Trojaner-Board - Bitte Log ansehen :-)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte Log ansehen :-) (https://www.trojaner-board.de/9754-bitte-log-ansehen.html)

Bitte Log ansehen :-)

Hallo, kann mir jemand helfen und sich dat mal ansehen ?

Logfile of HijackThis v1.98.2
Scan saved at 13:27:42, on 19.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\FIRE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0296560f...dxIE601_de.cab

Ich hab zwar versucht das selber auszuwerten, aber da ich ein absoluter "keine Ahnung von PCs " Typ bin, wärs schön wenn mir das jemand auswerten könnte.

Ich hatte desöfteren Probleme mit "Rundll32" im Taskmanager, jedesmal, wenn ich das dort drinne hatte, konnte ich meinen Rechner nicht mehr runterfahren, ehe ich den Prozess manuell beendet habe. Manchmal war auch noch "Iexplore"(deutet zwar auf den Explorer hin, glaub aber das das was anderes ist :-( )im Tm zu finden, das verhindert hatte, dass ich den Browser neu öffnen konnte. Musste auch immer vorher "Iexplore" beenden, bis es wieder ging.Manchmal wurde auch beim Anklicken eines Icons plötzlich eine Verknüpfung davon gemacht, oder es öffneten sich bei Linksklicks komischerweise die Kontextmenüs.
Mit Antivir hab ich nix gefunden und Spybot hat bei mir nur Probleme gemacht. Könnt ihr da was rauslesen ?
Please Help.

Ps : Nachdem ich Spybot deinstalliert hatte, traten die Probleme komischerweise nicht mehr auf. Hab aber Angst, dass doch noch was drauf ist....

Gruß Wobble

Dein Log sieht soweit sauber aus!

Nur diesen Eintrag mußt du fixen undd dannach die .exe manuell Löschen

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe

Fixen mußt du im abgesicherten modus bei deaktivierter systemwiderherstellung!

Du solltest auch deinen IE mal updaten der ist nicht auf dem neusten Stand

Und du solltest lieber Mozilla firefox oder Opera verwenden die sind Sicherer
(ie nur noch zum updaten)

Zitat:

Zitat von ZERO

Danke für Deine schnelle Antwort und die Mühe Dir den Log anzusehen.
Leider hab ich keine Ahnung wie das geht :(

Also fixen = bei hijackthis Häckchen bei dem Eintrag machen und auf fixen klicken . richtig ?

Aber wie komm ich in den abgesicherten Modus bei deaktivierter systemwiederherstellung ? Hab ich noch nie gemacht :(

Btw : Was ist das eigentlich für ein Eintrag, was Schlimmes ?

Gruß Wobble

http://virusscan.jotti.org/de
Las die .exe hier mal untersuchen un poste das ergebnis wieder!

Hier die anleitung zum fixen.

du startest deinen pc neu und drückst dabei die F8 taste

Da kommst du in ein menü wo du den startmodus auswählen kannst!

Da mußt du dann abgesicherter modus auswählen

wenn du dann drin bist gehst du auf die systemsteuerung und dann auf system-->Reiter systemwiderherstellung-->systemwiderherstellung auf allen laufwerken deaktivieren setzen --> OK -->Übernehmen

dann mußt du evtl. neustarten.
wenn ja dann wie beschrieben wieder in den abges. modus gehen!

lass die datei aber erstmal untersuchen

Also, da ist ja kein Pfad oder ähnliches angegeben wo ich die Datei auf meinem Rechner finden könnte. Das ist ja mehr eine Link.Und danach suchen bringt kein Ergebnis.Wie soll ich das machen ? Sorry, das ist mir jetzt schon fast peinlich.

O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Hier nochmal ohne die Pünktchen zwischen drin, scheint zu Quicktime zu gehören ?
...a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe

Sorry war mein fehler!!!

Fix den eintrag wie beschrieben und poste dann noch mal ein neues LOG

(sollte mir ne Brille Kaufen!! :headbang: :headbang: :headbang: )

Es reicht wenn du das einfach mit hijackthis fixed.

Update bitte dein System www.windowsupdate.com besuchen und alle wichtigen updates herunterladen.

Ansonsten sieht das log eigentlich sauber aus.

Mach mal folgendes:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum -> übertragen"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

Dein Problem könnte allerdings auch an den fehlenden Windowsupdates liegen, hatte selber mal ähnliche Probleme unter win98.

Poste bitte nachdem du die updates und escan gemacht hast ein neues Hijackthis Logfile

Aber da war doch Quicktimeinstaller.exe am Ende, was vorher durch die Kürzung nach http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe aussah.
Ist das nicht normal ?

Normal schon, unschädlich auch, aber unnötig

Nochmal ne kleine blöde Frage, soll ich erst das System Updaten und dann mit Escan scannen oder umgekehrt ?

Scan erstmal mit escan vielleicht erübrigt sich das update ja vorerst :p

Erstmal escan machen

Sche**e, das Forum war gerade nicht erreichbar, da hab ich schonmal das Update vorgezogen, da ich den Escan Link nicht greifbar hatte. Hoffe das stellt kein Problem dar ...
Nuja, ich mach mich jetzt an Escan *lol*

Bin wieder da :-)

Also hier das Ergebnis von Escan :

Fri Nov 19 16:28:28 2004 => ***** Scanning complete. *****

Fri Nov 19 16:28:28 2004 => Total Files Scanned: 15946
Fri Nov 19 16:28:28 2004 => Total Virus(es) Found: 0
Fri Nov 19 16:28:28 2004 => Total Disinfected Files: 0
Fri Nov 19 16:28:28 2004 => Total Files Renamed: 0
Fri Nov 19 16:28:28 2004 => Total Deleted Files: 0
Fri Nov 19 16:28:28 2004 => Total Errors: 5
Fri Nov 19 16:28:28 2004 => Time Elapsed: 00:23:53
Fri Nov 19 16:28:28 2004 => Virus Database Date: 2004/11/18
Fri Nov 19 16:28:28 2004 => Virus Database Count: 109845

Und mein neuer Hijackthis Log :

Logfile of HijackThis v1.98.2
Scan saved at 16:32:08, on 19.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\FIRE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0296560f...dxIE601_de.cab

Was sagt Ihr ?

Gruß Wobble