Trojaner-Board - kann da mal einer drüber schauen bitte !!!????!!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - kann da mal einer drüber schauen bitte !!!????!!!! (https://www.trojaner-board.de/24689-mal-drueber-schauen-bitte.html)

kann da mal einer drüber schauen bitte !!!????!!!!

Hallo

kann mir jemand sagen ob das hier alles soweit in ordnung ist. ich habe nämlich das gefühl das da was nicht stimmt, aknn aber nichts finden. Wenn ich BF2 spiele und TS2 parallel laufen habe geht gar nichts mehr. Das war noch nicht immer so, besser gesagt das ist neu und schei**e.

Logfile of HijackThis v1.97.7
Scan saved at 19:17:22, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\*******\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CF9CD5E-A0B3-4788-BC6E-0B48F73B3331}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CF9CD5E-A0B3-4788-BC6E-0B48F73B3331}: NameServer = 192.168.1.254

für tipps und hilfe schon mal vielen Dank !!!!

Bitte hol dir die neue Version von Hijackthis.
Poste anschließend ein neues Logfile.

ok, gemacht getan

Logfile of HijackThis v1.99.1
Scan saved at 19:42:48, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\DOC~1.LOK\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Battlefield 2\BF2.exe
C:\DOKUME~1\DOC~1.LOK\LOKALE~1\Temp\~e5.0001
C:\DOKUME~1\DOC~1.LOK\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\DOC~1.LOK\LOKALE~1\Temp\kavss.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\DOC~1.LOK\LOKALE~1\Temp\Rar$EX00.468\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CF9CD5E-A0B3-4788-BC6E-0B48F73B3331}: NameServer = 192.168.1.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0CF9CD5E-A0B3-4788-BC6E-0B48F73B3331}: NameServer = 192.168.1.254
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

mit eScan habe ich folgendes Ergebniss gehabt, kann damit aber nicht viel anfangen, bzw weiß nciht wie ich es entfernen soll.

Object "bearshare Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "limewire Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "energyplugin Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "cydoor Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Object "energyplugin Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\MSXML3A.DLL". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe" verweist auf das ungültige Objekt "C:\WINDOWS\System32\cmmgr32.exe". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".con". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".iaf". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".mds". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".part". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\.sll" verweist auf das ungültige Objekt "SSLFile". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Connection Manager Profile\shell\open\command" verweist auf das ungültige Objekt "C:\WINDOWS\System32\CMMGR32.EXE "%1"". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\ppifile\shell\open\command" verweist auf das ungültige Objekt "%SystemRoot%\System32\msppcnfg.exe /Config %1". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Folgende Maßnahme wurde durchgeführt: No Action Taken.
Entry "HKCR\WMPShell.HWEventHandler.1" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Folgende Maßnahme wurde durchgeführt: No Action Taken.

Mit dem eScan log kannsch au nix anfangen.
In dem HJT logfile kann ich auch nix aufälliges finden.
Aber 4 Augen sehen bekanntlich mehr als 2 ...warten wir mal was die anderen dazu sagen.

das macht mich aber etwas stutzig (von eScan)

on Dec 19 19:36:11 2005 => Gescannte Dateien: 22948
Mon Dec 19 19:36:11 2005 => Gefundene Viren: 13
Mon Dec 19 19:36:11 2005 => Anzahl der desinfizierten Dateien: 0
Mon Dec 19 19:36:11 2005 => Umbenannte Dateien: 0
Mon Dec 19 19:36:11 2005 => Anzahl der gelöschten Dateien: 0
Mon Dec 19 19:36:11 2005 => Anzahl Fehler: 19
Mon Dec 19 19:36:11 2005 => Dauer des Scans bisher: 00:01:43
Mon Dec 19 19:36:11 2005 => Virus-Datenbank Datum: 2005/12/19
Mon Dec 19 19:36:11 2005 => Virus-Datenbank Zähler: 162396

Mon Dec 19 19:36:11 2005 => Scan vollständig.

Ja, der Teil war abend nicht dabei.
Kannste vllt. mal den Teil vom logfile posten in dem die Viren gefunden werden?

ich kann in der log leider ncits wirklich finden, die Liste ist ja auch ewig lang :-(

außer das was ich oben schon geposted hatte..........