Trojaner-Board - wäre jemand so nett? log..

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - wäre jemand so nett? log.. (https://www.trojaner-board.de/10629-waere-jemand-so-nett-log.html)

wäre jemand so nett? log..

hallo zusammen.

habe seit 2 tagen probleme mit meinem pc. zuerst bleibt die taskleiste immer hängen und dann der ganze rechner.

könnte sich vielleicht jemand mein log mal ansehen?
vielen dank im vorraus.

Logfile of HijackThis v1.98.2
Scan saved at 16:57:24, on 10.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Downloads\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (GINBOARDS Class) - http://67.15.101.3/g_bin/eng/boards_2_0_0_15.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/eng/navy_2_0_0_16.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_21.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241

Hallo shine,

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade bitte das aktuelle Service Pack runter: www.windowsupdate.com

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken), wenn Du diese Einträge nicht kennst:

O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (GINBOARDS Class) - h**p://67.15.101.3/g_bin/eng/boards_2_0_0_15.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - h**p://67.15.101.3/g_bin/eng/navy_2_0_0_16.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - h**p://67.15.101.3/g_bin/eng/billard8_2_0_0_21.cab

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle ein weiteres Hijack This Logfile und poste es.

SD

Zitat:

Zitat von Shadowdance

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den .......

SD

Wozu soll die Aktivierung der Systemwiederherstellung vor dem Scan gut sein?

Zitat:

Zitat von Bilbo

Wozu soll die Aktivierung der Systemwiederherstellung vor dem Scan gut sein?

Das hängt von der Reihenfolge der Handlungsweise des Users ab .. wenn er den eScan aus dem Netz lädt, nachdem er die Dateien mit Hijack This gefixed hat, sollte er sich - logischerweise - im normalen Modus und mit aktivierter Systemwiederherstellung im Netz bewegen. Hatte er sich den eScan vor dem fixen mit Hijack This aus dem Netz runtergeladen und macht den Scan sofort nach dem fixen mit Hijack This, erübrigt sich der Wechsel.

SD

Auch auf die Gefahr hin, dass es gleich wieder heißt, ich hacke nur auf SD herum und würde sie schlecht machen:

Ich kann die hier vorgeschlagene Reihenfolge der Schritte auch nicht nachvollziehen. Erst recht dann nicht, wenn ich gerne Effizienz 'predige'. ;)
Warum nicht erst alle vorgeschlagenen Tools besorgen lassen und danach mit der Bereinigung beginnen. Natürlich kann ich das Handeln des Gegenüber nicht beeinflussen, aber ich kann wenigstens eine effiziente Vorgehensweise vorschlagen...

BTW: Manchmal ist weniger mehr. Will sagen, es ist imho wesentlich sinnvoller und effektiver sich einzelnen Problemen intensiver zu widmen, als den hoffnungslosen Versuch zu unternehmen in einer Nacht allen aufgeschlagenen Problemfällen hier im Board helfen zu wollen. Ich kann das nicht leisten und von daher versuche ich das gar nicht erst. Brauch ich auch nicht, ich bin ja kein Einzelkämpfer. Es gibt genügend erfahrene Helfer hier, als das ich meinen müsste, ich muss alle Problemfälle an mich reißen...

Jetzt aber noch was konstruktives:
@shine:

Zitat:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe

Deine Java-Version ist veraltet und es bestehen Sicherheitslücken. Du solltest die aktuelle Version herunterladen und installieren -> http://www.java.com/en/download/manual.jsp

hallo zusammen,

erstmal danke, für eure hilfe.
habe alles so nach der anweisung befolgt. windows update gemacht, escan runtergeladen und durchlaufen lassen. nur der hat leider nichts gefunden. stand alles auf 0.
leider habe ich das problem immer noch.
nach ca. 2 - 3 minuten bleibt die taskleiste immer noch hängen und danach der ganze rechner. merke auch, dass mit meiner internetverbindung etwas nicht stimmt. ist alles ein wenig langsammer, wie vorher.
würde mich sehr freuen, wenn jemand noch einen rat hätte.
hier noch mein log:

Logfile of HijackThis v1.98.2
Scan saved at 13:39:56, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
F:\Downloads\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe
O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (GINBOARDS Class) - http://67.15.101.3/g_bin/eng/boards_2_0_0_15.cab
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/eng/navy_2_0_0_16.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102931283947
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_21.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS1\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241
O17 - HKLM\System\CS2\Services\Tcpip\..\{28D9CE44-4A41-40C7-94BB-D6CAE01E8A30}: NameServer = 62.72.64.237 62.72.64.241

liebe grüße nicole

hallo,

wollte mal fragen, ob es richtig ist, dass wenn ich den escan update, er sich dann automatisch einen download ordner auf C einrichtet?

liebe grüße shine

Hallo Shine,

erstmal hast du nicht das Service-Pack 2 runtergeladen, sondern nur dein Windows upgedatet. :heulen:
Wenn du die Schritte von Shadowdance bezüglich eScan genau befolgst, erübrigt sich deine Frage. Wichtig ist auf alle Fälle, dass der Ordner nach "C:\Bases" entpackt wird und du über die "kavupd.exe" upgedatet wird. Dann ist auch richtig, dass das update auf "C:\" ist. :daumenhoc