Trojaner-Board - Bitte mal reinschauen Helferteam

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte mal reinschauen Helferteam (https://www.trojaner-board.de/76192-bitte-mal-reinschauen-helferteam.html)

Bitte mal reinschauen Helferteam

Hallo zusammen,

Da einer meiner Rechner kürzlich Probleme hatte (Danke nochmal an Chris), möchte ich auch gern mal das HJT Log meines zweiten PC durchschauen lassen, ob da u.U. Auffälligkeiten zu erkennen sind.

Wäre super :daumenhoc, wenn das jemand vom Helfer Team überprüfen könnte.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:41:38, on 07.08.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Tall Emu\Online Armor\OAcat.exe

C:\Programme\Tall Emu\Online Armor\oasrv.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Cherry\CDI\CDI.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

C:\Programme\Cherry\KeyMan\KeyMan.exe

C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe

C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Tall Emu\Online Armor\oaui.exe

C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe

C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe

C:\Programme\Tall Emu\Online Armor\OAhlp.exe

C:\Programme\Opera\opera.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = <edit>://www.google.de/

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"

O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe

O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe

O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [@OnlineArmor GUI] "C:\Programme\Tall Emu\Online Armor\oaui.exe"

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe

O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html

O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {9C23D886-43CB-43DE-B2DB-112A68D7E10A} (MySpace Uploader Control) - http://lads.myspace.com/upload/MySpaceUploader2.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, www.cherry.de - C:\Programme\Cherry\CDI\CDI.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe

O23 - Service: Online Armor Helper Service (OAcat) - Tall Emu - C:\Programme\Tall Emu\Online Armor\OAcat.exe

O23 - Service: Online Armor (SvcOnlineArmor) - Tall Emu - C:\Programme\Tall Emu\Online Armor\oasrv.exe
 

--

End of file - 6273 bytes

Danke und viele Grüße,
Marcus

Hi nochmal,

Habe noch etwas Merkwürdiges feststellen können.

Bei Downloads auf Filepony werden ja die Versionen erst mit Klick auf "Download lastest Version" aktiv.

Das funktioniert zwar mit dem IE, aber im Opera tut sich da nix (Im Gegensatz zu meinen anderen Rechnern, da geht es mit Opera).

Woran könnte das liegen?
Hat jemand eine Idee?

Danke und Gruß,
Marcus

Hallo Gemeinde,

hab das Opera Problem gelöst:
Die Einstellung "Herkunft (Referrer) übertragen" war wohl der Knackpunkt.

Sorry für die Anfrage.

Kann das HJT-Log trotzdem bitte jemand auf Auffälligkeiten prüfen?

Danke und Gruß,
Marcus

Dein Log ist sauber :)

Zitat:

Zitat von Dodger (Beitrag 454663)

...möchte ich auch gern mal das HJT Log meines zweiten PC durchschauen lassen, ob da u.U. Auffälligkeiten zu erkennen sind.

Naja...

Zitat:

Zitat von Dodger (Beitrag 454663)

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

:eek:

Cheers...

Hallo und Danke,

Ja - das weiss ich wohl - SP2 und IE6...

Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern.

Hier aber noch mein RSIT nachdem Andreas mich mal wieder in die korrekte Richtung gewiesen hat.

Zitat:

Zitat von Dodger (Beitrag 454920)

Ich denk mal, Du solltest dir von Andreas weiterhelfen lassen...
Er ist kompetenter...:o

IMHO mit SP2 und IE6 wirst du eh nicht sehr weit kommen...:rolleyes:

Cheers...

Hallo,

Zitat:

Leider hat mir ein versuchtes Update des IE die Nutzeranmeldung zerschossen und daher mach ich die MS-Updates seeeeehr ungern.

Nein, der Rechner ist regelrecht kaputtinstalliert. Die Logs zu lesen ist eine Zumutung. :koch:

Mein Lieblingszitat von Marc:

Zitat:

Einen Mangel an IT-Sacherverstand erkennt man u.a. an einem übermäßigen Gebrauch von Sicherheits- und Optimierungstools.

1.) Deinstalliere:

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat 6.0.1 Professional
Adobe Acrobat and Reader 6.0.3 Update
Adobe Acrobat and Reader 6.0.4 Update
Adobe Acrobat and Reader 6.0.5 Update
Adobe Acrobat and Reader 6.0.6 Update
avast! Antivirus
Kaspersky Online Scanner
Online Armor 3.5
PowerQuest PartitionMagic 8.0 (Partitionierung erfolgt vor der Installation!)
TuneUp Utilities 2007

2.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

ciao, andreas

Ja hallo Andreas,

Mir schwante sowas an Zitat und das trifft mich tief! Ich weiss wohl, dass das Gegenteil von "Gut" "Gut gemeint" ist.

Wobei ich nun aber mal sagen muss: Wenn jeder alles könnte, bräuchten wir uns in der IT nicht zu spezialisieren.

Ich geb mir Mühe (Er hat sich stets bemüht...ich weiss...) - nur kamen folgende Einträge nur Aufgrund der letzten 3 Wochen und der Hinweise, was man alles scannen soll und was besser und schlechter ist und das alle Software ein update braucht, erst zustande:

Zitat:

Adobe Acrobat - Reader 6.0.2 Update
Adobe Acrobat and Reader 6.0.3 Update
Adobe Acrobat and Reader 6.0.4 Update
Adobe Acrobat and Reader 6.0.5 Update
Adobe Acrobat and Reader 6.0.6 Update
avast! Antivirus
Kaspersky Online Scanner
Online Armor 3.5

Da wäre ich ja ohne die Tipps hier gar nicht drauf gekommen das überhaupt zu installieren. :mad:

hier noch das austehende mbam-log:

Code:

Malwarebytes' Anti-Malware 1.40

Datenbank Version: 2580

Windows 5.1.2600 Service Pack 2
 

08.08.2009 22:47:26

mbam-log-2009-08-08 (22-47-26).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 299598

Laufzeit: 2 hour(s), 35 minute(s), 35 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Also hau ich den ganzen Kram wieder aus dem System, aber was soll ich in der Zeit zum Schützen nehmen?

Danke, dass Du Dir die Zeit nimmst....Und sag mir bitte, wie ich es besser machen soll!
Ich bin leider nicht so auf dem Draht und würde das gern lernen....aber Fragen, die man stellt werden ja zum Teil auch übergangen oder ignoriert (was auf's Gleiche rauskommt :) ).

Combofix folgt noch (hab 2 kleine Jungs und bin die Woche über unterwegs - da muss ich schauen, wann ich Zeit finde alles zu machen)

Viele Grüße,
Marcus

Hallo Andreas,

Also bis auf den avast hab ich alles aus dem System entfernt.

Muss der avast komplett raus oder reicht es den zu deaktivieren während des Scans?

Wichtigere Frage: Wie lange wird der Scan ca. dauern? Ist das vergleichbar mit dem mbam? Dann würde ich es heute nicht mehr schaffen und müsste das auf kommendes WE verlegen. :(

Danke und Gruß,
Marcus

So - jetzt versteh ich auch, warum ich avast deinstallieren sollte.

Hab ich für den Scan gemacht, hier ist das Ergebnis vom Combofix.

Vielen Dank und viele Grüße,
Marcus

Zitat:

aber was soll ich in der Zeit zum Schützen nehmen?

Wieso glaubt ihr eigentlich alle, das ein Antivirenprogramm euch schützen kann? Klicke auf den dritten Link in meiner Signatur.

Es gibt da einige sehr merkwürdige Einträge, die ich noch nicht zuvor gesehen habe. Die sehen für mich alle wie Schädlinge aus. Die Dateien sind z.T. nicht sichtbar, auch wenn du Schritt 1 ausführst. Es sind z.T. Rootkits. Markiere jeweils eine Zeile, kopiere sie und füge sie im Uploadchannel ein.

Lade folgende Dateien

Code:

c:\huadio.tmp

c:\programme\Gigabyte\Gigabyte Windows Utility Manager\markfun.w32

c:\windows\system32\DRIVERS\inidvd.sys\00

c:\windows\system32\DRIVERS\inidvd.sys

bitte bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html

Rootkitsuche mit SysProt:

Lade dir SysProt auf den Desktop und starte das Tool
Gehe dort auf den Reiter "Log"
Setze nun einen Haken bei:
- Kernel Modules
- Kernel Hooks
- Hidden Files
- Und Unten bei "Hidden Objects Only"
Drücke nun auf "Create Log"
Es erscheint nach einem kurzen Scan die ein Dialogfenster. Wähle dort "Scan All Drives"
Wenn der Scan abgeschlossen ist, beende SysProt.
Poste den gesamten Inhalt der "SysProtLog.txt", die auf dem Desktop zu finden ist.

ciao, andreas

Hallo Aandreas,

2 Dateien konnte ich finden und hab sie hochgeladen.

Die hier konnte ich nicht finden, hab leider auch keine Zeit mehr heute und kann erst wieder kommenden Freitag weiter machen :mad:

Code:

c:\huadio.tmp

c:\windows\system32\DRIVERS\inidvd.sys\00

Danke Dir und vielleicht sagen die ersten beiden schon etwas aus?

Viele Grüße,
Marcus

Zitat:

hab leider auch keine Zeit mehr heute und kann erst wieder kommenden Freitag weiter machen

Ich kann warten. :)

Zitat:

Die hier konnte ich nicht finden,

Das ist gut so, denn dann sind die Einträge in den Logs nur noch Reste, die wir in jedem Fall entfernen werden.

Zitat:

vielleicht sagen die ersten beiden schon etwas aus?

Die sind sauber. :daumenhoc

ciao, andreas

Hi Andreas,

bin zwar online, aber nicht an dem PC, den wir gerade in der Mangel haben.

Ich danke Dir auf jeden Fall für den bisherigen Part! :dankeschoen:

Würde mich dann kurz per PN melden, wenn wir den Rest rauswerfen können.

Dann eine schöne Woche und auf bald...viele Grüße,
Marcus