Highjack-Logfile

mr.egg · 14.01.2005, 17:30

Logfile of HijackThis v1.99.0
Scan saved at 17:20:47, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

hallo..... bin neu.... bitte um Kommentar zu diesem Logfile....
ich denke ich weiß was kommt... aber....

vielen DANK im voraus

egg

Cidre · 14.01.2005, 17:33

Hallo,

überprüfe mal folgende Datei bei http://virusscan.jotti.org/de
und poste das Ergebnis:
wmpa36.exe

mr.egg · 14.01.2005, 17:35

Ergebnis des scans :

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

hab keine firewall außer der von xp

adaware findet nichts....

Cidre · 14.01.2005, 17:38

Sieh mal im TaskManager nach, wenn diese Datei als Prozess aufgeführt wird, dann kille diesen. Ansonsten benennst du die Datei mal um und probierst es nochmal.

mr.egg · 14.01.2005, 18:25

gesagt getan.

im Taskmanager ist der Prozess wmpa36 vorhanden, kille diesen.
Suche unter regedit wmpa36.
Finde : Windows Media Player 3.6 (mehrfach) umbenannt in WMP 3.9
000

alle mit dem Wert wmpa36.exe
nach einem Neustart ist der Prozess wieder da... in regedit einige Einträge wieder da, also WIndows Media Player 3.6
WIndows Media Player 3.9

noch ein Nachtrag. Zum Forum bin ich gekommen, weil mein OS ca. 1 Woche alt ist, musste es erneuern weil ich mir mächtig was eingefangen habe und ich nur noch traffic hatte ohne etwas zu tun.
Jetzt ist das OS neu, soweit alle updates drauf und die firewall ist an....
-mit firewall langsamer traffic
-ohne firewall sende ich wieder ohne Ende

hier nun die neue Log

Logfile of HijackThis v1.99.0
Scan saved at 18:25:46, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\regedit.com
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Media Player 3.9] wmpa36.exe
O4 - HKLM\..\Run: [Windows Media Player 3.6] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.9] wmpa36.exe
O4 - HKLM\..\RunServices: [Windows Media Player 3.6] wmpa36.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{FEE9EFFE-02F0-4C93-8C9E-B26008492944}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

oh man....

ty again

Cidre · 14.01.2005, 18:36

Lange Rede kurzer Sinn, siehe den Link in meiner Signatur.

mr.egg · 14.01.2005, 18:41

ich habe gehofft du würdest nicht zu dieser Aussage neigen..... schade....

trotzdem danke

greetz egg

Cidre · 14.01.2005, 18:48

Damit wir uns ganz sicher sind, dass dies wirklich nötig ist, führe doch mal dies aus ->

Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

mr.egg · 14.01.2005, 20:13

Fri Jan 14 19:18:04 2005 => File C:\WINDOWS\System32\wmpa36.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

ist nun renamed .... Prozess und Virus kommt nicht mehr auf

Logfile of HijackThis v1.99.0
Scan saved at 19:51:09, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

nochmal zum traffic.....
ist das normal daß ich ohne firewall 60kb/min empfange ohne eine site zu öffnen?

mit firewall habe ich nach aufrufen des forums (2:30 min) 50 kb

da ist noch irgendwo der wurm drin.....

mr.egg · 14.01.2005, 20:28

..und nochmals danke für das schnelle annehmen meiner Probs Cidre.... ich merke grad du bist ein Experte in diesem Forum.... wow wirklich gute und verständlich Beiträge... Hut ab :aplaus:

habe mir schon einige deiner Beiträge einfach gespeichert..hoffe draus lernen zu können....

chaosman · 14.01.2005, 21:43

@mr.egg

bei dem hier Backdoor.Win32.Rbot.gen"
bleibt dir nur übrig was cidre dir gepostet hat.

chaosman

mr.egg · 16.01.2005, 00:06

naja....also

alles war gut..... bis heut der Mediaplayer lief....

nach Neustart war wieder einer da....nur ein anderer....

mcafe32.exe
und
ntoskrl.exe ( ohne n )

ich sehe schon bleibt nicht übrig..... werd alles neu machen...

das einzige was mich juckt... ich habe zwei festplatten... dabei 5 Partitionen... ist es möglich das sich das Ding weiter fortgepflanzt hat? ich meine muss ich alle Partitionen formatieren? das wäre hart...... 120gb

mfg

Cidre · 16.01.2005, 01:44

Er wird sich zwar nicht fortpflanzen, da er nicht die Schadroutine eines Virus aufweist, aber es müssen alle Dateien als nicht mehr vertrauenswürdig angesehen werden. Sicherer wäre es auf jeden Fall wenn du beide Festplatten formatieren würdest.

mr.egg · 23.01.2005, 03:37

hey.... bitte um Kontrolle....

Logfile of HijackThis v1.99.0
Scan saved at 03:32:07, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\totalcmd\TOTALCMD.EXE
D:\setups\Virenscanner\hjt\HijackThis199.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106163874609
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDEEB290-8B3F-4D8D-941B-69B5DAB8E4C8}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

...sys schnurrt wie ein kätzchen... freu

Cidre · 23.01.2005, 03:42

Dein Log-File sieht sauber aus und ich hoffe für dich, dass dies auch so bleibt

14.01.2005, 17:33	#2
Cidre Administrator, a.D.	Highjack-Logfile Hallo, überprüfe mal folgende Datei bei http://virusscan.jotti.org/de und poste das Ergebnis: wmpa36.exe __________________ __________________

14.01.2005, 17:38	#4
Cidre Administrator, a.D.	Highjack-Logfile Sieh mal im TaskManager nach, wenn diese Datei als Prozess aufgeführt wird, dann kille diesen. Ansonsten benennst du die Datei mal um und probierst es nochmal. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

14.01.2005, 18:36	#6
Cidre Administrator, a.D.	Highjack-Logfile Lange Rede kurzer Sinn, siehe den Link in meiner Signatur. __________________ --> Highjack-Logfile

16.01.2005, 01:44	#13
Cidre Administrator, a.D.	Highjack-Logfile Er wird sich zwar nicht fortpflanzen, da er nicht die Schadroutine eines Virus aufweist, aber es müssen alle Dateien als nicht mehr vertrauenswürdig angesehen werden. Sicherer wäre es auf jeden Fall wenn du beide Festplatten formatieren würdest. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

23.01.2005, 03:42	#15
Cidre Administrator, a.D.	Highjack-Logfile Dein Log-File sieht sauber aus und ich hoffe für dich, dass dies auch so bleibt __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Highjack-Logfile

Log-Analyse und Auswertung: Highjack-Logfile