hijackthis log, bitte um auswertung

#0
06.05.2006, 17:44
Member

Beiträge: 12
#1 Logfile of HijackThis v1.99.1
Scan saved at 17:41:33, on 06.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\programme\powerstrip\pstrip.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Changer XP\ChangerXP.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\win32host.exe
D:\Programme\ICQ\Icq.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe
D:\Programme + Treiber\Anti Viren Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~2\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~2\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Alcatel Speedtouch Connection.lnk = C:\Programme\Alcatel\SpeedTouch USB\stdialup.exe
O4 - Global Startup: Changer XP.lnk = C:\Programme\Changer XP\ChangerXP.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~2\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~2\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~2\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_7651.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB85A7E-9AE7-4762-BBBF-C4937B53B530}: NameServer = 192.168.1.4
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0130CE7-A5F4-4757-94EE-C726723E4692}: NameServer = 85.255.114.42 85.255.112.154
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe



**
Seitenanfang Seitenende
07.05.2006, 10:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 ugashaka

klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Zitat

Win32 Kernel Update (Win32Kernel)
----------------------------

Start --> Ausführen --> reinkopieren (wenn eine Fehlermeldung kommt...ignorieren) --> klicke O.K.

Zitat

sc delete Win32 Kernel Update
--------------------------


1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

2.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Win32 Kernel Update


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.05.2006, 11:06
Member

Themenstarter

Beiträge: 12
#3 Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 20AF-0040

Verzeichnis von C:\WINDOWS\system32

07.05.2006 10:47 335 vsconfig.xml
07.05.2006 10:46 50.183 nvapps.xml
07.05.2006 10:46 6.410.508 kspydoc.log
07.05.2006 10:46 0 Sweeper.cfg
06.05.2006 15:58 0 TFTP1616
06.05.2006 15:58 0 TFTP632

30.04.2006 13:29 2.206 wpa.dbl
09.04.2006 14:30 98.304 CmdLineExt.dll
26.03.2006 09:46 312.184 perfh009.dat
26.03.2006 09:46 40.380 perfc009.dat
26.03.2006 09:46 48.684 perfc007.dat
26.03.2006 09:46 317.602 perfh007.dat
26.03.2006 09:46 725.498 PerfStringBackup.INI
16.03.2006 14:42 1.206 zhp1020.log
09.03.2006 17:59 180.224 nvudisp.exe
09.03.2006 17:59 180.224 NVUNINST.EXE
09.03.2006 15:29 1.662.976 nvwdmcpl.dll
09.03.2006 15:29 1.019.904 nvwimg.dll
09.03.2006 15:29 3.968.512 nv4_disp.dll
09.03.2006 15:29 98.304 nvapi.dll
09.03.2006 15:29 442.368 nvappbar.exe


Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 20AF-0040

Verzeichnis von C:\DOKUME~1\DOMINI~1.UGA\LOKALE~1\Temp

07.05.2006 10:48 512 ~DF742D.tmp
07.05.2006 10:48 16.384 ~DF6FB4.tmp
07.05.2006 10:46 512 ~DF250D.tmp
07.05.2006 10:46 16.384 ~DF2482.tmp
07.05.2006 10:46 16.384 Perflib_Perfdata_790.dat
5 Datei(en) 50.176 Bytes
0 Verzeichnis(se), 12.298.149.888 Bytes frei

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 20AF-0040

Verzeichnis von C:\WINDOWS

07.05.2006 10:47 0 0.log
07.05.2006 10:46 1.127.488 WindowsUpdate.log
07.05.2006 10:46 2.048 bootstat.dat
06.05.2006 16:48 256 system.ini
06.05.2006 16:48 706 win.ini
06.05.2006 13:49 34.384 win32host.exe
17.04.2006 17:38 69 winamp.ini
12.04.2006 22:02 78.815 War3Unin.dat
01.04.2006 23:41 23 BlendSettings.ini

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 20AF-0040

Verzeichnis von C:\

07.05.2006 11:04 0 sys.txt
07.05.2006 11:04 4.285 system.txt
07.05.2006 11:04 502 systemtemp.txt
07.05.2006 11:02 98.963 system32.txt
07.05.2006 10:46 1.610.612.736 pagefile.sys
06.05.2006 18:58 6 AVPCallback.log
06.05.2006 16:48 330 boot.ini
23.04.2006 14:44 35.986 EyeCandyLog.txt
09.04.2006 15:16 458 memory.txt
14.03.2006 15:06 216 DebugTrace-RockallDLL.log

regsearch
REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 07.05.2006 11:05:29 for strings:
; 'win32 kernel update'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL\0000]
"DeviceDesc"="Win32 Kernel Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32Kernel]
"DisplayName"="Win32 Kernel Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32KERNEL\0000]
"DeviceDesc"="Win32 Kernel Update"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32Kernel]
"DisplayName"="Win32 Kernel Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32KERNEL\0000]
"DeviceDesc"="Win32 Kernel Update"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Kernel]
"DisplayName"="Win32 Kernel Update"

; End Of The Log...


vielen dank schon im voraus
Seitenanfang Seitenende
07.05.2006, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 ugashaka

Name Troj/Hiddl-A
Type
* Trojan
Affected operating systems
* Windows
Side effects
* Downloads code from the internet
Aliases
* Exploit-JavaPrxy
http://www.sophos.de/virusinfo/analyses/trojhiddlc.html
http://www.sophos.com/virusinfo/analyses/trojhiddla.html
---------------------------------------------------------------------------


Start -- Ausführen -- regedit (reinschreiben)

bearbeiten - suchen - Win32 Kernel Update

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WIN32KERNEL\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Win32Kernel]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WIN32KERNEL\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Win32Kernel]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WIN32KERNEL\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Kernel]
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .........

Zitat

C:\WINDOWS\system32\kspydoc.log
C:\WINDOWS\system32\Sweeper.cfg
C:\WINDOWS\system32\iedld32.dll
C:\WINDOWS\system32\TFTP1616
C:\WINDOWS\system32\TFTP632
C:\WINDOWS\win32host.exe
PC neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0130CE7-A5F4-4757-94EE-C726723E4692}: NameServer = 85.255.114.42 85.255.112.154
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe
PC neustarten

**
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

**
Sophos
aktuellste Virendefinitionsdateien
1.) IDEs für SAV Version Mai 2006 ... Aktuelle Web-Version
Aktuelle CD und Web-Version Download Zip Download Exe 121
http://www.sophos.de/downloads/ide/

2.) http://www.sophos.de/tools/sav32sfx.exe
3.) gehe in C:\
4.) klicke SAV32CLI

+

poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2006, 00:05
Member

Themenstarter

Beiträge: 12
#5 hey sabina

ich schau gerdae dem sav32sfx.exe programm beim arbeiten zu und der findet da eine menge in der system volume information, lauter dateien namens A0723523.exe oder so ähnlich

löscht das programm die auch? oder findet die sie nur...wenn ja wie krieg ichs weg?

Logfile of HijackThis v1.99.1
Scan saved at 00:05:06, on 08.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\programme\powerstrip\pstrip.exe
C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\PROGRA~2\ICQ\ICQ.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme + Treiber\Anti Viren Programme\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~2\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Alcatel Speedtouch Connection.lnk = C:\Programme\Alcatel\SpeedTouch USB\stdialup.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'xfire_lsp_7651.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CB85A7E-9AE7-4762-BBBF-C4937B53B530}: NameServer = 192.168.1.4
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
08.05.2006, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 **
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

**
dann scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: