HiJackThis Log-File
 

Ich hatte des �fteren Viren und hab deswegen schon mal formatiert, aber nur eine Porportion. Mit Antivir bekomme ich nichts raus. Ich vermute das sich etwas, irgendwo sich versteckt und sich vermehrt.
Denn ich sehe das sich pl�tzlich irgendwelche versteckte datein entstehen
und der pc ist langsamer geworden.
Da ich davon nicht viel verstehe bitte ich euch drum, mir zusagen was davon sch�dlich ist.

Logfile of HijackThis v1.99.1
Scan saved at 23:28:14, on 06.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Metacafe\MetacafeAgent.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\mmc.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\mspaint.exe
C:\Programme\Lavalys\EVEREST Home Edition\everest.bin
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\CPUCooL\CPUCooL.exe
C:\Programme\ESTsoft\ALZip\ALZip.exe
C:\Dokumente und Einstellungen\terrorbash\Lokale Einstellungen\Temp\_AZTMP12_\HijackThis.exe

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Programme\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BearFlix] "E:\Programme\BearFlix\bearflix.exe" /pause
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\terrorbash\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\ErrorSafeGermanNewReleaseInstall.exe" -nag
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Metacafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Brockhaus multimedial Atlas.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\bmmatlas.exe
O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\pgbmm.exe
O4 - Global Startup: CD-Manager.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\CDManager.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Lies mich.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\liesmich.txt
O4 - Global Startup: Metacafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O4 - Global Startup: SATARAID5.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\ssv.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Eine was?? :confused:

Kennst du Bearflix? (Hat das was mit Bearshare gemeinsam?)
Das muss doch nicht unbedingt in den Autostart oder doch? :confused:

Böse Einträge sehe ich da nicht im Logfile.

Und wo enstehen versteckte Dateien? Erste Vermutung legt bei W32.pebkac :blabla:

Hi,
ich sehe da zumindest einen zweifelhaften Eintrag:
Zumindest mir erscheint er zweifelhaft. :o
Wenn du ihn mir zuliebe also mal bei virustotal auswerten lassen könntest, wäre toll. :)

lg myrtille

@cosinus da besimmt auch aba ich meine wen ich laufwerk c öffne seh ich da 23 datein mit dem namen sqmdata00.sqm davon 10 und davon sqmnoopt00.sqm 11
@myrtille da find ich nichts, es wird nicht angezeigt

Dateien sichtbar machen kann man, wenn ma dieser Anleitung folgt.

lg myrtille

edit: das hatte ich ganz vergessen: nabend cosinus :)

hab ich gemacht ist aba nicht zu sehen
hab es auch mit der suche versucht

Hi,
dann versuch mal einfach die adresse der datei bei virustotal ins feld einzugeben und dann auf hochladen zu drücken... gelegentlich funktioniert das.


Und du könntest sonst auch mal einen eScan machen.

lg myrtille

Dann führe mal eScan (Link siehe Sig) und Blacklight aus. Poste die Ergebnisse wie in der Anleitung zu eScan angegeben und das Logfile von Blacklight wenn es was gefunden hat.


BTW: Nabend Myrtille! :)

hab den pfad bei virustotal eingegeben hab ich aba nach 10min abgebrochen, da er nix gefunden hat, blacklight hat ebenfals nix gefunden und joa escan ...
hat als ich neu gestartet hab etwas gefunden aba im log file stand alles was er durchsucht hatte viel l�nger als der hijack und das system ist zusammengebrochen, datein auf den deskop konnte man nicht mehr �ffnen(da kam im web suchen) und destkop, opera verkn�pfung auf der taskleiste hatten das selbe, kein bild mehr.
ich hab dan einfach systemwiederherstellung gemacht auf den 3.1
ich denke ich belasse es dabei, bearflix l�sch ich noch
danke für eure hilfe und zeit

Was stand denn da als du 10 min gewartet hast?

virustotal wird halt viel beansprucht und die können auch nur eine Datei nach der anderen auswerten, sodass es gelegentlich etwas länger dauert bis die Ergebnisse kommen.

lg myrtille

ich hab den pfad vorüber 4h reinkopiert(hatte es total vergessen)
und escan hab ich nochmal probiert diesmal hats geklappt
escan hat folgendes gefunden
gefundene viren:16
anzahl feherl552
der text hat zuviele wörter, und als textdokument zu groß,139,6kb

In der Anleitung von eScan steht noch ein Teil über die find.bat, der genau für diesen Fall vorgesehen ist. :)

lg myrtille