Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ist der logfile in Ordnung? (https://www.trojaner-board.de/19063-logfile-ordnung.html)

brummbaer01 18.06.2005 21:50
Ist der logfile in Ordnung?
 
Hallo,

nachdem ich in den letzten Wochen immer wieder Trojaner auf meinem PC hatte, trotz Firewall und Virenprogramm, hab ich nun heute mal Highjackthis installiert und den PC gescannt. Leider kann ich mit dem Logfile nichts angangen. Ist hier irgendwas bedenkliches dabei?

Logfile of HijackThis v1.97.7
Scan saved at 22:35:43, on 18.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\StoneScanV3\StoneScan.exe
C:\Programme\Firewall 2005 professional\Firewall\kavpf.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Firewall 2005 professional\Webfilter\Webfilter.exe
C:\Programme\ClickTray Calendar\ClickTray.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\Programme\PopTray\PopTray.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\PROGRA~1\FIREWA~1\WEBFIL~1\ADSCLE~1.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
E:\Adresschaos\AdressChaos.exe
C:\Programme\FRITZ!\IWatch.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DockZone MegaPack\AquaDock\Aqua Dock.exe
C:\WINDOWS\Packs\Crystal XP\YzToolbar\YzToolbar.exe
C:\Programme\DockZone MegaPack\ObjectDock\ObjectDock.exe
C:\Programme\DockZone MegaPack\AquaDock\Aqua Dock.exe
C:\Programme\DockZone MegaPack\MobyDock\Mobydock.exe
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Programme\WinFast\WFTVFM\WFTV.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\CCleaner\ccleaner.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mandy\LOKALE~1\Temp\Rar$EX00.765\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.rd.yahoo.com/customize/ie/defaults/stp/ymsgr6/us/*http://www.yahoo.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programme\Give4Free Plugin\ibho.dll
O2 - BHO: (no name) - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\Firewall 2005 professional\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {A44CBB0B-C77D-4BF5-87CC-B4EE79AD1B7E} - C:\Programme\Gemeinsame Dateien\justDo\Jd2002.dll
O2 - BHO: (no name) - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\FIREWA~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [StoneScan] C:\Programme\StoneScanV3\StoneScan.exe
O4 - HKCU\..\RunOnce: [PackNoVs] "C:\WINDOWS\Packs\Crystal XP\PackSys.exe" --unsetvs
O4 - Startup: AquaDock.lnk = C:\Programme\DockZone MegaPack\AquaDock\Aqua Dock.exe
O4 - Startup: ClickTray Calendar.lnk = C:\Programme\ClickTray Calendar\ClickTray.exe
O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: MobyDock.lnk = C:\Programme\DockZone MegaPack\MobyDock\Mobydock.exe
O4 - Startup: PopTray.lnk = C:\Programme\PopTray\PopTray.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\DockZone MegaPack\ObjectDock\ObjectDock.exe
O4 - Startup: Verknüpfung mit AdressChaos.lnk = E:\Adresschaos\AdressChaos.exe
O4 - Startup: Y'z Toolbar.lnk = ?
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Webfilter.lnk = C:\Programme\Firewall 2005 professional\Webfilter\Webfilter.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNfox000
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash with Flash Catcher - res://C:\Programme\Gemeinsame Dateien\justDo\IECatcher.DLL/FlashCatcher.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\FIREWA~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run WinHTTrack (HKLM)
O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Flash Catcher (HKLM)
O9 - Extra 'Tools' menuitem: Flash Catcher (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A985009B-D725-4E37-A833-9A6A0AED6F1C}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F42559-E95A-48E1-8E48-AB588E7C7380}: NameServer = 192.168.120.252,192.168.120.253

Danke fürs Nachsehen.

dartus 18.06.2005 23:56
Hallo brummbaer01,

poste bitte ein HJT-Logfile mit der aktuellen Version (1.99.1) --> http://www.trojaner-board.de/showthread.php?t=17493.

Folgende Einträge sind zunächst einmal auffällig:

O2 - BHO: (no name) - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: (no name) - {208E7E77-507A-4649-B0C9-D39E9049C7A2} - C:\Programme\Give4Free Plugin\ibho.dll
O2 - BHO: (no name) - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll

Diese Einträge mit der neuen Version von Hijackthis fixen ( Scan mit Hjt, Häckchen vor Eintrag und auf fix checked klicken) und die entspr. Dateien im abgesicherten Modus bei deaktivierter Systemwiederherstellug löschen http://www.systemwiederherstellung-d...indows-xp.html .

Neben einem neuer Logfile von HJT, führe bitte Escan aus (bitte aufmerksam alles durchlesen) und poste mittels der "find.bat" alle Funde.

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131