Auswertung logfile HijackThis
 

Hi zusammen,

könnte mir jemand bei der Auswertung meines logfiles helfen?
kenn mich leider nicht allzu gut aus... Ich hoffe, es ist okay, allein nach der Auswertung zu fragen. Außer seltsam anmutende SearchBars beim Öffnen des IE oder des Arbeitsplatzes hab ich keine Probleme - zumindest keine, die mir auffallen.

Vielen Dank im voraus!

Logfile of HijackThis v1.98.2
Scan saved at 12:43:57, on 06.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\IBM\Messages By IBM\ibmmessages.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\scchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\USR WLAN\USR 22Mbps WLAN Adapter\USRWLAN.exe
C:\WINDOWS\System32\INTERNAT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sabine\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.embmpcojet.net/L4N2eFwtzg...HpjnUvgRT.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O1 - Hosts: 127.0.0.67 search.active-max.com
O1 - Hosts: 127.0.0.0 www.dialup2.com
O1 - Hosts: 127.0.0.80 maxexp.com
O1 - Hosts: 127.0.0.221 www.mp3search.com
O1 - Hosts: 127.0.0.217 www.rub.to
O1 - Hosts: 127.0.0.91 www.spawnet.com
O1 - Hosts: 127.0.0.220 www.mp3search.com
O1 - Hosts: 127.0.0.9 best.omega-search.com
O1 - Hosts: 127.0.0.217 www.omega-search.com
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {B944681A-45F0-91E1-9B11-9C696D6D82FC} - C:\DOKUME~1\Sabine\ANWEND~1\ANTEDE~1\this live.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\Downloaded Program Files\webdlg32.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKLM\..\Run: [StorageGuard] "c:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Service] swvhost.exe
O4 - HKLM\..\Run: [Alive SYstem] C:\WINDOWS\System32\scchost.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Barb aim drive fork] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Tick Title Barb Aim\scr dent.exe
O4 - HKLM\..\RunServices: [Windows Service] swvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [owns trans] C:\DOKUME~1\Sabine\ANWEND~1\THATTH~1\multi software 16.exe
O4 - Startup: VERITAS Install Exec Setup.lnk = C:\Dokumente und Einstellungen\Sabine\Lokale Einstellungen\Temp\VIES63CD\Setup.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: U.S.Robotics WLAN Adapter Configuration Utility.lnk = C:\Programme\USR WLAN\USR 22Mbps WLAN Adapter\USRWLAN.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - file://C:\Programme\Support.com\bin\IBMAccessSupport\common\install\ibmegath.cab
O16 - DPF: {D2296475-B79C-44A9-9B2C-32B5DC6B8B45} (PhotosCtrlDE Class) - http://de.photos.groups.yahoo.com/oc...lorer1_9de.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://asp06.photoprintit.de/microsi...ex/XUpload.ocx

@binsche
der http://www.sophos.de/virusinfo/analyses/w32sdbotec.html
ist im system, und zwar als C:\WINDOWS\System32\scchost.exe

bei diesen virus kann ich dir nur das neu aufsetzen empfehlen.
dein system ist nicht mehr vertrauenwürdig, kompromittiert
lese dich hier durch
http://www.mathematik.uni-marburg.de...ompromise.html

hier ein paar tips zum neu aufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2
sry
chaosman

@chaosman
verdammt schnell, da kann ich mir meine antwort sparen :dummguck:
bleibt mir nur mehr

grundsätzlich solltest du dein sicherheitskonzept überdenken.
um deine einstellungen des browsers zu überprüfen, kannst du hier bei Heise
oder beim land Niedersachsen einen browser-onlinecheck durchführen.
weiters wird empfohlen, die microsoft java virtualmachine gegen Java von Sun auszutauschen.
dann sollte noch der schutz im laufenden betrieb durch das tool Browser Hijack Blaster und
unseriöse seiten in die zone der eingeschränkten seiten mit dem script IE SPYADS
aufgenommen werden. ( Info unter trojaner-info.de)
wichtig: regelmäßig windows-update durchführen (jeden 2. mittwoch im monat)

ebenso solltest du die sicherheitseinstellungen von outlook(express) überprüfen, gegenbenfalls die voreinstellungen ändern.
diesen check kannst du auch bei Heise durchführen.
verwende eventuell andere browser und mailprogramme z.b. mozilla/firefox/thunderbird

system muss aufgrund sdbots neu aufgesetzt werden.
(chaosman war schonwieder schneller..)

Hej, vielen Dank für die schnelle Beantwortung!!!

Nur: "neu aufsetzen" ist natürlich nicht das was ich hören wollte - mal ganz davon abgesehen, dass ich befürchte, dass ich dann nie wieder einen funktionierenden Laptop haben werde...

Gibt es irgendeine andere akzeptable Lösung?!?

nein gibt es nicht. du kannst nicht nachvollziehen was im windows verändert wurde. es muss also sein. und keine sorge, der laptop kann theoretisch nach einer neuinstallation nur besser funktionieren statt schlechter.
also les dir auch mal http://www.trojaner-board.de/showpos...28&postcount=2 durch. glaub mir neuinstallieren ist die beste lösung

@binsche
mal ganz davon abgesehen, dass ich befürchte, dass ich dann nie wieder einen funktionierenden Laptop haben werde...

das verstehe ich nicht, ein system neu aufsetzen ist nicht so schwierig,
http://www.freenet.de/freenet/comput...xp/neuinstall/
http://board.protecus.de/showtopic.php?threadid=13020

vielleicht hast du im bekanntenkreis jemand der dich helfen kann.


Gibt es irgendeine andere akzeptable Lösung?!?

imho nein, dein system ist als kompromittiert zu betrachten, ich würde sofort vom netz gehen, daten sichern, und dann mein system neu aufsetzen.
dein rechner stellt auch für andere user ein gefahr da.

sry
chaosman

okay, okay, ... ich hab verstanden. und dank eurer zahlreichen links, werd ich das wohl hinkriegen. vielen danke für eure hilfe!!