Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Erbitte Auswertung von HJT- bzw. eScan (https://www.trojaner-board.de/21213-erbitte-auswertung-hjt-bzw-escan.html)

contom 25.08.2005 19:33
Erbitte Auswertung von HJT- bzw. eScan
 
Hallo,

seit einigen Tagen habe ich Probleme mit meinem unter W2K laufenden Rechner: Partitionen werden "vergessen", Start und Shutdown sind extrem langsam, Icons werden tlw. falsch angezeigt. Bis ich den Nachrichtendienst abgestellt habe, erschienen laufend Pop-ups, die mich zu irgendwelchen angeblichen Systemdienstleistungen leiten wollten. Und nun erscheinen bei Startup auf einmal Programme, die ich nicht kenne (was ist der Indexdienst?) bzw. eigentlich im Autostart abgestellt hatte. :heulen:

Habe einen Online Virenscan bei Symantec durchgeführt (ohne Ergebnis) und Adaware (allerdings in einer abgespeckten weil kostenlosen Version) laufen und das Gefundene löschen lassen. Hat aber nicht geholfen und so bin ich beim Googeln auf dieses Board gestoßen.

Habe nun sowohl ein HJT- als auch ein eScan-Protokoll erstellen lassen. Das HJT-Log sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 19:51:27, on 25.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\Paragon Software\Paragon CD Emulator\cdman.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}394a9837-9470-4902-b938-6c36b619b9f7.exe
D:\ASHAMP~1\PopUpKiller.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\MicrosoftOffice97\Office\FINDFAST.EXE
D:\MicrosoftOffice97\Office\OSA.EXE
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
C:\Anwendungen\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\CONNY&~1\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - Startup: Office-Start.lnk = D:\MicrosoftOffice97\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\MicrosoftOffice97\Office\FINDFAST.EXE
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\MicrosoftOffice97\Office\FINDFAST.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add[/url]
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?[/url]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab[/url]
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab[/url]
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab[/url]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab[/url]
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB[/url]
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab[/url]
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


Mit Einsatz der angebotenen Find.bat sieht das eScan-Protokoll so aus:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:09:40 2005 => System found infected with Conducent FlexPak Spyware/Adware (gpinstall.exe)! Action taken: No Action Taken.
Mon Aug 22 19:09:55 2005 => System found infected with RedV Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.
Mon Aug 22 19:47:23 2005 => Scanne Verzeichniss: D:\AntiVir\INFECTED\*.*
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:23:20 2005 => Scanne Datei C:\Dokumente und Einstellungen\CTSl\Favoriten\StarWars\Fanfic\AllStars\RedRoseKnight\Jedi Council Forums - The Book of Paths The Chosen Path (AU-Tagged) Complete.url
Mon Aug 22 20:04:47 2005 => File E:\Downloads\babylon-update.exe tagged as "not-a-virus:AdWare.Cydoor". Action Taken: No Action Taken.
Mon Aug 22 20:05:26 2005 => File E:\Downloads\Software-Update\Themes\PolarLiebe\polar_ps.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
Mon Aug 22 20:05:28 2005 => File E:\Downloads\Software-Update\Themes\Winter-See\winterV2.exe tagged as "not-a-virus:AdWare.Gator.3013". Action Taken: No Action Taken.
Mon Aug 22 20:05:29 2005 => File E:\Downloads\Software-Update\Themes\LinkinPark\2\linkin_park_2_theme.exe tagged as "not-a-virus:AdWare.EZula.j". Action Taken: No Action Taken.
Mon Aug 22 20:05:53 2005 => File E:\Downloads\Software-Update\Themes\Berghütte\11948.exe tagged as "not-a-virus:AdWare.Gator.3103". Action Taken: No Action Taken.
Mon Aug 22 20:05:53 2005 => File E:\Downloads\Software-Update\Themes\Nebelwald\6268.exe tagged as "not-a-virus:AdWare.EZula.d". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 22 19:09:40 2005 => Offending file found: C:\WINNT\gpinstall.exe
Mon Aug 22 19:09:55 2005 => Offending file found: C:\DOKUME~1\CTS\LOKALE~1\Temp\insthelp.dll
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Das Protokoll, das direkt von eScan angezeigt wurde, war übrigens sehr viel länger und sagte auch etwas von 14 gefundenen Viren *Schock* - ich hoffe, das ist übertrieben (?)

Wäre für jeden Tipp / Hilfe sehr dankbar.

Gruß

contom

chaosman 25.08.2005 19:52
@contom

update system und IE,
leere diese Ordner D:\AntiVir\INFECTED\*.* ,
lade danach spybot http://www.safer-networking.org/de/a...-managers.html
update es.
wechsle dann in den abgesicherten modus und lasse spybot scannen, lösche was es vorschlägt.
lösche danach manuell folgende dateien:
C:\WINNT\gpinstall.exe
E:\Downloads\Software-Update\Themes\PolarLiebe\polar_ps.exe
E:\Downloads\Software-Update\Themes\Winter-See\winterV2.exe
E:\Downloads\Software-Update\Themes\Berghütte\11948.exe
C:\DOKUME~1\CONNY&~1\LOKALE~1\Temp\insthelp.dll

neu booten, neues HJT logfile posten.
chaosman

contom 26.08.2005 14:55
Hallo chaosman,

danke für Deine schnelle Hilfe. Habe Spybot installiert und ausgeführt, die von Dir genannten Dateien manuell gelöscht und ein neues HJT-Log erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 15:44:55, on 26.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f-b4a1f30514bc.exe
D:\ASHAMP~1\PopUpKiller.exe
D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
C:\WINNT\explorer.exe
C:\Anwendungen\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\CTS\LOKALE~1\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h..p://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h..ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=h..p://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h..p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h..p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h..p://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h..p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h..p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h..p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe

Fällt Dir an dem Protokoll noch etwas negativ auf?

Die W2K und IE-Updates stehen für's Wochenende auf dem Plan - das dauert ja sicher etwas länger ;-)

Gruß

contom

Cidre 26.08.2005 15:11
Zitat:
Die W2K und IE-Updates stehen für's Wochenende auf dem Plan - das dauert ja sicher etwas länger ;-)
Das wäre mir jetzt auch auf Anhieb aufgefallen.
Ebenso sollte HJT nicht temporär entpackt werden, siehe Anleitung!

Überprüfe mal diese Datei bei http://virusscan.jotti.org/de und poste das Ergebnis:
C:\WINNT\System32\pwrupst.exe

Könnte zwar was mit HB Software & Internetdienste zu tun haben, aber sicher ist sicher.

Wildone 26.08.2005 15:11
Hallo,
beende mal folgende Prozesse(falls unbekannt) im Taskmanager:
C:\WINNT\System32\pwrupst.exe
C:\WINNT\System32\CHPSTART.EXE
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f -b4a1f30514bc.exe
und untersuche die zugehörigen Dateien hier und poste die Ergebnisse.

Grüße Wildone

contom 26.08.2005 16:06
Hallo Wildone & Cidre,

habe die drei Dateien bei Jotti checken lassen - ohne Befund! Konnte zwei Dateien inzwischen auch zuordnen: CHPSTART.exe gehört zu der Treibersoftware, die ich für meinen "ollen" TFT benötige, PWRUPST.EXE gehört zu ASHAMPOO PowerUp2000. Mit der dritten Datei (die mit dem ewig langen Namen) kann ich nichts anfangen - in den Eigenschaften der Datei steht als Bezeichnung CoMSD Mass storage devices driver Vers. 2.1.0.0 :dummguck:

Habe HJT dann auch nach c:\bases entpackt und von dort aus durchgeführt - hier ist nochmal das daraus entstandene Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:39:00, on 26.08.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SCARDS32.EXE
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
D:\Multimedia\Winamp\Winampa.exe
C:\WINNT\System32\pwrupst.exe
D:\Multimedia\Quicktime\qttask.exe
C:\WINNT\System32\CHPSTART.EXE
D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AntiVir\AVGNT.EXE
D:\WebTools\ZoneAlarm\zlclient.exe
D:\ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\CTS\Lokale Einstellungen\Temp\{461ADABA-A9D1-4068-A010-062CD64D2650}ce8b6916-f784-40da-b54f-b4a1f30514bc.exe
D:\ASHAMP~1\PopUpKiller.exe
D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
D:\WebTools\GetRight\GETRIGHT.EXE
D:\AntiVir\AVGUARD.EXE
C:\Bases_X\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Multimedia\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [mspwr] C:\WINNT\System32\pwrupst.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Multimedia\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPSStart] CHPSTART.EXE
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\WebTools\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "D:\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\WebTools\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [MSDIconsAndLabels] rundll32 C:\WINNT\system32\ShellExt\MsdServ.dll,Start C:\WINNT\system32\ShellExt\MSDIconsAndLabels.exe
O4 - HKLM\..\Run: [InCD] D:\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] D:\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Sicherheit\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\WebTools\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - D:\WebTools\GetRight\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - h**p://-Web.Washer-/ie_add
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - h**ps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=h**p://www.viewpoint.com/cgi-bin/vet_install_popup.pl?
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - h**p://software-dl.real.com/26714cbd0123f8e5f505/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - h**p://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AntiVir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\WebTools\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINNT\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZONELABS\vsmon.exe


Eine (evtl. dumme) Frage habe ich noch: Wenn ich z.B. den Eintrag

O4 - HKLM\..\Run: [Paragon CD Emulator] "D:\Paragon Software\Paragon CD Emulator\cdman.exe" /startup

über HJT fixe, kann ich dann den lästigen Autostart dieses Programmes, den ich auf anderem Weg bislang nicht losgeworden bin, dauerhaft verhindern?

Gruß

contom

Cidre 26.08.2005 16:16
Der Ordner C:\Bases_X sollte eigentlich nur eScan beinhalten, aber letztendlich egal...

bzgl. Paragon:
Normalweise Ja.
Sollte aber Paragon wieder automatisch gestartet werden, dann versuch es im Programm selbst einzustellen, sofern dazu die Möglichkeit besteht.

contom 30.08.2005 18:34
Hallo zusammen,

wollte mich nur nochmal herzlichst für Eure Hilfe bedanken!

Habe alle Eure Tipps ausgeführt, W2K bis SP4 aufgerüstet und mein Rechner verhällt sich angenehm unauffällig :-)) Auch das lästige Paragon hat scheinbar aufgegeben.

Tausend Dank und macht weiter so :aplaus:

contom


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:26 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131