Trojaner-Board - Kampf den Zombies: Hijackthis log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kampf den Zombies: Hijackthis log (https://www.trojaner-board.de/11795-kampf-zombies-hijackthis-log.html)

Kampf den Zombies: Hijackthis log

Hallo Spezis,

seit ca. 4 Wochen haben die Meldungen meines Routers alarmierend
zugenommen. Immer wenn ich online gehe meldet mein Router jetzt Folgendes
und IE6 wird ganz langsam (Mozilla läuft eigentlich ganz gut):

2005-01-07 18:07:48 - TCP Flood - Source:192.168.3.50
,18180,LAN - Destination:195.140.186.100,20480,WAN

oder

2005-01-07 08:42:16 - TCP Flood - Source:192.168.3.50
,35332,LAN - Destination:217.72.200.153,47873,WAN

Sourceportnr ändert sich laufend, Destination IP auch, Destinationportnr nimmt die Werte 20480 oder 47873 an.

Ich habe daraufhin verstärkt mit diversen Virenscannern nach
Viren und Würmern gesucht. Keine Viren gefunden.
Auch Google gab unter den Portnummern nichts her.
IE 6 war seit Anfang dieser Woche überhaupt nicht mehr zu gebrauchen
(schnarchlangsam).
Mozilla merkt man es nicht an, dass da irgendetwas läuft.

Hier meine Konfiguration:
Rechner: Notebook Siemens Amilo Win XP SP2
Router: Planet VRT 401
Browser: Mozilla und IE6
Eingesetzte Scanner: EScan, Symantec online, AntiVir, Spysubtract, CWShredder

Logfile of HijackThis v1.98.2
Scan saved at 20:55:53, on 06.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\Twain_32\ScanWiz5\SDetect.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\El Reg Alerts Beta\theregister.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\Programme\palm\hotsync.exe
C:\Programme\GeniusKeyboard\MagicKey.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\GeniusKeyboard\OSD.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Hijack\HijackThis.exe
C:\Programme\Security Task Manager\TaskMan.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SDetect.exe] C:\WINDOWS\Twain_32\ScanWiz5\SDetect.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [El Reg Alerts Beta] C:\Programme\El Reg Alerts Beta\theregister.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe
O4 - Global Startup: Media Key.lnk = C:\Programme\GeniusKeyboard\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...35a291e5ba0160
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwla.ops.placeware.com/etc/...uicksilver.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100593448279
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69B9FD2F-CE83-4BB9-9F64-C4FF7948D730}: NameServer = 194.25.2.131,194.25.2.130

Vielleicht hat einer einen Tip. Vielen Dank im Voraus.

Heidekaschper

@ heidekaschper

in welchem Ordner läuft der eScan auf Deinem System? Ich finde ihn nicht.

--> Nachtrag: Du verwendest eine veraltete Version von Hijack This. Erstelle ein aktuelles Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch HijackThis.

EScan lief unter C:\sicherheit\ und entpackte sich selbst
nach dem Doppelklick und startete. Virensignatur v. 05.01.2005. Allerdings habe ich festgestellt, dass es nicht im abgesicherten Mode gestartet wurde.
Das neue HijackThis log kommt gleich.

Gruss

Heidekaschper

Hier das neue Log:

Logfile of HijackThis v1.99.0
Scan saved at 22:11:31, on 07.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\Twain_32\ScanWiz5\SDetect.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\El Reg Alerts Beta\theregister.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\Programme\palm\hotsync.exe
C:\Programme\GeniusKeyboard\MagicKey.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\GeniusKeyboard\OSD.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Hijack\HijackThis199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SDetect.exe] C:\WINDOWS\Twain_32\ScanWiz5\SDetect.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [El Reg Alerts Beta] C:\Programme\El Reg Alerts Beta\theregister.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe
O4 - Global Startup: Media Key.lnk = C:\Programme\GeniusKeyboard\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...35a291e5ba0160
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwla.ops.placeware.com/etc/...uicksilver.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100593448279
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69B9FD2F-CE83-4BB9-9F64-C4FF7948D730}: NameServer = 194.25.2.131,194.25.2.130
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gruss

Heidkaschper

@ Heidekaschper

Zitat:

Zitat von heidekaschper

EScan lief unter C:\sicherheit\ und entpackte sich selbst nach dem Doppelklick und startete. Virensignatur v. 05.01.2005. Allerdings habe ich festgestellt, dass es nicht im abgesicherten Mode gestartet wurde.

es entpackte sich also selbst? Tja, das haben Programme so an sich, wenn man sie mit Doppelklick öffnet ;-) Also mach's nochmal .. aber anders.

--> Erstelle zuerst einen neuen Ordner (=Verzeichnis) "bases" auf der Festplatte "c:" . Downloade den eScan nochmal neu. Entpacke den eScan in den neuen Ordner. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan dauert ca 1 Stunde. Er löscht keine Malware, das wird bei uns am TB von Hand gemacht.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) Zu der Auswertung Deines Logfiles kommen wir, wenn wir wissen, welche Malware Du auf Deinem System hast.

Hab ich schon zwischenzeitlich gemacht. EScan läuft gerade. Restzeit ca. 20 Min.

Gruss

Heidekaschper

Zitat:

Zitat von heidekaschper

Hab ich schon zwischenzeitlich gemacht. EScan läuft gerade. Restzeit ca. 20 Min.

--> mit welchem Rechner bist Du gerade online? Auf welchem Rechner läuft der eScan?

Ich habe einen 2ten Rechner, der allerdings die beschriebenen Symptome nicht aufweist.
Celeron 400
W98 SE
IE 5.5
Die beide Rechner sind allerdings über einen Planet Switch
vernetzt und immer gleichzeitig in Betrieb.

Gruss

Heidekaschper

File C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ControlAd\WinCtlAdneu.eex infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\Program Files\Windows ControlAd\WinCtlAdShift.ldd infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCtlAdX.dll infected by "not-a-virus:AdWare.WinAD.f" Virus. Action Taken: No Action Taken.

44717 files scanned
4 virus found

Das ist das gleiche Ergebnis wie vorher. Die Adware müsste eigentlich aufgrund der filenamenänderungen gefixt sein, oder?

Gruss

Heidekaschper

Nachdem ich die Datei Winctladx.dll nicht im Verzeichnis gefunden habe,
bin ich in die Eingabeaufforderung gegangen, und habe sie dort gelöscht.
Bei der Gelegenheit habe ich mich gewundert, was in diesem Verzeichnis noch alles an merkwürdigen Dateien rumlungert, und nicht unter XP angezeigt wird.
Mein Augenmerk fiel dabei auf Dateien mit Datum 26.10.2004 18.10 Uhr bis
18.14. Mir sagt das nichts konkretes, aber ich hab so ein dummes Gefühl.
Screenshot liegt bei.

Gruss

Heidekaschper

@ heidekaschper

Zitat:

Zitat von heidekaschper

Die Adware müsste eigentlich aufgrund der filenamenänderungen gefixt sein, oder?

Filenamenänderungen? nein, wieso ..? Die Namen der Verzeichnisse werden doch nicht geändert? Und die Namen der Dateien sind auch nicht geändert worden, da diese Version des eScan weder löscht, noch Dateien umbenennt.

Du scheinst allerdings nur Adware auf dem System zu haben. Diese Adware kannst Du von Hand löschen, indem Du die Dateien in die Windows-Suche eingibst und sie löscht .. oder und das geht auch zusätzlich, falls Du 'Ad-Aware 6 Personal' noch nicht gedownloadet haben solltest, kannst Du Deinen Rechner damit scannen. Das Programm kannst Du Dir über diesen Link runterladen: Entfernungstools. 'Spybot-Search & Destroy 1.3' wäre ein weiteres sehr zweckmäßiges Programm zum downloaden.

Scanne Deinen Rechner mit beiden Tools nacheinander offline. Lass die bestehenden Probleme beheben. Wenn dies geschehen ist, erstelle bitte ein neues Hijack This Logfile und poste es.

Winctlad hatte ich per Hand schon vor einigen Wochen gefixt (Dateien umbenannt).
Hier nun das neue Log:

Logfile of HijackThis v1.99.0
Scan saved at 08:33:05, on 10.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Launch Manager\LaunchAp.exe
C:\Program Files\Launch Manager\HotkeyApp.exe
C:\Program Files\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Launch Manager\CtrlVol.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hijack\HijackThis199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Program Files\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SDetect.exe] C:\WINDOWS\Twain_32\ScanWiz5\SDetect.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Program Files\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [El Reg Alerts Beta] C:\Programme\El Reg Alerts Beta\theregister.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\palm\hotsync.exe
O4 - Global Startup: Media Key.lnk = C:\Programme\GeniusKeyboard\MagicKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {3299935F-2C5A-499A-9908-95CFFF6EF8C1} (Quicksilver Class) - http://scpwla.ops.placeware.com/etc/...uicksilver.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100593448279
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69B9FD2F-CE83-4BB9-9F64-C4FF7948D730}: NameServer = 194.25.2.131,194.25.2.130
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Viele Grüsse aus der stürmischen Nordheide

Heidekaschper

Heute bin ich über eine kleine Merkwürdigkeit gestolpert:
Vor 3 Tagen hatte ich irgendeine Software installiert, die mich anschließend aufforderte den Benutzer zu wechseln. Dabei wurden mir dann 2 Benutzer angeboten: Administrator und Heidekaschper. Ich wunderte mich nur ein wenig
über den Administrator, den ich nicht eingerichtet hatte. Ich nahm an, dass der vom System angelegt wurde. Als ich mich heute um diese Angelegenheit mal kümmern wollte war dieser Benutzer nicht mehr da.
Kann es sein, dass eine der Softwareinstallationen den Admin angelegt und auch
wieder gelöscht hat?
Oder hatte ich Besuch.
Auffällig ist auch, dass die Meldungen des Routers über die Attacken mit TCP flood radikal zurückgegangen sind.
Die Adware kann wohl ausscheiden, weil die schon seit Wochen deaktiviert war.

Echt dubios?

Gruss Heidekaschper

@ heidekaschper

(Zombies I) und Zombies II und Zombies III

... meinst Du, dass es schneller geht und übersichtlicher wird, wenn Du mehrere Threads eröffnest? Man kann seinen Thread auch mit "schieb" wieder hoch schieben, so wir ihn denn übersehen haben.