Trojaner-Board - Bin ich wirklich "sauber"???

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bin ich wirklich "sauber"??? (https://www.trojaner-board.de/9783-wirklich-sauber.html)

Bin ich wirklich "sauber"???

Hi alle zusammen.
Ich hab immer das blöde Gefühl bei mir springt irgendwas auf dem PC rum, bin mir aber nicht ganz sicher.
Könnt Ihr mir die Log auslesen? Bin ich vollkommen clean?
Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, oder bezieht sich das nur auf das jeweilige system? (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, wo lernt man sowas?

Danke schon mal für Eure Hilfe

LOG:

Logfile of HijackThis v1.98.2
Scan saved at 21:36:22, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
E:\Programme\WinRAR\WinRAR.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@HelpmeimtheDoG

Könnt Ihr mir die Log auslesen? ja
Bin ich vollkommen clean? kann man nicht sagen, wir können lediglich etwas über das logfile sagen.

Kann man eigentlich anhand der Log erkennen ob viren/troj. auf dem system sind, ja
oder bezieht sich das nur auf das jeweilige system?
ja (hab z.b. 2 systeme auf 2 partitionen installiert)
Und wie wertet man diese Log aus, übung übung übung

wo lernt man sowas? ???
Hilfe zur selbsthilfe
chaosman

;) ;) :D

Zitat:

wo lernt man sowas?

Das ist schonmal ein recht guter Einstieg. :daumenhoc

Hm, also müsste ich erst mal Q10 reparieren mit dem Winsock-Fix-tool, richtig?
Kann ich das im laufenden Betrieb machen oder muss ich dazu im abgesicherten Modus starten?

@HelpmeimtheDoG
wie kommst du ins Inet?
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
kuckst du hier
http://www.spywaredata.com/lsp.php?current_page=200

lade dir hier
LSP - fix
wechsle dann in den abgesicherten modus und fixe
R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

neu starten, wenndein Inet verbindung unterbrochen ist, dann mit LSP-Fix reparieren
chaosman

naja, habs jetzt erst mal im laufenden betrieb gemacht, hoffe da ist nix falsch dran. (komm mit dsl (qsc) ins inet)
Ich mach es aber dann noch mal nach Deiner Anleitung, jedenfalls sieht das ganze jetzt so aus:

Logfile of HijackThis v1.98.2
Scan saved at 22:01:40, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
E:\Programme\mirc\mirc.exe
E:\Programme\Serv-U\ServUDaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [ScanGear Toolbox 3.0] E:\PROGRA~1\Canon\SCANGE~1\SGTBox.exe RegPushButton
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@ HelpmeimtheDoG,

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) - update Deinen IE: www.windowsupdate.com

Boote dann in den VGA Modus und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R3 - Default URLSearchHook is missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

boote in den normalen Modus.

SD

Hm, also irgendwas stimmt net, hab es jetzt nach der Anleitung von Chaosman gemacht, aber die Q14 ist immer noch da, umd wenn ich mit LSPFix.exe irgendwas fixe, passiert auch nix (ehrlich gesagt weiss ich auch nicht was ich dort machen soll, ich habe die angeblich fehlende Datei mwtsp.dll in das Feld KEEP verschoben, aber beim nächsten Start zeigt mir Hijack immer noch an:
Q10: (...) mwtsp.dll is missing

-> auf die Seite von microsoft komm ich nicht mehr (wenn ich updaten will) und etwas in die Zwischenablage kopieren geht auch nicht mehr)

Was hab ich falsch gemacht?

Hier die Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:38:39, on 18.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINNT\system32\svchost.exe
E:\PROGRA~1\eScan\avpm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\locator.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\PROGRA~1\eScan\TRAYICOS.EXE
E:\PROGRA~1\eScan\AVPMWrap.EXE
E:\PROGRA~1\eScan\MAILDISP.EXE
E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
E:\PROGRA~1\eScan\SPOOLER.EXE
E:\PROGRA~1\eScan\MAILSCAN.EXE
E:\PROGRA~1\eScan\kavss.exe
E:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\lspfix\LSPFix.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = www.google.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "E:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] E:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] E:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Actual Transparent Window] E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

@ HelpmeimtheDoG

sodele, ich hab Dein Logfile gerade mal in deutsch ins Netz gehängt, schau mal hier nach: HJT-Logfile von HelpmeimtheDoG.

Dein IE ist antik. Du solltest ihn endlich updaten und dann auf einen sicheren Browser umsteigen, siehe Vorbeugende Maßnahmen bzw. IE sicher konfigurieren und Browser-Sicherheit.

Was das ist: E:\Programme\Actual Transparent Window\ActualTransparentWindowCenter.exe weiss ich nicht. Kannst es ja hier überprüfen: virusscan.jotti.dhs.org.

C:\Dokumente und Einstellungen\Administrator\Desktop\lspfix\LSPFix.exe und
C:\Dokumente und Einstellungen\Administrator\Desktop\virentools\Hij ackThis.exe - sind nicht die richtigen Ordner für die "LSPFix.exe" und die "Hij ackThis.exe" ... die hätten eigentlich in eigene Ordner unter C:\Program Files\
gesollt. Oder wohin auch immer, aber nicht dahin, wo sie bei Dir sind.
---> Tutorial zu Windows

und die "O14 - IERESET.INF: SEARCH_PAGE_URL=" Einträge werden wahrscheinlich verschwinden, wenn Du eine neue Startseite vergibst ... MountainKing hat dazu geschrieben ... schau mal in der Forums-Suche unter "O14 - IERESET.INF: SEARCH_PAGE_URL=" und MountainKing nach.

Wenn Du befürchtest Viren auf Deinem System zu haben, solltest Du den Scan durchführen ...

lade den eScan entsprechend der Anleitung hier runter, dafür einen neuen Ordner erstellen (=Verzeichnis) "c:\bases", update den eScan online und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

SD