Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Meldungen in der Firefox-Fehlerkonsole (https://www.trojaner-board.de/50839-meldungen-firefox-fehlerkonsole.html)

Luise 21.03.2008 16:30
Meldungen in der Firefox-Fehlerkonsole
 
Hallo Zusammen,

folgend versuche ich mein aktuelles Problem möglichst genau zu schildern:

Seit einigen Tagen, laden mein Firefox und Opera recht langsam. Also habe ich mir mal die Fehlerkonsole angeschaut und dort etliche Warnungen und Fehler aufgelistet gefunden.

Exemplarisch dafür poste ich hier mal zwei Warnungen:

Zitat:
Warnung: Fehler beim Verarbeiten des Wertes für Eigenschaft 'text-align'. Deklaration ignoriert.
Quelldatei: Sport Live bei sportal.de
Zeile: 0
Zitat:
Warnung: ',' oder '{' erwartet, aber 'html' gefunden. Regelsatz wegen ungültigem Selektor ignoriert.
Quelldatei: http://www.kicker.de/css/generic/ressort_v4-2-10.css
Zeile: 32
Dazu noch einen Fehler:

Zitat:
Fehler: uncaught exception: Die Erlaubnis für den Aufruf der Methode Location.toString wurde verweigert

Fast alle Meldungen haben gemeinsam, dass es wohl etwas mit diesem "css" zu tun haben muss.
Hinzu kommt, dass meine CPU-Auslastung (Intelproz. mit 3000Mhz) meiner Meinung nach mit 47% ziemlich hoch ist. Bei den 47% hatte ich nur MIRC und Firefox auf.

Was ich bisher unternommen habe:

Ein Bekannter hat mal meinen HiJackThis-Log durchgeschaut und mir geraten zwei Einträge zu löschen, was ich auch getan habe. Nämlich diese hier:

Zitat:
O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"

O4 - HKCU\..\Run: [idoleggs] C:\DOKUME~1\USERNAME~1\ANWEND~1\TRAYFR~1\Cash Fast.exe

Hat aber nichts geholfen. Zuvor habe natürlich schon beide Browser neuinstalliert, Java usw. geupdatet und Cache geleert.

Meine Virenprogramme - Avira, a², Adaware und Spybot - finden allesamt nichts. Meine Zonealarm Firewall war auch nie deaktiviert.
Falls es noch wichtig ist: Ich benutze Windows NT.


Hat einer 'ne Idee? Kann mir jemand helfen?

Ich danke im Vorraus schonmal für eure Mühen!


P.S.: Falls jemand meinen HiJackThis-Log sehen möchte, kann ich ihn gerne auch hierreinstellen.

cosinus 21.03.2008 16:37
Die zwei Einträge sehen echt nicht gut aus. Poste bitte das komplette Hijackthis-Logfile!

Luise 21.03.2008 16:42
Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

cosinus 21.03.2008 17:10
Aha, Du hast Windows 2000. :rolleyes:
Sind denn da auch alle Updates installiert? Also außer dem SP4 auch das Update Rollup 1 für das SP4 und die zig weiteren? Kannst Du recht gut nachschauen unter Systemsteuerung / Software.

Aber nun zur weiteren Analyse. Ich schalge folgende Tools zur Ausführung vor und Du postest Du Logs davon in [code] tags umschlossen:

* Blacklight
* eScan
* Silentrunners
* combofix

Da aber gerade dieser Eintrag

O4 - HKLM\..\Run: [Windows Services] "C:\Programme\svchosts.exe"

wirklich nicht schön aussieht, plädiere ich dafür, daß Du Dich auf jeden Fall schonmal auf ein Formatieren einstellen solltest. :kloppen:

Luise 22.03.2008 12:19
Morgen Zusammen!

ALso ich habe alle vier Programme nun durchlaufen lassen.

Blacklight hat nichts gefunden, da es dort auch kein Logfile gab, habe ich nichts, was ich kopieren könnte. Aber in diesem Fall dürfte das ja nicht so schlimm sein.

Nachdem eScan sagenhafte 4 Stunden meinen Rechner auf den Kopf gestellt hat, habe ich ein Logfile erhalten, welches ich aber aus irgendwelchen Gründen nicht in das Programm find.bat laden konnte. Ich habe die Anweisungen eigentlich genau befolgt. Evtl. kannst du ja mit der Rohfassung des Logs etwas anfangen?

Silentrunners hat mir Folgendes ausgespuckt:
Zitat:
"Silent Runners.vbs", revision 56, http://www.silentrunners.org/
Operating System: Windows 2000
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"internat.exe" = "internat.exe" [MS]
"NBJ" = ""C:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]
"updateMgr" = "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB0_0_0 -reboot 1" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Synchronization Manager" = "mobsync.exe /logon" [MS]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAudPropShortcut.exe" ["Windows (R) Server 2003 DDK provider"]
"NeroFilterCheck" = "C:\WINNT\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"PCMService" = ""C:\Programme\Logitech\MediaLife\MediaLifeService.exe"" ["Logitech Corp."]
"ZoneAlarm Client" = ""C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "Systemsteuerungserweiterung für die Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINNT\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" [file not found]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]
"{D9872D13-7651-4471-9EEE-F0A00218BEBB}" = "Multiscan"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
ZLAVShExt\(Default) = "{D9872D13-7651-4471-9EEE-F0A00218BEBB}"
-> {HKLM...CLSID} = "ZLAVShExt Class"
\InProcServer32\(Default) = "C:\Programme\Zone Labs\ZoneAlarm\zlavscan.dll" ["Zone Labs, LLC"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "C:\PROGRA~1\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableTaskMgr" = (REG_DWORD) dword:0x00000000
{User Configuration|Administrative Templates|System|Logon/Logoff|
Remove Task Manager}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"disablecad" = (REG_DWORD) dword:0x00000001
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "%APPDATA%\Mozilla\Firefox\Desktop Hintergrund.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Harry Hirsch\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINNT\system32\ssstars.scr" [MS]


Startup items in "Harry Hirsch" & "All Users" startup folders:
--------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart
"Logitech Desktop Messenger" -> shortcut to: "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe -startup" ["Logitech Inc."]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\KEM.exe" ["Logitech Inc."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS]


Enabled Scheduled Tasks:
------------------------

"AntiVir Scheduler" -> launches: "C:\PROGRA~1\AVPERS~1\AVSCHE~1.EXE" [file not found]
"AntiVir" -> launches: "C:\PROGRA~1\AVPERS~1\AVWIN.EXE" [file not found]
"At1" -> launches: "C:\WINNT\system32\wunauclt.exe" [file not found]
"At2" -> launches: "C:\WINNT\system32\wunauclt.exe" [file not found]
"At3" -> launches: "C:\WINNT\system32\wunauclt.exe" [file not found]
"Datenträgerbereinigung" -> launches: "C:\WINNT\system32\cleanmgr.exe" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\rnr20.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\msafd.dll [MS], 01 - 04, 07 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"
-> {HKLM...CLSID} = "Norton Personal Firewall"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}" = "Norton Personal Firewall"
-> {HKLM...CLSID} = "Norton Personal Firewall"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" [file not found]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Free Service, a2free, ""C:\Programme\a-squared Free\a2service.exe"" ["Emsi Software GmbH"]
AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINNT\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
COM+-Ereignissystem, EventSystem, "C:\WINNT\System32\svchost.exe -k netsvcs" {"C:\WINNT\System32\es.dll" [null data]}
TrueVector Internet Monitor, vsmon, "C:\WINNT\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]


Accessibility Tools:
--------------------

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Narrator\
"Application Path" = (empty string) [file not found]
"Display Name" = "Narrator"
"Start with Utility Manager" = dword:0x00000001


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
hpzlnt04\Driver = "hpzlnt04.dll" ["HP"]


---------- (launch time: 2008-03-22 12:03:07)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 58 seconds, including 17 seconds for message boxes)

Luise 22.03.2008 12:21
Sorry, für das Doppelpost, aber das zweite Logfile wurde dann von der Zeichenzahl zuviel. Wenn ich das irgendwie anders posten kann, sagt mir bitte bescheid.

Und dann noch combofix:

Zitat:
ComboFix 08-03-21.2 - Harry Hirsch 22.03.2008 12:06:00.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.656 [GMT 1:00]
ausgeführt von:: F:\Downloads\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\regedit.com
C:\WINNT\system32\config\SAM.SAV
C:\WINNT\system32\taskmgr.com
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-22 12:03 . 22.03.08 12:03 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_3c8.dat
2008-03-21 22:21 . 21.03.08 22:21 552,958 ---h----- C:\WINNT\ShellIconCache
2008-03-21 22:08 . 21.03.08 22:08 <DIR> d-------- C:\escan
2008-03-21 22:07 . 21.03.08 22:07 0 --a------ C:\23990098.$$$
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\zts2.exe
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\system32\vcmgcd32.dll
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\system32\iifgfgf.dll
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\rundll16.exe
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\rundl132.dll
2008-03-21 18:08 . 21.03.08 18:08 <DIR> d-a------ C:\WINNT\logo1_.exe
2008-03-21 17:44 . 21.03.08 18:06 50 --a------ C:\WINNT\Lic.xxx
2008-03-21 17:43 . 19.06.03 12:05 89,872 --a------ C:\WINNT\system32\T.COM
2008-03-21 17:43 . 19.06.03 12:05 76,560 --a------ C:\WINNT\R.COM
2008-03-17 20:46 . 17.03.08 20:46 <DIR> d-------- C:\Programme\backups
2008-03-16 23:33 . 16.02.05 11:06 218,112 --a------ C:\Programme\HijackThis.exe
2008-03-14 17:38 . 14.03.08 17:38 <DIR> d-------- C:\Programme\Opera
2008-03-13 20:10 . 22.02.08 02:33 69,632 --a------ C:\WINNT\system32\javacpl.cpl
2008-03-09 15:20 . 09.03.08 15:20 <DIR> d-------- C:\Programme\EA GAMES

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 11:09 --------- d---a-w C:\Programme\mIRC
2008-03-21 15:40 8,104 ----a-w C:\Programme\hijackthis.log
2008-03-21 13:11 --------- d---a-w C:\Programme\a-squared Free
2008-03-17 20:02 --------- d---a-w C:\Programme\Gemeinsame Dateien\Dienste
2008-03-15 01:55 16,081,982 ----a-w C:\WINNT\Internet Logs\tvDebug.zip
2008-03-13 19:10 --------- d---a-w C:\Programme\Java
2008-03-09 22:27 --------- d---a-w C:\Programme\emule
2008-03-09 14:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-27 17:19 2,009,600 ----a-w C:\WINNT\Internet Logs\xDBD.tmp
2008-02-19 11:26 2,002,944 ----a-w C:\WINNT\Internet Logs\xDBC.tmp
2008-02-18 16:53 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINNT\Anwendungsdaten\Spybot - Search & Destroy
2008-02-17 15:43 --------- d---a-w C:\Programme\Spybot - Search & Destroy
2008-02-16 10:42 691,545 ----a-w C:\WINNT\unins001.exe
2008-02-12 16:55 --------- d---a-w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-27 16:39 --------- d-----w C:\Programme\eBay
2008-01-02 18:58 21,840 ----atw C:\WINNT\system32\SIntfNT.dll
2008-01-02 18:58 17,212 ----atw C:\WINNT\system32\SIntf32.dll
2008-01-02 18:58 12,067 ----atw C:\WINNT\system32\SIntf16.dll
2007-12-27 10:03 394,532 ----a-w C:\Programme\Uninstall.exe
2007-12-23 19:09 1,878,528 ----a-w C:\WINNT\Internet Logs\xDBB.tmp
2007-12-14 06:08 1,861,632 ----a-w C:\WINNT\Internet Logs\xDBA.tmp
2007-12-01 19:06 1,840,640 ----a-w C:\WINNT\Internet Logs\xDB9.tmp
2007-09-08 12:57 2,952,192 ----a-w C:\WINNT\Internet Logs\xDB7.tmp
2007-09-08 12:57 1,653,760 ----a-w C:\WINNT\Internet Logs\xDB8.tmp
2007-08-25 11:19 2,998,272 ----a-w C:\WINNT\Internet Logs\xDB5.tmp
2007-08-25 11:19 1,635,328 ----a-w C:\WINNT\Internet Logs\xDB6.tmp
2007-07-24 11:38 3,094,528 ----a-w C:\WINNT\Internet Logs\xDB3.tmp
2007-07-24 11:38 1,561,088 ----a-w C:\WINNT\Internet Logs\xDB4.tmp
2007-05-06 00:12 1,402,880 ----a-w C:\WINNT\Internet Logs\xDB2.tmp
2007-04-01 20:01 1,232,896 ----a-w C:\WINNT\Internet Logs\xDB1.tmp
2007-02-28 22:21 1,423,872 ----a-w C:\Programme\FLEngine.dll
2007-02-26 15:28 73,046 ----a-w C:\Programme\WhatsNew.doc
2007-02-26 09:59 544,768 ----a-w C:\Programme\Elastique.dll
2007-01-24 13:19 2,478,080 ----a-w C:\Programme\dsp_ipp.dll
2007-01-18 23:34 377,856 ----a-w C:\Programme\FL.exe
2006-12-22 09:13 13,082,284 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2006_12_22_01_36_14_full.dmp.zip
2006-11-01 23:47 6,499,588 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2006_11_02_00_46_54_full.dmp.zip
2006-09-24 10:11 266,240 ----a-w C:\Programme\lame_enc.dll
2006-09-24 09:58 141,312 ----a-w C:\Programme\lame.exe
2006-08-27 15:38 1,015,973 --sha-r C:\Programme\serial.zip
2006-08-27 15:38 1,015,973 --sha-r C:\Programme\serial.tde
2006-08-27 15:19 56,239 ----a-w C:\Programme\svchosts.tbe
2006-08-17 09:17 6,498,897 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2006_08_17_11_16_51_full.dmp.zip
2006-06-30 13:16 8,898,554 ----a-w C:\WINNT\Internet Logs\vsmon_on_demand_2006_06_30_15_04_48_full.dmp.zip
2006-05-28 16:46 397,306 --sha-r C:\Programme\wunauclt.zip
2006-05-28 16:46 397,306 --sha-r C:\Programme\wunauclt.tbe
2006-05-15 14:09 101 ----a-w C:\Programme\README.url
2006-05-15 14:08 78 ----a-w C:\Programme\GTAworld.de.url
2006-05-15 14:04 823 ----a-w C:\Programme\GTAworld.de.txt
2006-04-29 08:59 181,248 ----a-w C:\Programme\DelZip179.dll
2005-10-16 11:21 1,487 ----a-w C:\Programme\testpic.gif
2005-09-25 12:20 36,406 ----a-w C:\WINNT\Internet Logs\zlclient_2nd_2005_09_24_22_57_53_small.dmp.zip
2005-07-21 19:26 459,915 ----a-w C:\WINNT\Internet Logs\vsmon_2nd_2005_07_21_18_21_54.dmp.zip
2005-02-11 17:24 271 ---ha-w C:\Programme\desktop.ini
2005-02-11 17:24 22,080 ---ha-w C:\Programme\folder.htt
2005-02-09 03:48 874 ----a-w C:\Programme\INSTALL.LOG
2004-07-29 01:19 175,104 ----a-w C:\Programme\LAMEenc.dll
2004-02-27 12:08 233,472 ---ha-w C:\Programme\REX Shared Library.dll
2003-06-23 08:43 77,824 ----a-w C:\Programme\ds2wav.dll
2002-12-25 16:39 192,512 ----a-w C:\Programme\ZeroX_AS.dll
2002-11-15 18:41 184,320 ----a-w C:\Programme\Speaker.dll
2002-08-01 12:05 349,184 ----a-w C:\Programme\sveng32.dll
2002-08-01 12:05 124,416 ----a-w C:\Programme\svctl32.dll
2001-04-13 13:23 53,248 ----a-w C:\Programme\OpenAsio.dll
2000-05-25 14:29 98,304 ----a-w C:\Programme\ss2wav.dll
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
1999-08-02 08:50 81,920 ----a-w C:\Programme\ss2wav16.dll
1999-03-24 06:54 40,960 ----a-w C:\Programme\dsplib.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 13:00 20752 C:\WINNT\system32\internat.exe]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [30.11.04 12:36 1945600]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.08 11:43 2097488]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [11.07.06 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 12:05 112400 C:\WINNT\system32\mobsync.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03.08.04 21:10 339968]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [17.03.04 16:10 61952 C:\WINNT\system32\Hdaudpropshortcut.exe]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [09.07.01 10:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [22.02.08 04:25 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [14.02.06 01:34 180269]
"Cmaudio"="cmicnfg.cpl" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [21.10.07 15:08 249896]
"PCMService"="C:\Programme\Logitech\MediaLife\MediaLifeService.exe" [28.04.04 15:10 73728]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [08.03.07 23:02 919280]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.08 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 13:00 20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [ ]

C:\Dokumente und Einstellungen\All Users.WINNT\Startmen\Programme\Autostart\
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-06-18 21:22:47 67128]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\KEM.exe [2007-02-11 11:46:04 573440]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

R1 SSHDRV86;SSHDRV86;C:\WINNT\system32\drivers\SSHDRV86.sys [08.01.08 22:19 ]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINNT\system32\DRIVERS\TDSLAdap.sys [12.02.01 21:02 ]
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [19.06.03 12:05 ]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [10.12.99 13:00 ]
S3 avgntdd;avgntdd;C:\Programme\AVPersonal\AVGNTDD.SYS []
S3 bDMusicb;bDMusicb;C:\DOKUME~1\HARRYH~1\LOKALE~1\Temp\bDMusicb.sys [18.03.07 00:42 ]
S3 cmudax;C-Media High Definition Audio Interface;C:\WINNT\system32\drivers\cmudax.sys [02.07.04 04:00 ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\Common\Database\bin\fbserver.exe [17.11.05 14:18 ]
S3 lsermous;Treiber für serielle Logitech-Maus;C:\WINNT\system32\DRIVERS\lsermous.sys [07.12.99 22:59 ]
S3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINNT\system32\DRIVERS\RMSPPPOE.SYS []
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINNT\system32\DRIVERS\ss_bus.sys [30.08.05 17:57 ]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINNT\system32\DRIVERS\ss_mdfl.sys [30.08.05 17:58 ]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINNT\system32\DRIVERS\ss_mdm.sys [30.08.05 17:59 ]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINNT\system32\DRIVERS\TDSLProt.sys [12.02.01 21:02 ]
S3 yukonw2k;NDIS5 Miniport Driver for Marvell Yukon Ethernet Controller;C:\WINNT\system32\DRIVERS\yk50x86.sys [16.06.04 00:14 ]

.
Inhalt des "geplante Tasks" Ordners
"2007-12-31 10:00:00 C:\WINNT\Tasks\AntiVir Scheduler.job"
- C:\PROGRA~1\AVPERS~1\AVSCHE~1.EXE
"2008-01-19 15:15:00 C:\WINNT\Tasks\AntiVir.job"
- C:\PROGRA~1\AVPERS~1\AVWIN.EXE
"2007-11-11 13:00:00 C:\WINNT\Tasks\At1.job"
- C:\WINNT\system32\wunauclt.exe
"2008-03-11 19:00:00 C:\WINNT\Tasks\At2.job"
- C:\WINNT\system32\wunauclt.exe
"2006-12-11 17:24:10 C:\WINNT\Tasks\At3.job"
- C:\WINNT\system32\wunauclt.exe
"2008-02-25 16:40:35 C:\WINNT\Tasks\Datenträgerbereinigung.job"
- C:\WINNT\system32\cleanmgr.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 12:09:03
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 22.03.2008 12:09:47
ComboFix-quarantined-files.txt 2008-03-22 11:09:44
.
2007-11-13 17:13:52 --- E O F ---
Mittlerweile bin ich psychisch auf eine Formatierung vorbereitet. :dummguck:

Luise 25.03.2008 20:49
Mittlerweile ist meine CPU Auslastung wieder bei normalen werten, die Fehler, die die Browser mir bringen, haben aber weiter Bestand. :/

cosinus 25.03.2008 22:20
Hier bin ich wieder! :)
Sry hatte die letzten Tage echt viel um die Ohren ;) aber nun kann ich mir die logs mal genauer anschaun. Du sagtest escan hätte vier Stunden (!!) durchgerattert? Wurde da was nennenswertes gefunden? Wenn Du das nicht genau sagen kannst, dann durchforste mal deinen PC nach der mwav.log (sollte eigentlich noch im temp-Verzeichnis liegen) und sende sie mir gezippt an

root240(.at)arcor.de

(das (.at) nat. durch nen Klammeraffen ersetzen ;) )

So nun seh ich mir die logs an und äußere mich später da nochmal zu.

cosinus 25.03.2008 22:59
Sry aber Du mußt definitiv neu aufsetzen, also formatieren und Windows neu aufspielen. Mir fiel da eben sofort eine Datei auf:

Code:
"2007-11-11 13:00:00 C:\WINNT\Tasks\At1.job"
- C:\WINNT\system32\wunauclt.exe
"2008-03-11 19:00:00 C:\WINNT\Tasks\At2.job"
- C:\WINNT\system32\wunauclt.exe
"2006-12-11 17:24:10 C:\WINNT\Tasks\At3.job"
- C:\WINNT\system32\wunauclt.exe
=> Siehe hier. Es handelt sich mit großer Wahrscheinlichkeit im einen Backdoor-Schädling und da Du ja eh schon Einträge drin hattest, die auch auf Backdoorbefall schließen lassen, sollte eine Bereinigung mE komplett außer Acht gelassen werden, da viel zu unsicher. Deswegen können wir uns auch nun die Auswerterei der anderen Logs sparen, das mit escan ist also obsolete.

Bevor Du fragst warum sag ich Dir es gleich: Durch die Hintertür hatten x-Beliebige Dritte Vollzugriff auf Deinen PC. Jedenfalls bestand die Möglichkeit und keiner kann nun ausschließen, daß jmd im System drin war. Ein rel. kurzer Moment reicht da schon für den Zugriff und die Cracker konnten sehr sehr viel besser versteckte Hintertüren einbauen, die man niemals mit Sicherheit alle aufspüren könnte!

Du hast Windows 2000. Anleitungen zum Neuaufsetzen für XP gibt es einige, aber für Windows 2000 kenn ich nur die von einem "Kumpel" :D

Zitat:
Zitat von Kumpel vom ollen root

Windows 2000 neu aufsetzen

Allgemein gilt, dass man offline möglichst viele Updates einspielen sollte und erst dann zum ersten Mal ins Internet geht. Bei W2k wären das das SP4 sowie das Update Rollup 1 fürs SP4 und weitere Hotfixes in Form eines Updatepakets. In dieser Reihenfolge sollten sie installiert werden, dazwischen jew. ein Neustart:

1.) SP4
2.) UR1
3.) Updatepaket

Die Updates/Service Packs musst du dir vorher von einem sauberen Rechner besorgen und auf CD brennen, damit der frisch aufgesetzte Rechner offline aktualisiert werden kann. Erst wenn diese Updates eingespielt sind, kannst du rel. gefahrlos eine Internetverbindung aufbauen - ist der W2k-Rechner aber nicht hinter einem Router, empfiehlt es sich nach dem Einspielen der Updates unnötige Dienste zu beenden, da W2k anders wie XP keine Windows-Firewall hat.

M.W. benötigt W2k auch noch eine Aktualisierung auf IE6 (IE7 läuft unter W2k nicht!), da es nur standardmäßig mit IE5 ausgestattet ist. Besuch dazu, wenn alle Maßnahmen zur Absicherung durchgeführt worden sind, die Windows-Update-Seite mit dem IE.

Richte aber als Standardbrowser eine sicherere Alternative ein, wie z.B. Opera oder Mozilla Firefox.

Falls du eine bebilderte Beschreibung für die Installation von W2k brauchst, findest du sie hier => Windows 2000 Pro Installation
Das soweit zum neu aufsetzen. Etwaige wichtige Daten die noch evtl auf der vermurksten Kiste liegen mußt Du nat. vor dieser Prozedur extern sichern. Dazu empfiehlt es sich, das von einem sauberen (Live-)System aus zu erledigen, damit ja kein noch aktiver Schädling den Sicherungsprozeß gefährden könnte. Aber wirklich wichtige Dateien sichert man ja eh ständig und regelmäßig. ;) Nicht wahr? :rolleyes:

Luise 26.03.2008 11:40
Okay, vielen Dank dafür!

Habe mich dank dir ja schon auf ne komplette Formatierung einstellen können. :)
Also werde ich auch in jedem Fall beide Partitionen formatieren, um auf Nummer sicher zu gehen.

Achja... das werden nen paar schöne Stunden. :headbang:

Vielen Dank nochmal!

cosinus 26.03.2008 19:53
Dann viel Erfolg! ;)

root24 :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131