Trojaner-Board - Bitte um Auswertung von HJT Log

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Auswertung von HJT Log (https://www.trojaner-board.de/49597-bitte-um-auswertung-hjt-log.html)

Bitte um Auswertung von HJT Log

Hallo Forum,

erstmal möchte ich mich bei allen bedanken die mir in der Vergangenheit ohne Ihres Wissens schon das Ein oder Andere mal geholfen haben. Danke für den klasse Service hier! Nun aber zu meinem eigenlichen Anliegen:

Über das Fenster von Fritz Internet ist mir aufgefallen, dass mein PC bei Seitenanwahl bis zu 200 kBit/s verschickt. Das pendelt sich dann bei 35 ein. Nach Recherche kam mir das etwas viel vor und so liess ich S S&D, Ad-Aware und diverse Virenscanner ( Avira, Avast, Kaspersky-Online-Scan ) über mein Windows XP laufen, die mir alle jedoch nichts anzeigten. Mit eScan werden mir 2x "gain.gator" und 1x "mirar" angezeigt. Das Log ist aber viel zu gross um es hier zu posten. Meine Frage dazu, sind diese Datenmengen die ich ins www sende für ein frisch aufgesetztes System angemessen? Windows SP 2 und alle bis Gestern verfügbaren Updates wurden installiert. Browser ist Firefox.

Dann zu meinem HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:35, on 17.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203220313218
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4823 bytes

Es wäre sehr nett wenn Ihr bitte mal einen Blick drüber werfen könntet und mir bescheid sagt ob etwas auffällig ist.

Vielen Dank und eine schöne neue Woche.
Tino

Hallo Tino.

Werte dein eScan log mit Hilfe der find.bat aus und poste das Ergebnis. Anleitung findest du im FAQ Bereich.

Dein HJT log ist sauber.

Hallo undoreal,

vielen Dank dass du dich meiner an nimmst. Hier wie gewünscht das Log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.7.4
Sprache: German
C:\DOKUME~1\****\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Maßnahme ergriffen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Schönen Tag
Tino

Arbeiten mit regedit.

Starte den Rechner im abgesicherten Modus

Start->ausführen-> " regedit "->#ENTER# drücken!

Datei->exportieren->speichern an einem Platz wo du sie wiederfindest.. ;)

Die Datei die erstellt wurde dient als Sicherung falls etwas bei der Bearbeitung der Registrierung schief geht kannst du sie durch die Import-Funktion wiederherstellen.

Dann navigierst du links zu den folgenden Schlüsseln und löscht sie:

Zitat:

HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com

HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com

Danach lasse cCleaner dein System bereinigen. Die Registry (blaues Bauklotz-Symbol links) musst du merhmals durchsuchen und bereinigen lassen bis nichts mehr gefunden wird.
Installation des cCleaners bitte ohne die Toolbar! Benutzerdefinierte Installation wählen.

Dann startest du den Rechner im normalen Modus neu.

Hallo,

sehr gut. Das was du mir geraten hast habe ich gemacht. cCleaner, S S&D, Ad-Aware, eScan und Aviar finden nichts mehr aber das Problem des zuvielen sendens hab ich immer noch :confused: Auch finde ich in der Registrie Einträge mit Endungen nach denen die o.g. Programme suchen. Z.B. BFast. Sind das "leere Pfade" die, weil sie schonmal entfernt wurden, nur als Restmüll da stehn? Aber dann müsste mir ja Regedit was anzeigen...hm:confused:
Auch rattert mein Rechner nicht mehr so wie ich das von ihm gewöhnt bin. Irgendwas läuft da schief. Vielleicht hast du mir ja noch nen Tip. Ansonsten bedank ich mich recht artig bei dir ;) , vielen Dank :knuddel: für deine Mühe und wünsche dir eine sehr lange virenfreie Zeit.

Lieben Gruss
Tino

Zitat:

Zitat von Tino1432 (Beitrag 322752)

Über das Fenster von Fritz Internet ist mir aufgefallen, dass mein PC bei Seitenanwahl bis zu 200 kBit/s verschickt. Das pendelt sich dann bei 35 ein.

Das ist normal. Du hast einige Progamme, die erst einmal nach Hause telefonieren und nachfragen, ob updates vorhanden sind. Das fängt mit XP an und hört mit AV-Programmen auf. Auch Adobe, Java und co. machen da mit. Also alles kein Problem.

@blow-in

das diverse Programme nach Hause telefonieren ist mir bekannt aber früher waren die Datenmengen nicht so hoch und vorallem nicht bei jedem neuen Seitenaufbau. Wenn du jedoch meinst, dass diese Menge noch normal ist beruhigt mich das, werde aber dennoch ein Auge darauf haben.

Gruss
Tino

Hattest du Früher schon DSL? Durch den Breitbandanschluss werden dann auch mehr Daten rüber und nüber geschickt.
Wie ist denn deine Trafik, wenn du nichts machst? :zzwhip: Den cCleaner hast du nach Beschreibung von @undorial mehrmals angewendet?

Ja DSL hab ich schon länger. Früher waren es eben nicht so viele. Wenn ich nichts mache ist Ruhe, sprich, keine Daten werden gesendet. Das bruhigt mich auch. cCleaner hab ich min. 10 mal drüber gelassen (hat nach dem 3ten mal 0,2 sec. angezeigt). Den Rechner hab ich erst ein 3/4 Jahr und jetzt das Erste mal neu aufgesetzt. Da könnte es auch sein, dass ich die Werkskonfig nicht 100% eingestellt habe und desshalb ein reguläres Programm sendet :dummguck: . Obwohl auto Update aus ist und ich xp antispy installierte hab.

So mein Resümee wen´s interessiert :)

da mein Rechner trotz allen Massnahmen munter drauflosgesendet hat, habe ich eine alte Festplatte probiert und siehe da...schluss ist´s mim senden. Meine Vermutung: Ich hab mir da was ganz Neues eingefangen. Die verseuchte Platte werd ich mal aufheben und in ein paar Monaten nochmals checken.

Vielen Dank für Eure Hilfe/Bemühungen und schöne Grüsse!
Tino