Trojaner-Board - Merkwürdigkeiten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Merkwürdigkeiten (https://www.trojaner-board.de/69461-merkwuerdigkeiten.html)

Wie geht es dem Rechner?

Poste bitte noch ein letztes HJT-Log. Alle Programme, die wir eingesetzt haben, können deinstalliert/gelöscht werden.

ciao, andreas

Hallöchen hier noch ein letztes HJT Logfile

Wie geht es dem Rechner? Ich denke mal ganz gut. Diese merkwürdigen Weiterleitungen sind nicht mehr vorgekommen.
Allerdings macht mich das mit diesen "Tool.Prokill" doch noch etwas nervös.
Ich werde dann also die Systemwiederherstellung wieder einschalten. Natürlich erst nach deinem o.k.

Ich werde dann die nächsten Tage noch mal das Panda-Teil drüberschicken. Weil das am meißten gefunden hat, oder meinst du das ist unnötig?

Also ich muß mich ja jetzt mal ganz dolle bei dir bedanken. Solch uneigennützige Hilfe findet man ja nicht an jeder Ecke. Und das auch noch in der Freizeit. Vielen Dank.:aplaus:
Wenn du magst oder Zeit hast, kannst du ja mal in mein Forum schauen und mir sagen was du davon hältst. ht*p://www.pfotentreff-breitungen.de

Viele Grüße vom Uwe und seinem Lies'chen

P.S. Sollte noch etwas sein, soll ich es dann in diesem Thread posten?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:10, on 03.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Prevx\prevx.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Prevx\prevx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\acer\epm\epm-dm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{941A50C6-11CD-41AA-B106-A633A622A76B}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - c:\xampp\apache\bin\apache.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4442 bytes

Code:

Allerdings macht mich das mit diesen "Tool.Prokill" doch noch etwas nervös.

Muss es nicht. Kann sogar ein legitimes Programm sein, dass Prozesse beenden kann.

Zitat:

Ich werde dann die nächsten Tage noch mal das Panda-Teil drüberschicken. Weil das am meißten gefunden hat, oder meinst du das ist unnötig?

Schaden kann es nicht. Poste das Log, nicht jede Meldung ist auch tatsächlich etwas Böses.

Zitat:

P.S. Sollte noch etwas sein, soll ich es dann in diesem Thread posten?

Ja.

ciao, andreas

Hallöchen

Habe den Panda-Scan noch einmal gemacht.

Muß ich noch etwas machen, oder ist das o.K.?

;***************************************************************************************************************************************************** ******************************
ANALYSIS: 2009-02-05 13:48:54
PROTECTIONS: 3
MALWARE: 1
SUSPECTS: 0
;***************************************************************************************************************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================== ==============================
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
Avira AntiVir PersonalEdition 8.0.1.30 Yes Yes
AntiVir PersonalEdition Classic Virenschutz 0.0.0.0 Yes Yes
;===================================================================================================================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================== ==============================
00169752 application/need2find HackTools No 0 Yes No hkey_current_user\software\need2find
00169752 application/need2find HackTools No 0 Yes No HKEY_CLASSES_ROOT\Interface\{4D1C4E8A-A32A-416B-BCDB-33B3EF3617D3}
00169752 Application/Need2Find HackTools No 0 Yes No C:\Dokumente und Einstellungen\USER\DoctorWeb\Quarantine\A0000384.DLL
00169752 application/need2find HackTools No 0 Yes No hkey_local_machine\software\microsoft\windows\currentversion\uninstall\need2findbar uninstall
;===================================================================================================================================================== ==============================
SUSPECTS
Sent Location
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================== ==============================
;===================================================================================================================================================== ==============================

Viele Grüße
Uwe

Deinstalliere alle Programme, die wir eingesetzt haben. Panda hat das von Dr.Web gekillte Programm gefunden und noch einige Überreste in der Registry. Die sind nicht gefährlich. Du kannst versuchen die mit CCleaner zu löschen.

ciao, andreas

Hallöchen

Ich habe jetzt erst gemerkt, das hier noch ein Post war.
Uiii wie peinlich. Tschuldigung.
Ich möchte mich noch einmal recht herzlich für die kompetente Hilfe bedanken.

Viele Grüße
Uwe

Du bist entlassen. :)

ciao, andreas