Trojaner-Board - HJT-Logfile und Frage zu Onlinescanner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HJT-Logfile und Frage zu Onlinescanner (https://www.trojaner-board.de/78412-hjt-logfile-frage-onlinescanner.html)

HJT-Logfile und Frage zu Onlinescanner

Hey...ich hatt gestern ne Virenwarnung von meinem Avira, und vor ner Woche hat er bei einem Durchlauf auch was gefunden,ich gehe zwar davon aus dass ich ihm zu Dank noch clean bin aber könnte sich jemand trotzdem mal das Logfile vom HJT anschauen?

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:58:18, on 14.10.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\Explorer.EXE

C:\WINXP\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\WINXP\system32\ctfmon.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINXP\system32\svchost.exe

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

C:\Programme\eMule\emule.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINXP\bdoscandel.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - hxxp://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - hxxp://ax.emsisoft.com/asquared.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
 

--

End of file - 4742 bytes

Des weiteren noch ne Frage...ich hab mal nach nem Befall auf euren Rat hin ein paar Onlinescanns drüberlaufen lassen, das ist schon ne ganze Weile her, aber ich kriege jedesmal wenn ich heut noch den CCleaner drüberlaufen lasse wieder was drin von diesen onlinescannern, muss ich da nochmal irgendwas eigens deinstallieren?Auch im HJT-Log steht da was, es waren asquared, f-secure und bitdefender.In der Softwareliste ist nix, aber anscheinend werden da immer noch updates geladen, wie kann ich das endgültig abstellen?

Hallo,

Bitte bei Meldungen zu Viren immer die genauen Schädlingsnamen und Pfadangaben notieren und hier posten!

Zitat:

...ich hab mal nach nem Befall auf euren Rat hin ein paar Onlinescanns drüberlaufen lassen, das ist schon ne ganze Weile her,

Welche Online-Scans? Du solltest das schon genauer erklären welche das waren und wenn was gefunden wurde diese Funde posten.

Ansonsten: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Also das sind mal die Meldungen, Namen und Pfadangaben von meinem Avira:
Heute nacht:

Code:

In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\_CACHE_002_'

wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.

Ausgeführte Aktion: Zugriff verweigern

Gestern:

Code:

In der Datei 'C:\Dokumente und Einstellungen\Olli\Eigene Dateien\Sound'

wurde ein Virus oder unerwünschtes Programm 'EXP/ASF.GetCodec.Gen' [exploit] gefunden.

Ausgeführte Aktion: Datei löschen

Vor 5 Tagen:

Code:

In der Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\n28c3ekv.default\Cache\314A7A8Cd01'

wurde ein Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic] gefunden.

Ausgeführte Aktion: Zugriff verweigern

Alles vom Guard gemeldet.
Das hier kam bei einem Systemscan vor einer Woche raus:

Code:

Die Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.ivd'

enthielt einen Virus oder unerwünschtes Programm 'HTML/Silly.Gen' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a427dc0.qua' verschoben!

Code:

Die Datei 'C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\temp\OnlineScanner\updates\aquawin32\cran.cvd'

enthielt einen Virus oder unerwünschtes Programm 'Trivial-28 (A)' [virus].

Durchgeführte Aktion(en):

Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b2b868f.qua' verschoben!

Quarantäne ist mittlerweile wieder leer.

Die Onlinescans waren-wie schon im 1.Post geschrieben ;-) -f-secure, bitdefender und a-square.Das war als ich vor einigen wochen ein Problem hatte und mich an euch gewannt hab, da wurde vom Helfer als Schlussakt geraten die 3 drüberlaufenzulassen um sicherzugehen dass alles clean ist. Damals haben die Scans auch alles als "sauber" angezeigt, mich irritiert nur dass ich vom CCleaner auch heute noch immer wieder neue Meldungen davon kriege- und mich irritiert dass die beiden Funde bei meinem letzten System-Scan in den Temp-Dateien dieser Online-Scanner sind...siehe oben.

Bei meinem oben erwähnten letzten Besuch hier wurde mir auch geraten Malwarebytes zu deinstallieren-deswegen dauert´s jetzt erstmal ein bisschen bis ich das runtergeladen und wieder installiert hab, und das Logfile schicken kann, ist aber grad in Arbeit.Ich poste es hier direkt, dürfte nicht allzugross sein.

Edit:Seh grad dass die RSIT-logs grösser sind...also doch fileupload :-)

Und letztendlich der Downloadlink für die Logfiles:

http://www.file-upload.net/download-...-Rsit.zip.html

Ich hoffe mal ich hab jetzt nix vergessen...

Also ich seh da nichts Auffälliges. Ich schätze, Du bist entlassen :D

Ok,cool...danke schonmal hierfür :-D
Aber was ist mit der Geschichte, dass ich von den Online-Scannern jetzt noch immer wieder was in den Temp-Dateien finde, und in diesen auch die 2 Viren hatte?Erkannte Avira die fehlerhaft als Viren weil bei den scharfen Einstellungen auch mal ein Fehlgriff dabei ist?Das würde ich ja noch einsehen, aber warum hab ich da immer noch Aktivität?Bleiben die im Hintergrund?

Leere doch mal bitte den Cache im Firefox und am besten auch im IE, oder haste das schon gemacht? Wird von den Online-Scannern noch woanders was gefunden außer dem Browsercache? :confused:

Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte oder poste Namen und Pfade.

Nee, hatte ich noch nicht...nutze normal nur den FF, den IE in ganz seltenen Fällen, die Onlinescans liefen über den IE...
Ich geh normal alle 1-2 wochen mit dem CCleaner drüber, und das mit den TEMPs ist mir nur aufgefallen wenn wirklich mal bissl Zeit dazwischen war, gut möglich dass das speziell dann war wenn ich ausnahmsweise mal was mit dem IE gemacht hab.
Hab jetzt beide Caches gelöscht, in dem vom IE waren auch noch Daten von allen 3 Onlinescannern drin.
Ausserdem hab ich unter C:\WINXP noch einen Ordner gefunden der heisst "BDOSCASN8", in dem sind einige html- und dll-Dateien drin und ein Ordner der "Plugins" heisst,
und unter C:\WINXP\Downloaded Program Files finde ich noch die Active-X-steuerelemente von allen 3 Scannern:

a-sqared Scanner
BDSCANONLINE Control
F-Secure Online-Scanner Launcher

In der Liste hab ich weiterhin noch
Java Runtime Encironment 1.6.0,
und zwar 3 mal untereinanderstehend...

und als letztes-bzw erstes in der Liste- eins mit der Bezeichnung
{D27CDB6E-AE6D-96B8-444553540000}.

Alle sind als "Installiert" angegeben, ausser dem mit der Ziffernfolge als Name, das wird als "unbekannt" angegeben, ist das soweit normal?Kann ich da was davon löschen?

PrevX hab ich ohne gross einstellungen vorzunehmen durchlaufen lassen, hat nix gefunden...was speziell ist das genau, lohnt es sich das im Hintergrund öfters laufen zu lassen oder soll ich das wieder schliessen bzw gleich deinstallieren?

Ob beim nächsten mal CCleaner wieder was findet kann ich leider erst in ein paar Tagen sagen...

1. Lass Dich mal nicht verrückt machen :)

Den CCleaner musst Du anweisen, auch den Cache vom Firefox (Mozilla) mit zu leeren.

Bzgl. Java: Alle alten Versionen solltest Du deinstallieren und die aktuellste installieren:

Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Zitat:

und als letztes-bzw erstes in der Liste- eins mit der Bezeichnung
{D27CDB6E-AE6D-96B8-444553540000}.

Scheint nur ein Überrest von Flash zu sein..

Zitat:

hat nix gefunden...was speziell ist das genau, lohnt es sich das im Hintergrund öfters laufen zu lassen oder soll ich das wieder schliessen bzw gleich deinstallieren?

Nein, brauchst Du nicht öfter laufen lassen, es sei denn Du hast Langeweile und viiiel Zeit ;)

Ok...mach ich.In der Softwareliste hab ich nur das Java 6 update 15...

Kann ich unter C:\WINXP\Downloaded Program Files die aufgezählten Active-X-Elemente auch löschen oder krieg ich da dann Probleme?

So...Hab ehrlich gesagt keine Ahnung was dieses Java genau ist :-) Hast ne ganz kurze Erklärung?

Wusste demnach dann auch nicht genau was runterladen, hab dann das hier genommen:
jre-6u16-windows-i586.exe
Passt das soweit?von wegen Developer Kit, verschiedene Betriebssysteme etc...etc...

Ich würd die Dateien im Ordner einfach so lassen. Die stören nicht.

Was Java angeht, solltest Du mal diesen Artikel lesen , wenn Du wissen willst was ist, besser als wenn ich das Rad das 2. Mal erfinde :rolleyes:

Die Datei, die Du runtergeladen ist ist richtig. Steht ja auch, dass Du das JRE (Java Runtime Environment) brauchst und Version 6u16 ist derzeit aktuell.

Ok...dann bedank ich mich herzlich für die Hilfe und Auskünfte, schönen Tag noch!