrlos' fixen.Du solltest HijackThis vor dem fixen ein eigenes Verzeichnis gönnen, z.b. C:\HijackThis und die HijackThis.exe dorthin kopieren und von dort starten.
So stehen Dir nach dem fixen Backups zur Verfügung, die Du hinterher u.U. wieder zurückspielen kannst

Hallo Lutz,
vielen Dank für Deine Antwort

zu 01. Wenn man den fixt, kommt er wieder :crazy:

zu 02.: da muss ich noch nachhaken, was mit Spybot da auf sich hat.

und zu 018: HjT spuckt den SO aus... :nixda: wo es hingehört wissen wir nicht, kommt aber nach jedem Fixen auch wieder... :(

doch laut automatischer Auswertung soll die "möglicherweise" gut sein. Nun wie auch immer, der Junge hatte bisher nicht mal ne Firewall aufm Rechner, nur Antivir (kostenloses Proggi)

Morgen geht er erstmal gleich in aller Frühe ordentlich "einkaufen", und wir haben uns (sollte das Problem weiterhin bestehen) darauf geeinigt, dass wir seinen Rechner formatieren. (nach drei Jahren Betrieb, ohne Firewall ist es vielleicht gar nicht mal so schlecht, ordentlich sauber zu machen)

Ich bedanke mich bei Dir recht herzlich für Deine Hilfe. Nun hab ich wieder was dazu gelernt... :D

LG
Freaky

Ups Radja dich hab ich doch glatt übersehen..
danke für das Willkommen ;)

es ist ja nicht mein System, da liegt auch das Problem. Zwischen dem Rechner und mir sind mindestens 300km. Also geht das ganze Supporten online, oder am Telefon.

Ich werde dem Jungen das noch ans Herz binden, dass er die Dateien sowie sein System mit kaspersky usw. prüfen lässt.

Manchmal wundere ich mich echt, dass ich nach fast 10 Jahre Internet nur ein einzigesmal einen Wurm hatte, und ich bin bestimmt nicht die "bravste" im Net :dummguck:

Danke auch Dir für Deine Hilfe. Schönen Sonntag noch.. :)

Freaky

Hallo Freaky,

Zitat:

Morgen geht er erstmal gleich in aller Frühe ordentlich "einkaufen", und wir haben uns (sollte das Problem weiterhin bestehen) darauf geeinigt, dass wir seinen Rechner formatieren. (nach drei Jahren Betrieb, ohne Firewall ist es vielleicht gar nicht mal so schlecht, ordentlich sauber zu machen)

Sicherlich die sauberste Entscheidung!
Nach der Neuinstallation nach Möglichkeit den Rechner von einer CD aktualisieren. Diese CD's gibt es immer mal als Beilage in Computerzeitschriften. Danach noch www.windowsupdate.com aufsuchen, da diese CD'S meist 3-4 Monate hinter dem aktuellen Stand hinterher hinken.
Auf jeden fall aber die XP-Verbindunsfirewall solange aktivieren, bis alle kritischen Updates installiert sind!

Wenn ihr dennoch weiter 'probieren' wollt, solltet ihr zumindest noch eScan, wie von Radja beschrieben ausführen.

Zitat:

Zitat von Lutz

Auf jeden fall aber die XP-Verbindunsfirewall solange aktivieren, bis alle kritischen Updates installiert sind!

Spricht eigentlich was dagegen, die auch nachher noch aktiviert zu lassen?
Als Neu-XPler muss ich das einfach mal fragen. ;)

Gruß :daumenhoc
Yopie

Zitat:

Als Neu-XPler muss ich das einfach mal fragen.

Ich bin selbst noch NEU-XPler. ;)
Aus meiner Sicht spricht nichts dagegen, kann das aber objektiv (noch) nicht beurteilen.
Ich wollte auch eigentlich ausdrücken, wenn jemand diese Verbindungsfirewall nicht 'mag', sie wenigstens so lange zu nutzen, bis das System auf dem aktuellesten Patch-Stand ist.
Das es damit nicht getan ist, ist mir auch klar. Aber jetzt das Thema 'Benötigte und Nichtbenötigte Dienste' abzuhandeln, fehlt mir die Zeit (und an einem Sonntag Nachmittag auch die Lust ;) )
Das können andere hier außerdem besser als ich!

Hallo Lutz,
vielen Dank nochmal :)

@Yopie,
ich bin altxp-lerin (hatte schon die allererste Version getestet), und eines kann ich dir genau sagen. Die XP-eigene Firewall bloss nicht länger benutzen, als unbedingt notwendig. Schutz bietet sie nämlich herzlich wenig. (Eigene Erfahrung) Da hol ich mir lieber Norton Internet Security (auch wenn jetzt vielleicht viele "losschimpfen" würden) da habe ich zumindest die besten erfahrungen gemacht. Wie vorhin schon erwähnt, hatte ich bisher einen einzigen Befall in 10 Jahren und dies passierte, mit der XP Firewall. Seit ich norton laufen habe, nie wieder was gewesen.

Nebenher spybot, Ad-Aware und andere Schutz- bzw. Scanprogramme installieren, und den Rechner regelmässig checken. So bleibt einem sehr viel erspart. Das System braucht auch regelmässige Pflege in Form von Updates, die Temporäry Internetfiles, sowie regelmässig die Cookies löschen.

Viele denken auch, je mehr antivirus Programme, bzw. Firewalls man hat, um so sicherer ist ihr Rechner. Doch weit gefehlt. Optimal ist: NUR eine Antivirussoftware und NUR eine firewall. Dafür sollte man diese IMMER auf dem aktuellsten Stand halten, am besten Programme wählen, die automatische Updates haben. Da neige ich dazu sogar, zu raten, lieber etwas Geld für ausgeben, als kostenlose Programme laufen zu lassen. (was natürlich nicht heissen muss, dass diese schlecht sind)

Wenn du diesbezüglich noch Fragen hast, immer wieder gerne.. ;)

LG
Freaky