logfile-analyse unbefridigend, weitere Blicke von Kennern erwünscht

#0
02.11.2005, 17:54
Member

Beiträge: 14
#1 Hallo , ein weiteres Schäfchen, das von mir gepflegt werden soll.
Ich hab eine log auto-analyse gemacht aber insbes.
O23 - Service: HP OpenView DTA Network Service (HPODTANetworkService) - Hewlett-Packard - C:\HPDTA\AGENTS\netserv.EXE
kann nicht gefixt werden, bzw. kam immer wieder.

Ist sonst noch was Doofes drin? Ich habe sonst keine bösen Meldungen mehr, aber viele unbekannte Programme....

Insbesondere habe ich noch ein Problem mit dem Antivirus-Programm. Siehe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\TEMP\_VWUPSRV.EXE
--> läßt sich nicht fixen. Derzeit kann ich das Antivir nicht zum laufen bringen, ein Update hat nicht geklappt.
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
wird in der Autoanalyse als potentiell böse benannt, weil es in TEM stand.
Vielen Dank
Marimba

Logfile of HijackThis v1.99.1
Scan saved at 17:56:00, on 02.11.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\system32\netdde.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\System32\esserver.exe
C:\HPDTA\AGENTS\LAUNCHSV.EXE
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\SENS.EXE
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\explorer.exe
C:\HPDTA\AGENTS\nproxy32.exe
C:\HPDTA\AGENTS\n32netx0.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\T-Online\BSW4\ISDN SpeedManager\tomcat.exe
C:\WINNT\System32\spool\drivers\w32x86\hpztsb05.exe
C:\Programme\unue\rotr.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINNT\explorer.exe
C:\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\ddhelp.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\RASPHONE.EXE
C:\WINNT\system32\rasmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Trojancheck 6\tcguard.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.de.msn.com/access/allinone.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***l.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-**e.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe,C:\HPDTA\AGENTS\hprun.exe
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HPODTAProxyLaunchAgent] C:\HPDTA\AGENTS\nproxy32.exe
O4 - HKLM\..\Run: [HPODTANetworkService] C:\HPDTA\AGENTS\n32netx0.exe
O4 - HKLM\..\Run: [HpRun] c:\hpdta\agents\hprun.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-Online\BSW4\ISDN SpeedManager\tomcat.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\hpztsb05.exe
O4 - HKLM\..\Run: [MURO] C:\WINNT\exe82.exe
O4 - HKLM\..\Run: [N3rbiJnnL] C:\abmotaqw.exe
O4 - HKLM\..\Run: [Microsoft Updater fixeder] wisns.exe
O4 - HKLM\..\RunServices: [Microsoft Updater fixeder] wisns.exe
O4 - HKCU\..\Run: [Ieuu] "C:\Programme\unue\rotr.exe" -vt mt
O4 - HKCU\..\Run: [Microsoft Updater fixeder] wisns.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O20 - Winlogon Notify: NavLogon - C:\WINNT\System32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: HP OpenView DTA Inventory Service (HPODTAInventory) - Hewlett-Packard - C:\HPDTA\AGENTS\invserv.EXE
O23 - Service: HP OpenView DTA Network Service (HPODTANetworkService) - Hewlett-Packard - C:\HPDTA\AGENTS\netserv.EXE
O23 - Service: HP OpenView DTA Fernstartdienst (HPODTARemoteLaunchAgent) - Hewlett-Packard - C:\HPDTA\AGENTS\NAGENT32.EXE
O23 - Service: HP OpenView DTA Distribution Service (HPODTASoftwareDistribution) - Hewlett-Packard - C:\HPDTA\AGENTS\dstserv.EXE
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: HP OpenView DTA Launch Service (OVDTALaunchService) - Hewlett-Packard - C:\HPDTA\AGENTS\LAUNCHSV.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\TEMP\_VWUPSRV.EXE
Dieser Beitrag wurde am 02.11.2005 um 18:51 Uhr von marimba editiert.
Seitenanfang Seitenende
03.11.2005, 00:35
Member
Avatar Gool

Beiträge: 4730
#2 Deinstalliere AntiVir komplett und installiere es neu. Dann sollte das Problem verschwinden.

Aber Du hast nebenbei auch noch ein paar Viren auf dem PC. Fixe folgende Einträge (Häkchen setzen und "fix checked" klicken):

O4 - HKLM\..\Run: [MURO] C:\WINNT\exe82.exe
O4 - HKLM\..\Run: [N3rbiJnnL] C:\abmotaqw.exe
O4 - HKLM\..\Run: [Microsoft Updater fixeder] wisns.exe
O4 - HKLM\..\RunServices: [Microsoft Updater fixeder] wisns.exe
O4 - HKCU\..\Run: [Ieuu] "C:\Programme\unue\rotr.exe" -vt mt
O4 - HKCU\..\Run: [Microsoft Updater fixeder] wisns.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

Lösche mit Killbox (http://managor.de/killbox.htm) folgende Dateien:

C:\WINNT\exe82.exe
C:\abmotaqw.exe
c:\winnt\system32\wisns.exe
C:\Programme\unue\rotr.exe

Außerdem bitte ich Dich, vier Logs nach folgender Anweisung zu erstellen und daraus die Einträge der vergangenen drei Wochen (vor jedem Eintrag steht ein Datum) inklusiver der Pfadangabe am Anfang zu kopieren:
http://virus-protect.org/datfindbat.html
(ich hoffe, das klappt unter Windows NT4)

Lösche das Verzeichnis C:\Programme\unue\

Starte den PC in den abgesicherten Modus und mache einen Scan mit eScanCheck. Poste das Ergebnis.
http://managor.de/escan.htm

Ähm... warum ist da noch der Service von Norton AntiVirus aktiv? Mehr als ein Virenscanner sollte nicht installiert sein (also nur NAV oder nur AntiVir).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
09.11.2005, 16:06
Member

Themenstarter

Beiträge: 14
#3 Hi Managor,
die KillBox kann ich derzeit nicht starten, es kommt immer die Meldung: run time error 453 - Can`t find DLL entry point Create Toolhelp 32Snapshot in kernel32, wenn ich die exe.datei starten will - ich glaube ich hab richtig Schei... gebaut - das ist, seit ich das programm avast4 laufen gelassen hab...irgendwas mit kernel wurde glaub ich auch vom antivirenprogramm naja ich sag mal 'behandelt'.

was tun?
wie kann ich ein programm gescheit deinstallieren (Norton AV und auch AntiVir, die kreisen jetzt beide hier rum), das keine Deinstallationsfunktion (mehr) hat?

Na, wenigstens unue konnte ich löschen...

Und hier die bat datei:

Verzeichnis von C:\WINNT\system32

09.11.05 15:35 90.624 duts.exe
09.11.05 15:30 90.624 zeudgsfh.exe
02.11.05 19:24 3.045 CONFIG.NT
02.11.05 18:22 167.372 WINDOWS.GID
02.11.05 16:20 2 wtssvit.exe
05.10.05 18:44 136.704 oins.exe
13.09.05 13:05 52.161 mt-uninstaller.exe

Verzeichnis von C:\TEMP

09.11.05 13:56 120 ffastlog.txt
09.11.05 12:49 1.536 ~DF6BE6.tmp
02.11.05 20:32 1.536 ~DF9233.tmp
02.11.05 20:21 0 ~DF9265.tmp
02.11.05 18:35 12.288 AVTMP$$$.LOG
19.10.05 16:48 36.904 SMTPLIB.DLL
19.10.05 16:48 77.312 UNACEV2.DLL
19.10.05 16:48 20.480 REBOOT.EXE
19.10.05 16:48 24.576 REBOOT.DLL
19.10.05 16:48 4.630 README.TXT
19.10.05 16:48 9.736 LIZENZ.WRI
19.10.05 16:48 262.203 INETUPD.EXE
19.10.05 16:48 110.632 AVSCHED32.EXE
19.10.05 16:48 34.565 AVSCHED32.HLP
19.10.05 16:48 40.960 AVSHLEXT.DLL
19.10.05 16:48 122.880 AVSCHED32.DLL
19.10.05 16:48 208.424 AVGUARD.EXE
19.10.05 16:48 61.440 AVUNINST.DLL
19.10.05 16:48 172.072 AVUNINST.EXE
19.10.05 16:48 2.424 AVWIN.CNT
19.10.05 16:48 532.520 AVWIN.DLL
19.10.05 16:48 622.699 AVWIN.EXE
19.10.05 16:48 41.000 AVPREF.DLL
19.10.05 16:48 41.000 AVREG.DLL
19.10.05 16:48 299.125 AVGCMSG.DLL
19.10.05 16:48 33.152 AVGNTDD.SYS
19.10.05 16:48 31 DISPLAY.WIN
19.10.05 16:48 9.826 EULA.TXT
19.10.05 16:48 51.930 FAQPE_DE.HTM
19.10.05 16:48 180.327 AVGNT.EXE
19.10.05 16:48 30.720 FFJMPWEB.DLL
19.10.05 16:48 24.616 GUARDEVT.DLL
19.10.05 16:48 69.632 GUARDGUI.EXE
19.10.05 16:48 98.344 GUARDMSG.DLL
19.10.05 16:48 1.024 HBEDV.KEY
19.10.05 16:48 159.744 INETUPD.DLL
19.10.05 16:48 319.528 AVPACK32.DLL
19.10.05 16:48 24.576 AVNTDLL.DLL
19.10.05 16:48 122.880 AVNT.EXE
19.10.05 16:48 77.864 AVNOTIFY.EXE
19.10.05 16:48 537.459 AVWIN.HLP
19.10.05 16:48 996.518 AVGNT.HLP
19.10.05 16:48 31 DISPLAY.SPW
19.10.05 16:48 1.713.784 VIRINFO.HLP
19.10.05 16:48 45.096 _vwup.exe
19.10.05 16:48 24.576 AVGETVER.DLL
19.10.05 16:48 45.096 AVWUPSRV.EXE
19.10.05 16:48 7.129 BUILD.DAT
48 Datei(en) 7.314.945 Bytes
2.027.058.688 Bytes frei
(mehr war nicht drin)

Verzeichnis von C:\WINNT

09.11.05 15:24 105 mapiuid.ini
09.11.05 13:56 1.438 WIN.INI
09.11.05 13:52 66.641.920 MEMORY.DMP
02.11.05 20:18 8.766 hh.dat
02.11.05 19:26 32.694 SchedLog.Txt
02.11.05 10:17 0 qsp7.tmp
02.11.05 10:16 0 qsp3.tmp
25.10.05 11:53 0 qsp15.tmp
25.10.05 11:53 0 qsp13.tmp
25.10.05 11:23 0 qsp11.tmp
25.10.05 11:23 0 qspF.tmp
25.10.05 10:52 0 qspD.tmp
25.10.05 10:52 0 qspB.tmp
25.10.05 10:22 0 qsp6.tmp
25.10.05 10:22 0 qsp2.tmp
18.10.05 12:29 20.587.170 HP00E000.IDX
18.10.05 11:17 53.239 HP00D00F.PDL
18.10.05 11:17 95.481 HP00D00E.PDL
18.10.05 11:17 85.418 HP00D00D.PDL
18.10.05 11:17 37.955 HP00D00C.PDL
18.10.05 11:17 57.479 HP00D00B.PDL
18.10.05 11:17 59.911 HP00D00A.PDL
18.10.05 11:17 45.649 HP00D009.PDL
18.10.05 11:17 38.527 HP00D008.PDL
18.10.05 11:17 49.793 HP00D007.PDL
18.10.05 11:17 58.369 HP00D006.PDL
18.10.05 11:17 40.275 HP00D005.PDL
18.10.05 11:17 39.101 HP00D004.PDL
18.10.05 11:17 40.737 HP00D003.PDL
18.10.05 11:17 40.763 HP00D002.PDL
18.10.05 11:17 39.647 HP00D001.PDL
18.10.05 11:17 42.208 HP00D000.IDX
05.10.05 18:44 38.912 mtuninst.exe
13.09.05 14:09 260 ubber60.ini
13.09.05 14:09 1.320 affbun.txt
13.09.05 13:23 143.823 HP00C009.PDL
13.09.05 13:23 251.509 HP00C008.PDL
13.09.05 13:23 225.202 HP00C007.PDL
13.09.05 13:23 426.749 HP00C006.PDL
13.09.05 13:23 273.631 HP00C005.PDL
13.09.05 13:23 709.328 HP00C004.PDL
13.09.05 13:23 656.827 HP00C003.PDL
13.09.05 13:23 319.960 HP00C002.PDL
13.09.05 13:23 28.810 HP00C001.PDL
13.09.05 13:23 800.396 HP00C000.IDX
13.09.05 13:05 53.248 exe82.exe
13.09.05 13:02 14.965.915 user.dmp
13.09.05 13:01 462.866 drwtsn32.log

Verzeichnis von C:\
09.11.05 16:10 0 sys.txt
09.11.05 16:09 22.371 system.txt
09.11.05 16:08 2.684 systemtemp.txt
09.11.05 16:07 70.402 system32.txt
09.11.05 15:22 107.707 IWATCH.TXT
09.11.05 13:49 268.435.456 pagefile.sys
02.11.05 15:46 0 .txt
18.10.05 10:02 1.176 IWATCH.CAP
11.10.05 11:23 16.384 tool.exe
13.09.05 14:09 956 asdf.txt
Seitenanfang Seitenende
10.11.2005, 15:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 gehe in die Registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
loesche:
"media-motor" = "%Windir%\unstall.exe"

HKEY_CURRENT_USER\Software\WinRAR SFX\
loesche:
"%ProgramFiles%\joystick networks\setup" = "%ProgramFiles%\joystick networks\setup"
"%UserProfile%\Desktop" = "UserProfile%\Desktop"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
loesche:
"(Default)" = "C:\WINNT\system32objsafe.tlb"
"(Default)" = "C:\WINNT\Downloaded Program Files\m67m.ocx"

HKEY_CLASSES_ROOT\IObjSafety.DemoCtl<--loesche

HKEY_LOCAL_MACHINE\SOFTWARE\mm <--loesche

HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap\Domains\media-motor.net <--loesche

HKEY_ALL_USERS%\Software\Microsoft\Windows\CurrentVersion\
Internet Settings\ZoneMap\Domains\popuppers.com <--loesche

PC neustarten

loesche:

C:\abmotaqw.exe
c:\winnt\system32\wisns.exe
C:\Programme\unue\rotr.exe
C:\Programme\unue

C:\WINNT\system32\duts.exe
C:\WINNT\system32\zeudgsfh.exe
C:\WINNT\system32\wtssvit.exe
C:\WINNT\system32\oins.exe
C:\WINNT\system32\mt-uninstaller.exe
C:\WINNT\mtuninst.exe
C:\WINNT\ubber60.ini
C:\WINNT\exe82.exe
C:\tool.exe
C:\.txt
C:\WINNT\system32\objsafe.tlb
C:\WINNT\Downloaded Program Files\m67m.ocx

wende CleanUp an--> Verzeichnis von C:\TEMP --> muss leer sein
http://virus-protect.org/cleanup.html

scanne mit Kaspersky und poste den Scanreport
http://virus-protect.org/onlinescan.html
------------------------------------------------------------------------

Zitat

Datei: exe82.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Trojan.Lowzones.Hp.S02 gefunden
Avast Win32:Trojano-2418 gefunden
AVG Antivirus Puper.CJ gefunden
BitDefender Trojan.Secdrop.53248.A gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Popuper gefunden
F-Prot Antivirus W32/Agent.ZR gefunden
Fortinet Adware/MediaMotor.I gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.MediaMotor.j gefunden
NOD32 Win32/Adware.MediaMotor application gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Trojan.Popuper gefunden
C:\WINDOWS\system32\oins.exe -> Spyware.MediaTickets
C:\WINDOWS\mtuninst.exe -> Spyware.MediaTickets

C:\WINDOWS\ubber60.ini
http://securityresponse.symantec.com/avcenter/venc/data/adware.medload.html

Purityscan\ClickSpring
wtssvit.exe
http://labs.paretologic.com/spyware.aspx?remove=Purityscan%5CClickSpring
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: