Bin ich Infiziert?Trojan Assasin? Logfile mit Hijackthis erstellt

#0
09.02.2006, 21:05
...neu hier

Beiträge: 6
#1 Hier mein Logfile mit Hijackthis.
Könnt Ihr euch das mal ansehen und mir weiterhelfen.
Vermutlich Trojaner!?
Hab leider nicht so die Ahnung um das auszuwerten.
Vielen Dank


Logfile of HijackThis v1.99.1
Scan saved at 20:48:57, on 08.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Secure FileSharing 6\sfs.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\war*hier nicht!*.exe
O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Seitenanfang Seitenende
10.02.2006, 01:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Neo400

dein Steganos Secure FileSharing 6 hilft dir nichts, wenn du so d.... bist, um Keys zu laden ;)

Zitat

[I downloaded pirated Software from P2P and now I post my Hijack log
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)

O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\war*hier nicht!*.exe
O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe

PC neustarten

scanne mit panda und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2006, 17:30
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina,

hättest ruhig doof ausschreiben können,vermutlich hast du ja recht.

Hier der Scanreport von Panda:


Incident Status Location

Adware:adware/wupd Not disinfected C:\WINDOWS\SYSTEM32\ide21201.vxd
Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\A.Zeuch\Cookies\a.zeuch@as1.falkag[1].txt
Adware:Adware/SaveNow Not disinfected C:\Programme\DAEMON Tools\SetupDTSB.exe
Adware:Adware/WUpd Not disinfected C:\WINDOWS\system32\expIorer.exe
Joke:Joke/Metro Not disinfected D:\e-mail quatsch\U-Bahn-Fahrt.exe
Seitenanfang Seitenende
11.02.2006, 00:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 lol

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\SYSTEM32\ide21201.vxd
C:\WINDOWS\system32\war*hier nicht!*.exe
C:\WINDOWS\system32\expIorer.exe

PC neustarten

deinstalliere/loesche:
C:\Programme\DAEMON Tools

--------------------------------------------------------------------------

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\OEM_Dir\win_asr.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 16:43
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Sabina,

kann diese zwei Dateien nicht finden:

C:\WINDOWS\system32\war*hier nicht!*.exe
C:\WINDOWS\system32\expIorer.exe


Diese Datei ist da:

C:\WINDOWS\SYSTEM32\ide21201.vxd


Wie gehts jetzt weiter,bin ratlos?

MfG
Neo
Seitenanfang Seitenende
11.02.2006, 19:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 du sollst die datei nicht "finden"...sondern so wie sie ist abkopieren und --> in das Fenster der Killbox:
Hast du das gemacht ?

scanne mit allen 4 Scannern
http://virus-protect.org/multiavtool.html

suche die Scanreporte in C:\AV-CLS und kopiere sie hier (nur, falls etwas gefunden wurde)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.02.2006, 21:28
...neu hier

Themenstarter

Beiträge: 6
#7 Hi Sabina,

hab die drei Dateien nacheinander in die Killbox einkopiert,wobei die Datei,nachdem man auf das rote Kreuz klickte und mit nein bestätigte dann auch wieder verschwand.Ich hoffe,das war so richtig.

Daemon tools hab ich deinstalliert.

Hier noch der Bericht von
http://www.virustotal.com/flash/index_en.html


a
This is a report processed by VirusTotal on 02/11/2006 at 21:26:27 (CET) after scanning the file "win_asr.exe" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 02.11.2006 no virus found
Avast 4.6.695.0 02.10.2006 Win32:Trojan-gen. {Other}
AVG 718 02.10.2006 BackDoor.Generic.SZ
Avira 6.33.0.81 02.11.2006 no virus found
BitDefender 7.2 02.11.2006 Backdoor.Assasin.20.C
CAT-QuickHeal 8.00 02.11.2006 no virus found
ClamAV devel-20060126 02.09.2006 Trojan.Assasin.20.C-srv
DrWeb 4.33 02.11.2006 no virus found
eTrust-InoculateIT 23.71.74 02.11.2006 no virus found
eTrust-Vet 12.4.2074 02.10.2006 no virus found
Ewido 3.5 02.11.2006 Backdoor.Assasin.20.c
Fortinet 2.54.0.0 02.11.2006 W32/Assasin_20.AGS!bdr
F-Prot 3.16c 02.09.2006 no virus found
Ikarus 0.2.59.0 02.10.2006 Backdoor.Win32.Agobot.AAB
Kaspersky 4.0.2.24 02.11.2006 Backdoor.Win32.Assasin.20.c
McAfee 4694 02.10.2006 BackDoor-AGS.gen
NOD32v2 1.1403 02.10.2006 Win32/Assasin.20.C
Norman 5.70.10 02.10.2006 W32/Assasin.DC
Panda 9.0.0.4 02.11.2006 Suspicious file
Sophos 4.02.0 02.11.2006 no virus found
Symantec 8.0 02.11.2006 Backdoor.Assasin
TheHacker 5.9.4.094 02.10.2006 Backdoor/AGS.gen
UNA 1.83 02.09.2006 no virus found
VBA32 3.10.5 02.11.2006 Backdoor.Win32.Assasin.20.c



Die Multi_AV.exe führe ich jetzt noch aus und poste den Scanreport.

MfG
Neo
Seitenanfang Seitenende
11.02.2006, 21:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Neo400

Oh manne............wollst du nicht besser neuaufsetzen ?????

fixe mit HijckThis:

O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe

neustarten

loeschen:
C:\WINDOWS\system32\OEM_Dir\win_asr.exe
C:\WINDOWS\system32\OEM_Dir

lade und scanne
http://www.microsoft.com/security/malwareremove/families.mspx

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Deaktiviere den etrust, damit es nicht zum Stillstand vom System kommt:

avast! 4 Home Edition (free)
http://virus-protect.org/antivirenfree.html
laden, nach der Installation neu starten, es wird ein Check durchgefuehrt, beim Hochfahren vom System.
Warte ihn ab, dann suche den scanreport und poste ihn
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.02.2006, 19:51
...neu hier

Themenstarter

Beiträge: 6
#9 Hi Sabina,

nach einigen Problemen bin ich wieder da.
Also,hab deine Anweisungen soweit alle befolgt,hat auch alles gut geklappt,bis ich den avast! 4Home Edition installiert hab.Nach der Installation hat der avast dann sein scan gemacht und auch abgeschlossen,aber dann ging auf einmal nichts mehr.Mußte den PC neu starten und dann ging gar nichts mehr.
Hab dann eine neuinstallation gemacht.
Auf jedenfall sollte mein PC jetzt wieder clean sein,oder?

MfG
Neo
Seitenanfang Seitenende
15.02.2006, 00:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wahrscheinlich haben sich etust und avast doch nicht vertragen...man haette den etrust deinstallieren mussen.
er hat den Backdoor nicht erkannt.....

Zitat

eTrust-InoculateIT 23.71.74 02.11.2006 no virus found
Deshalb habe ich dir den avast empfohlen.

Aber wenn du formatiert hast...ist wieder alles in Butter ;)
War auch besser so...denn ein Backdoor hat Rootkits usw....
Das System bleibt immer kompromitiert, auch wenn man notduerftig loescht .

Nun pass schoen auf...was du in Zukunft laedst lol , besser noch..lasse die Finger davon, wenn du nicht jede Woche formatieren willst.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.02.2006, 19:55
...neu hier

Themenstarter

Beiträge: 6
#11 Werde mir in Zukunft mehr mühe geben und besser aufpassen was ich lade.Auf jedenfall,recht schönen dank für deine Bemühungen.
Soll ich denn den eTrust abschießen und auf den avast umsteigen,oder kannst du mir eine Emfehlung ,für einen Virenscanner geben?
Und verate mir bitte noch "was war das eigentlich"

[I downloaded pirated Software from P2P and now I post my Hijack log

Gruß
Neo
Seitenanfang Seitenende
15.02.2006, 21:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 du hast irgendeinen Key laden wollen, aber in der Datei war ein Backdoor, versehen mit dem Netten Hinweis... bewusst gemacht fuer die Logs von HijackThis ...sehr peinlich, denke ich.
Bleib bei dem etrust...es ist ein gutes Proggie , nur eben noch nicht auf alle Eseleien vom User trainiert lol
Wenn du ein Programm haben willst+ Key und Support...dann spare und kaufe es !
Die Programmierer haben auch lange dran gesessen, um es zu entwickeln.
Und die Virenkiddies freuen sich diebisch ueber jeden...der wieder mal reingefallen ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende