Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner onboard? Bitte Hilfe! (https://www.trojaner-board.de/23792-trojaner-onboard-bitte-hilfe.html)

wombiroo 19.11.2005 12:00
Trojaner onboard? Bitte Hilfe!
 
Habe eben einen langen Salm geschrieben, was ich alles habe und was nicht, um alles zu erklären, aber dann hat es mich rausgeworfen, also nochmal kurz und schmerlos der Logfile von HiJack:

Sorry jetzt nochmal ohne links, tut mir leid, bin irgendwie etwas nervös heute:schmoll: , also

Logfile of HijackThis v1.99.1
Scan saved at 11:01:18, on 19.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CfgSrvc.exe
C:\WINDOWS\System32\CfgSrvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.t-online.de/
F3 - REG:win.ini: load=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2D36AF92-04D3-11D8-B719-0000865F231B} (TMinReq Class) - h**ps://my.sabre.com/jars/TMinReqX.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121538682439
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - h**p://carpoint.msn.com/components/ocx/Survid/MSSurVid.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - h**p://security2.norton.com/SSC/SharedContent/sc/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - h**ps://w*w-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {F2A84794-EE6D-447B-8C21-3BA1DC77C5B4} (SDKInstall Class) - h**p://activex.microsoft.com/activex/controls/sdkupdate/sdkinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{47A2DDD0-83C5-413D-8BCE-3359BE5F9B1E}: NameServer = xxxx
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AA578B9-A923-4097-8A90-7E0D7E62EA6E}: NameServer = xxxx
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Config Service Helper (CfgSrvc) - Unknown owner - C:\WINDOWS\System32\CfgSrvc.exe
O23 - Service: HSSP Configuration Module (HsspConfig) - Unknown owner - C:\WINDOWS\System32\CfgSrvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

chaosman 19.11.2005 12:07
@wombiroo
du schreibst nicht viel über dein problem.
lasse diesen datei
C:\WINDOWS\System32\CfgSrvc.exe
hier überprüfen
http://virusscan.jotti.org/de/
und poste das ergebnis

chaosman

wombiroo 19.11.2005 12:42
So, also bei Jotti wurde nichts gefunden unter der "CfgSrvc.exe"
Jetzt schreibe ich mal im Editor, denn bei meiner ersten langen Erklärung bin ich irgendwie rausgeflogen:

Problem:
- Seit 4 Wochen ist das Papierkorbsymbol bei Start immer weg und lässt sich per Desktop anpassen wiederherstellen
- Compi wird immer langsamer
- hat irgendwann einmal sehr lange gerödelt, dachte das wäre Norton-Liveupdate im Hintergrund
- Ich kann die Dateien aus dem Norton-Nprotect-Ordner nicht löschen, obwohl tausendmal probiert und auch auch Protection entfernt und und
- Maus geht oft nachschleppend (so wie bei pc-anywhere, wenn der andere festhält - habe aber def. kein remote-zeugs auf diesem Gerät und auch noch nie gehabt)
- Nach Bildschirmschoner braucht er 3-5Minuten zum "erwachen" und dann auch nur stockend mit schwarzen Bereichen, die nach und nach verschwinden
- Wollte gestern deshalb mal Defragmentieren, und die HDD war zu 99% voll! Von 60GB waren 44GB alleine für die Systemwiederherstellung verbraucht, was über "WinDirStat" festgestellt habe, ich selber brauche nur 15GB mit meinem Kram
- und zwar wird seit ca. 4 Wochen für jeden Punkt zunehmend mehr Platz bis zu 4GB verwandt
- Datenträgerbereinigung geht auch nichtmehr, da kann ich warten auf Godot...
- da die Wiederherstellung ohnehin zu KEINEM Punkt nicht mehr geht, habe ich diese deaktiviert, der Speicher wird ja angeblich gelöscht und siehe da, 15GB besetzt, und die üblichen 44GB sind frei,
- aber Porbleme s.o. sind noch vorhanden...

Lösungsversuche:
- Adaware6.0 hat Alexa gefunden und angeblich harmlose MRU-Vorgänge, habe ich in Quarantäne gesetzt und dann auch den Schlüssel dafür in der Reg. gelöscht
- Spybot hat nix gescheites dolles gefunden, eben auch nur Alexa und ein paar Programmbibiliothekenreste von alten Programmen (dies über die "Werkzeuge", aber nicht bedenklich eingestuft)
- CWS hat beim Scan "ucmoretoolbar" gefunden und gelöscht
- die automatische Auswertung von HiJackThis machte mich auf den og. CfgSrvc.exe aufmerksam und damit kam ich eben zu Euch
- gerade eben Jotti-Scan gemacht, der hat nichts gefunden, weshalb ich den Report hier nicht reinsetzen muss, oder?

Idee:
- soll ich mal eine ältere Version von HiJack nehmen, 1.98 oder so?

Also erstmal find ichs toll, daß man hier sooo schnell geholfen wird, und das mit den links beim ersten mal tut mir leid! Wer lesen kann und es auch tut ist eben echt im Vorteil...;-)

Hoffe auf weitere Hilfe, bevor ich den Apparat hier plattmache (btw. die XP-Reparatur wird mir ja erstmal auch nicht weiterhelfen...)
Danke im voraus, w.

wombiroo 19.11.2005 15:28
Jetzt ist mir noch eine Fehlfunktion aufgefallen:

Wenn man unter Systemsteuerung/Software öffnet, dann werden brav alle Programme aufgelistet, aber die drei Felder oben links "was man tun will", also "Prog. hinzufügen etc." erscheinen ohne jegliche Beschriftung und produzieren auch keine Sprechblasen mehr...

was tun? Danke im voraus, w.

wombiroo 21.11.2005 10:17
Bin anscheinend leider hier untergegangen:heulen:
hat noch einer eine Idee?
Würde mich über Hilfe freuen... Gruß.w.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:06 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129