Trojaner-Board - Würde jemand mein HJT Log checken...?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Würde jemand mein HJT Log checken...? (https://www.trojaner-board.de/11877-wuerde-jemand-hjt-log-checken.html)

@Shadowdance

hallo!
vielen dank!
kein problem das mit dem logfile...

ich habe escan schon drauf, habe auch schon nach anleitung aus dem forum gelöscht.
habe auch schon nach empfehlung aus der online auswertung mit hjt gefixt was zu fixen war - bekomme aber danach immer wieder das gleich log mit der gleichen online auswertung in dem die von mir eigentlich gefixten probleme noch als "sollte gefixt werden" gewertet werden.

diverse antiviren scanner haben bei mir zwar nichts gefunden - ich habe allerdings folgendes problem (der grund warum ich glaube meinen rechner neu aufsetzen zu müssen):

ca. 15 minuten nach dem hochfahren reagieren geöffnete programme nicht mehr - lassen sich aber beenden, programme lassen sich nicht mehr starten.
die internetverbindung lässt sich nicht beenden.

wenn also jemandem etwas einfällt, was ich machen kann wäre ich sehr dankbar...

ich werde später nochmal escan laufen lassen und das ergebnis posten...

so!

habe nochmals escan laufen lassen. hier das erschreckende ergebnis:

Mon Jan 17 23:07:13 2005 => ***** Scanning complete. *****

Mon Jan 17 23:07:13 2005 => Total Files Scanned: 47737
Mon Jan 17 23:07:13 2005 => Total Virus(es) Found: 6
Mon Jan 17 23:07:13 2005 => Total Disinfected Files: 0
Mon Jan 17 23:07:13 2005 => Total Files Renamed: 0
Mon Jan 17 23:07:13 2005 => Total Deleted Files: 0
Mon Jan 17 23:07:13 2005 => Total Errors: 48
Mon Jan 17 23:07:13 2005 => Time Elapsed: 02:43:59
Mon Jan 17 23:07:13 2005 => Virus Database Date: 2005/01/10
Mon Jan 17 23:07:13 2005 => Virus Database Count: 115148

Mon Jan 17 23:07:13 2005 => Scan Completed.

hier was gefunden wurde:
C:\WINDOWS\system32\OLibrary.dll infected by "not-a-virus:AdWare.OLibrary" Virus. Action Taken: No Action Taken.
C:\DOKUME~1\TATTI&~1\LOKALE~1\TEMPOR~1\Content.IE5\M5PU3MHS\ind[1].htm infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\Tatti&Sami\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M5PU3MHS\ind[1].htm infected by "Trojan-Downloader.VBS.Small.e" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\*.*
C:\Programme\NavExcel\NavHelper\v2.0(2).4\v2.0.4.cab infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.

C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.

C:\Programme\NavExcel\NavHelper\v2.0.4\NHUninstaller.exe infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.

C:\Programme\NavExcel\NavHelper\v2.0.4\NHUpdater.exe infected by "not-a-virus:AdWare.NavExcel" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Downloaded Program Files\hdplugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

im "virus log" fenster stand dann noch das:

File D:\SoftWare\setup.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.
File D:\SoftWare\PicTexter.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\SoftWare\acw21t.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken

was mache ich jetzt??

mir fehlt jetzt nur noch ein tipp wie ich was davon löschen soll...

@ sluglicker

mit dem Clear Prog kannst Du u.a. den Inhalt nachfolgender Ordner leeren, wenn Du ein Häkchen' bei "Clear all"/"alles löschen" machst und auf "Clear"/"löschen" klickst:

C:\DOKUME~1\TATTI&~1\LOKALE~1\TEMPOR~1\Content.IE5
C:\Dokumente und Einstellungen\Tatti&Sami\Lokale Einstellungen\Temporary Internet Files\Content.IE5

Das Programm macht vieles selbstständig und erleichert dem User das arbeiten.
-------------------------------------
Diesen Ordner leeren:

C:\Programme\AVPersonal\INFECTED\*.*
-------------------------------------
Diese Malware-Einträge musst Du von Hand löschen.

Dazu musst Du erst die Grundlage schaffen, damit Du die Dateien auch findest: --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

--> Boote dann (offline) in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, markiere/kopiere die Dateien, übertrage sie in die Windows Suche und lösche sie:

C:\Programme\NavExcel\NavHelper\v2.0(2).4\v2.0.4.cab
C:\Programme\NavExcel\NavHelper\v2.0.4\NHUninstall er.exe
C:\Programme\NavExcel\NavHelper\v2.0.4\NHUpdater.exe
D:\SoftWare\setup.exe

zum löschen von DLL's:
"entweder probierst du dies http://www.windows-tweaks.info/html/dllsuchexp.html oder du machst es so: Lade Dir Winfile.exe (einen älteren NT-Dateimanager) herunter und starte ihn. Navigiere im rechten Fenster zu der betreffenden dll, markiere sie und wähle im Menue Security die Option Permissions. Ändere im unteren Auswahlfenster die Zugriffsart auf Vollzugriff. Bestätige mit [OK]. Dann wähle im selben Menue die Option Owner und klicke auf [Besitz übernehmen]. Bestätige mit OK. Jetzt die Datei umbenennen in z.B. Malware.txt und die Nachfragen jeweils mit [OK] bzw. [Ja] bestätigen. Anschließend sollten diese Dateien sich löschen lassen (Cidre & Chaosman zitiert):"

C:\WINDOWS\system32\OLibrary.dll
C:\WINDOWS\Downloaded Program Files\hdplugin1015.dll
C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll

Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren. Neu booten.
-------------------------------------
nicht löschen:

D:\SoftWare\PicTexter.zip tagged as not-a-virus:Tool.Win32.Reboot.
D:\SoftWare\acw21t.exe tagged as not-a-virus:Tool.Win32.Reboot.
-------------------------------------
Downloade nun bitte noch das Entfernungstool von Adware 'Ad-Aware 6 Personal'. Scanne Deinen Rechner mit dem Programm und lass noch bestehende Probleme beheben.
-------------------------------------
Erstelle ein neues Hijack This Loggfile und poste es.

hallo!
das:
C:\Programme\NavExcel\NavHelper\v2.0(2).4\v2.0.4.c ab
C:\Programme\NavExcel\NavHelper\v2.0.4\NHUninstall er.exe
C:\Programme\NavExcel\NavHelper\v2.0.4\NHUpdater.e xe

konnte ich nicht löschen da es nicht gefunden wurde.

ebenso:

C:\WINDOWS\Downloaded Program Files\hdplugin1015.dll
C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll

adaware hat einen kritischen eintrag gefunden - den habe ich entfernt.

ansonsten alles unverändert. mein problem besteht weiterhin.

hier mein neues log:

Logfile of HijackThis v1.99.0
Scan saved at 14:02:05, on 23.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\SoftWare\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blanc
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acronis True Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [TaskTray] C:\Programme\Creative\SBAudigy\TaskBar\CTLTray.exe
O4 - HKCU\..\Run: [TaskBar] C:\Programme\Creative\SBAudigy\TaskBar\CTLTask.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: Yahoo! Dominoes -
O16 - DPF: Yahoo! Freecell Solitaire -
O16 - DPF: Yahoo! Gin -
O16 - DPF: Yahoo! Graffiti -
O16 - DPF: Yahoo! Literati -
O16 - DPF: Yahoo! Towers 2.0 -
O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} -
O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} -
O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} -
O23 - Service: Acronis Scheduler2 Service - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Zitat:

Sichtbarmachen von Dateien und Ordnern: --> Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" sowie "Alle Dateien und Ordner anzeigen" aktivieren.

Zitat:

Hijack This Logfile: in abgesicherten Modus booten, Systemwiederherstellung deaktivieren, mit Hijack This fixen (Häkchen setzen u. Fix Checked klicken - siehe Anleitung):

O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} -
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} -
O16 - DPF: {9D0A9D98-5221-430A-A02D-76F0827C82D1} -

Zitat:

In normalen Modus booten. Systemwiederherstellung aktivieren. Neu booten. Neues HJT Logfile posten.