Auswertung Log-File weil http://localhost:9100/proxy.pac

perki · 27.06.2006, 13:18

Arbeite mit Laptop auf Wireless-Lan zu Hause über einen Proxy-Server der Universität (ProxyServer = proxy.unizh.ch:3128). Habe Firewall von Windows XP und AntiVir PersonalEdition Premium (täglihes Update, täglicher Scan), der mir am 24.06.2006 folgendes zeigte.

C:\System Volume Information\_restore{F263DE1C-8683-449F-85B6-5A3BD13B561D}\RP163\A0072209.exe
[FUND] Enthält Signatur der Ad- oder Spyware ADSPY/AdsAlert.A.2

Hab das File sofort in Quarantäne geschoben und gelöscht. Arbeite eigentlich nur mit Firefox, der in den letzten Tagen zunehmend langsamer geworden ist.

Beim genauen Überprüfen der Internetverbindungen erkenne ich, dass im Feld der Box 'Automatisches Konfigurationsscript verwenden' immer

h**p://localhost:9100/proxy.pac

steht und sich nicht löschen lässt. Eine Recerche auf dem Googl hat mich schliesslich in dieses Forum geführt, da ich davon ausgehe, dass dies ein Hinweis für eine Malware ist. Hab zudem den 'Web-Accelerator' von Google daktiviert, weil ich von dem im Zusammenhang mit 'h**p://localhost:9100/proxy.pac' auch gelesen habe.

Habe jetzt auch noch einen System-Fixpunkt gemacht. Beim Durchschauen des Logfile's habe ich den Verdacht, dass folgende Files Malware sind

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe

Da ich jedoch kein Fachmann bin, wäre ich um Eure Hilfe dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 13:45:21, on 27.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Talk\googletalk.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Avvenu\agent.exe
C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\dcu.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\Programme\DNA Digital Media Group\Nestle Fitness Virtual Coach\Reminder.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Avvenu\updater.exe
C:\Programme\Avvenu\cachescheduler.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Dorada Software\RSSRadio\RSSRadio.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Daten\Ablage\HJT\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IntelWireless] C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [RSSRadio] "C:\Programme\Dorada Software\RSSRadio\RSSRadio_Loader.exe" /AUTOSTART
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [googletalk] "C:\Programme\Google\Google Talk\googletalk.exe" /autostart
O4 - Startup: DCU.lnk = ?
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Startup: reminder.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvenu.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe with RSSRadio - file://C:\Programme\Dorada Software\RSSRadio\subscribe.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137623353046
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir Engine Service (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: WLANKEEPER - Intel® Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

felix1 · 27.06.2006, 13:21

Bevor Dir hier geholfen werden kann, sollte eine Schilderung des Problemes erfolgen. Siehe dazu die NUB und die 7 Regeln:
http://www.trojaner-board.de/extra/impressum.html#NUB

felix1 · 27.06.2006, 14:28

Das Problem
C:\System Volume Information\_restore{F263DE1C-8683-449F-85B6-5A3BD13B561D}\RP163\A0072209.exe
[FUND] Enthält Signatur der Ad- oder Spyware ADSPY/AdsAlert.A.2

lässt sich mit den Ausschalten der Systemwiederherstellung und einem Reboot lösen. Die Systemwiederherstellung kann hinterher wieder eingeschalten werden. (siehe meine Signatur).
Ich gehe mal davonaus, dass Du auf dem PC als Administrator arbeitest? Du kennst auch die Programme, die laufen?

ferdybossy · 07.03.2007, 18:36

[edit]
der spaminator war wieder da

GUA
[/edit]

hoerni26 · 07.03.2007, 18:44

Was denn hier los??
Was sollen denn diese unnützen Posts hier?

27.06.2006, 13:21	#2
felix1 /// Helfer-Team	Auswertung Log-File weil http://localhost:9100/proxy.pac Bevor Dir hier geholfen werden kann, sollte eine Schilderung des Problemes erfolgen. Siehe dazu die NUB und die 7 Regeln: http://www.trojaner-board.de/extra/impressum.html#NUB __________________ __________________

07.03.2007, 18:36	#4
ferdybossy Gesperrt	Auswertung Log-File weil http://localhost:9100/proxy.pac [edit] der spaminator war wieder da GUA [/edit]

Auswertung Log-File weil http://localhost:9100/proxy.pac

Log-Analyse und Auswertung: Auswertung Log-File weil http://localhost:9100/proxy.pac