Trojaner-Board - HiJack This ControlLog

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - HiJack This ControlLog (https://www.trojaner-board.de/8558-hijack-this-controllog.html)

HiJack This ControlLog

Hallo liebe Trojaner-Board Experten,

Habe nach einigen Mühen und Kämpfen meinen Computer wieder halbwegs sauber gebracht (SP2, NAV 2005, HiJackThis, AdAware). Wäre sehr dankbar, wenn ihr mein HiJackThis Log nochmal scannen könntet, ob noch was verseucht ist.

Vielen Dank im Voraus,

Martin

Logfile of HijackThis v1.97.7
Scan saved at 13:14:44, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\navapsvc.exe
D:\WINXP\Explorer.EXE
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\IWP\NPFMntor.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\WINXP\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINXP\system32\fxssvc.exe
D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\WINXP\system32\atiptaxx.exe
D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe
D:\WINXP\Twain_32\FlatBed\HotKey.exe
D:\Anwendungen\Internet\Download\Overnet\Overnet.exe
D:\anwendungen\multimedia\Player\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINXP\system32\ctfmon.exe
D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE
D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFinger.exe
D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
D:\Anwendungen\Multimedia\Viewer\Suitcase\Suitcase.exe
D:\WINXP\system32\wscntfy.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\SAVScan.exe
E:\Anwendungen\System\Sicherheit\Anti\HijackThis.exe
D:\WINXP\system32\taskmgr.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFingerBHO.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINXP\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Opware12] "D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe"
O4 - HKLM\..\Run: [HotKey] D:\WINXP\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lion] D:\Anwendungen\Edutainment\Sprachen\Englisch\LION\lion.exe
O4 - HKLM\..\Run: [Overnet] D:\Anwendungen\Internet\Download\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "D:\anwendungen\multimedia\Player\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Anwendungen\Verwaltung\Organisation\Microsoft Project\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
O4 - Global Startup: iFinger.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: iFinger (HKLM)
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096538391022
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

@Martin Berger

lade bitte den neuesten version von HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
und mache ein neuen scan, poste es hier im board
chaosman

Neues Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:02:26, on 18.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINXP\System32\smss.exe
D:\WINXP\system32\winlogon.exe
D:\WINXP\system32\services.exe
D:\WINXP\system32\lsass.exe
D:\WINXP\system32\svchost.exe
D:\WINXP\System32\svchost.exe
D:\WINXP\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\navapsvc.exe
D:\WINXP\Explorer.EXE
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\IWP\NPFMntor.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
D:\WINXP\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINXP\system32\fxssvc.exe
D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
D:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\WINXP\system32\atiptaxx.exe
D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe
D:\WINXP\Twain_32\FlatBed\HotKey.exe
D:\Anwendungen\Internet\Download\Overnet\Overnet.exe
D:\anwendungen\multimedia\Player\QuickTime\qttask.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINXP\system32\ctfmon.exe
D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE
D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFinger.exe
D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
D:\Anwendungen\Multimedia\Viewer\Suitcase\Suitcase.exe
D:\WINXP\system32\wscntfy.exe
D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\SAVScan.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\iexplore.exe
E:\Anwendungen\System\Sicherheit\Anti\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: iFinger - {1624F640-49AC-11D3-8ABD-00C04FA95EE0} - D:\Anwendungen\Edutainment\Sprachen\Französisch\iFinger\iFingerBHO.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Multimedia\Dokumente\Acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Anwendungen\System\Sicherheit\Anti Virus\Norton Anti Virus\NavShExt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Anwendungen\Hardware\Treiber\Logitech Cordless Desktop\iTouch\iTouch.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINXP\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Opware12] "D:\Anwendungen\Multimedia\Dokumente\OCR\Omnipage\Opware12.exe"
O4 - HKLM\..\Run: [HotKey] D:\WINXP\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lion] D:\Anwendungen\Edutainment\Sprachen\Englisch\LION\lion.exe
O4 - HKLM\..\Run: [Overnet] D:\Anwendungen\Internet\Download\Overnet\Overnet.exe -t
O4 - HKLM\..\Run: [QuickTime Task] "D:\anwendungen\multimedia\Player\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Anwendungen\Verwaltung\Organisation\Microsoft Project\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = D:\Anwendungen\Multimedia\Viewer\Nikon View\NkvMon.exe
O4 - Global Startup: iFinger.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = D:\Anwendungen\Multimedia\Dokumente\Acrobat\Distillr\acrotray.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - D:\WINXP\System32\SHDOCVW.DLL
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096538391022

Hallo Martin Berger,

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O4 - HKLM\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O4 - HKCU\..\Run: [Win32 Explorer] D:\WINXP\system32\explorer32.exe
O15 - Trusted Zone: *.windupdates.com

wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen:

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\anwendungen\hardware\Mobile Geräte\PDA\ActiveSync\inetrepl.dll

Beende im Taskmanager den laufenden Prozesse von:

D:\WINXP\system32\explorer32.exe

Boote in den normalen Modus.

Führe sicherheitshalber den eScan, online geupdatet, offline im abgesicherten Modus aus. Teile uns das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Poste ein neues Hijack This Logfile.

SD

@ shadowdance
Guckst Du mal hier:
http://www.trojaner-board.de/showthread.php?t=8573

Lieber Gruß
cacatoa ;)