Trojaner-Board - Hilfe mein hijackthis-log-file!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe mein hijackthis-log-file! (https://www.trojaner-board.de/17566-hilfe-hijackthis-log-file.html)

Hilfe mein hijackthis-log-file!

Logfile of HijackThis v1.99.0
Scan saved at 14:49:45, on 08.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashEnhancer Extender - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - c:\Program Files\Flen\flen.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Security Address] C:\WINDOWS\system32\spmscdm.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90DC488E-387E-4E01-960B-4E4598205B9A}: NameServer = 217.237.150.97 217.237.149.161
O18 - Filter: text/html - {A924D2D7-D402-40E0-A096-C67F41F9825D} - C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O21 - SSODL: Protocol Address - {A9F36F14-2C93-4E05-A856-F562B88C5619} - C:\WINDOWS\system32\odbclang.dll

Könnte jemand mal nachsehen, ob ihm da was auffällt, da ich zur zeit ein paar Programme (zb: Outpost, Adaware, Spybot...) nicht öffnen kann. Und sonst auch hab ich das Gefühl als könnte ich mir einen Virus eingefangen haben.
Danke im voraus!

wurde dieser log im abgesicherten modus erstellt? wenn ja bitte erstelle ihn im normalen modus und poste ihn nochmal..
ich sehe schon ein paar probleme..

1.escan
-lade dir lspfix runter und repariere damit deine winsocks
-lade dir escan runter und gehe genau nach dieser Anleitung vor

2.einträge löschen
-fixe mit hijackthis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://w-find.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w-find.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://w-find.com/index.htm
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: FlashEnhancer Extender - {0AD937E7-2F37-4873-A05E-548A67EF1D0E} - c:\Program Files\Flen\flen.dll
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [Security Address] C:\WINDOWS\system32\spmscdm.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\flsmngr.dll
O18 - Filter: text/html - {A924D2D7-D402-40E0-A096-C67F41F9825D} - C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O21 - SSODL: Protocol Address - {A9F36F14-2C93-4E05-A856-F562B88C5619} - C:\WINDOWS\system32\odbclang.dll

3.dateien löschen
-lösche die dateien flsmngr.dll, odbclang.dll und spmscdm.exe im ordner c:\windows\system32
-lösche die datei V0.26.dat im ordner C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\
-lösche den ordner C:\Programme\MyWay\
-lösche den ordner c:\Program Files\Flen\
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log
-sichere dein system richtig ab (scripts wie von www.ntsvcfg.de oder www.dingens.org) und deinstalliere die nutzlose firewall

Danke, sieht auf jeden fall schon besser aus. Nur beim MSN Messenger kann ich mich immer noch nicht anmelden!

Hier die infected files:
C:\DOKUME~1\Computer\LOKALE~1\ANWEND~1\MICROS~1\INTERN~1\V026~1.DAT
C:\Programme\MyWay\SrchAsttC:\WINDOWS\ounist.exe
C:\WINDOWS\ounist.exe
C:\WINDOWS\pludll.exe
C:\WINDOWS\system32\doolsav.dat
C:\WINDOWS\system32\oo
C:\WINDOWS\system32\srpcsrv32.dll
C:\WINDOWS\system32\txfdb32.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20041226-203026-717.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20041226-204937-678.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20050110-172329-604.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\Setup´s\Azureus_2.1.0.4_Win32.setup.exe
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp2.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp43.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp5F.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp63.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp7A.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp99.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp9C.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp9D.tmp
C:\Program Files\Flen\Flencpy_inst.exe
C:\Programme\Blubster\blubstershop.exe
C:\Programme\Blubster\whcc-1.exe
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\Programme\SearchRelevancy\SEARCHRELEVANCY.DLL.VIR
C:\WINDOWS\ounist.exe
C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
C:\WINDOWS\ounist.exe
C:\WINDOWS\pludll.exe
C:\WINDOWS\system32\doolsav.dat
C:\WINDOWS\system32\oo
C:\WINDOWS\system32\srpcsrv32.dll
C:\WINDOWS\system32\txfdb32.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20041226-203026-717.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20041226-204937-678.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\backups\backup-20050110-172329-604.dll
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\Setup´s\Azureus_2.1.0.4_Win32.setup.exe
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Internet Explorer\V0.26.dat
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp2.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp43.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp5F.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp63.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp7A.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp99.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp9C.tmp
C:\Dokumente und Einstellungen\Computer\Lokale Einstellungen\Temp\tmp9D.tmp
C:\Program Files\Flen\Flencpy_inst.exe
C:\Programme\Blubster\blubstershop.exe
C:\Programme\Blubster\whcc-1.exe
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\Programme\SearchRelevancy\SEARCHRELEVANCY.DLL.VIR
C:\WINDOWS\ounist.exe
C:\WINDOWS\pludll.exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\270XX5GV\408897[1].phps
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6FWZWXU6\0006_regular[1].cab
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6FWZWXU6\sideb[1].exe
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PUHJ1YL5\Bridge-c95[1].cab
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QE1B3306\prompt[1].php
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QE1B3306\silent_install[1].exe
C:\WINDOWS\system32\doolsav.dat
C:\WINDOWS\system32\oo
C:\WINDOWS\system32\srpcsrv32.dll
C:\WINDOWS\system32\txfdb32.dll
C:\WINDOWS\Temp\ft28s.exe

Und neues hijackthis log file:

Logfile of HijackThis v1.99.0
Scan saved at 21:52:39, on 13.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Computer\Eigene Dateien\Özgür\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar3.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab