HijackThis Logfile - mit der Bitte um Durchsicht

#1 Hallo zusammen,

bin total Neu im Trojaner-Forum und bitte um Durchsicht meines Logfiles.
Über eine Rückmeldung würde ich mich freuen und wie ich die Maschine wieder sauber bekomm.
Gruß
Steven

Logfile of HijackThis v1.99.1
Scan saved at 16:38:26, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\hiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.5:3128;gopher=192.168.0.5:3128;http=192.168.0.5:3128;https=192.168.0.5:3128;socks=192.168.0.5:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.5;127.0.0.1;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RSShutdown] "K:\Autostart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - re****s://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

#2 Wenn du uns sagen wuerdest, was dein Problem ist, ausser das du 2 AV Programme mit aktiven Guard installiert zu haben scheinst.....

Achja, wozu brauchst du das VNC Server Modul?
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo Ralf,

ich hatte zuletzt nachfolgende Meldung in Antivir. Weis jetzt
aber nicht ob mein System sauber ist - deswegen das logfile.

Nachfolgende Meldungen waren in der Reportdatei

C:\Programme\Pegasys Inc\TMPGEnc DVD Author 2.0 Testversion\TMPGEncDVDAuthor2Trial.exe
[FUND] Enthält verdächtigen Code: HEUR/Virus.Win32

C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\CS2_Photoshop_keyg*hier nicht*.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '950c6a72.qua' verschoben!
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\google_earth_pro_keyg*hier nicht*.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'b114a792.qua' verschoben!
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\GTA_San_Andreas_keyg*hier nicht*.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '980c7978.qua' verschoben!
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\windows_xp_keyg*hier nicht*.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1


C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\mst9E.tmp.vir
[FUND] Ist das Trojanische Pferd TR/Agent.VG.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '89dd825e.qua' verschoben!
C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\mst9F.tmp.vir
[FUND] Ist das Trojanische Pferd TR/Agent.VG.2
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '8add8265.qua' verschoben!


C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Lokale Einstellungen\Temp\idrmkl.sys
[FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Genlot.DX
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'afef3646.qua' verschoben!




VNC benutze ich im Hausnetzwerk zum PC´s bedienen - 3 Stockwerke.

Bruachst Du noch weitere Daten?
Gruß
steven

#4 DAs sieht stark nach fehlalarm aus. am besten mal an Antivir schicken:

C:\Programme\Pegasys Inc\TMPGEnc DVD Author 2.0 Testversion\TMPGEncDVDAuthor2Trial.exe
[FUND] Enthält verdächtigen Code: HEUR/Virus.Win32

(Heute schon ein Update mit Antivir gemacht? Es gab eine neue Engine)

Die Meldungen aus diesem Ordner sollten klar sein:
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys

Dann mal bitte das hier abarbeiten(Datfindbat und cleanup)
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo Ralf,

Die Meldungen aus diesem Ordner sollten klar sein:
C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys

Zitat

Was Du damit sagen willst habe ich leider nicht verstanden.

Das andere werde ich durchführen.

Danke
Steven

#6 Hi Steven,

K*ygeneratioren und anderer "Kram" aus unsicheren Quellen enthalten oft Malware und andere unerwuenschte Dinge.....
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Ralf,

hier sind die logs aus datfindbat:

Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS\system32

21.07.2006 19:55 12.962 LVCOMSX.LOG
21.07.2006 19:49 889 vsconfig.xml
18.07.2006 15:55 1.158 wpa.dbl
09.07.2006 21:42 239.144 FNTCACHE.DAT
08.07.2006 21:37 3.002 CONFIG.NT
27.06.2006 16:23 98.304 CmdLineExt.dll
17.06.2006 22:15 57.384 avsda.dll
05.06.2006 15:12 43.520 CmdLineExt03.dll
31.05.2006 11:02 624.640 aswBoot.exe
31.05.2006 10:54 90.112 AVASTSS.scr
13.05.2006 18:07 4.307 qtplugin.log
14.04.2006 11:50 1.783 lvcoinst.log
27.03.2006 12:42 40.664 perfc009.dat
27.03.2006 12:42 318.106 perfh007.dat
27.03.2006 12:42 312.946 perfh009.dat
27.03.2006 12:42 49.028 perfc007.dat
27.03.2006 12:42 728.094 PerfStringBackup.INI
15.01.2006 17:25 23.392 nscompat.tlb
15.01.2006 17:25 16.832 amcompat.tlb



Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\DOKUME~1\LSBBK~1.NAM\LOKALE~1\Temp



Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS

21.07.2006 19:55 438.230 WindowsUpdate.log
21.07.2006 19:49 0 0.log
21.07.2006 19:49 159 wiadebug.log
21.07.2006 19:49 50 wiaservc.log
21.07.2006 19:48 2.048 bootstat.dat
21.07.2006 19:47 32.564 SchedLgU.Txt
20.07.2006 17:12 481 canopus.ini
20.07.2006 15:06 1.876 Ultra EDIT.INI
10.07.2006 15:54 82.557 setupapi.log
10.07.2006 13:33 739 STImgBrowser.INI
09.07.2006 16:24 120 setupact.log
06.07.2006 17:34 115.780 Adobe PSEle2 Lang Installer.log
06.07.2006 17:33 143 Adobe PSEle2.log
29.06.2006 15:50 27 DVCONFIG.INI
29.06.2006 15:47 152 VoiceOver.INI
25.06.2006 20:20 47 NeroDigital.ini
13.06.2006 21:46 50 StreamRipper32.INI
13.06.2006 21:46 200 sripper.ini
05.06.2006 10:38 1.747 Directx.log
20.05.2006 15:14 11.542 ModemLog_Motorola USB Modem #2.txt
17.05.2006 16:34 7.680 Internet.pcb
13.05.2006 18:07 4.261 wmsetup.log
11.05.2006 15:56 4.503 mozver.dat
08.05.2006 00:03 10 popcinfo.dat
03.05.2006 19:50 6.144 ArtGalry.cag
29.03.2006 18:47 1.247 eReg.dat
27.03.2006 17:26 13.316 ModemLog_Standardmodem.txt
25.03.2006 20:09 1.234 cdplayer.ini
07.03.2006 18:53 15.348 Internet.acl
05.03.2006 18:28 6.924 ModemLog_Motorola USB Modem.txt
05.03.2006 13:15 2.010 ModemLog_Smart Link 56K Voice Modem.txt
15.02.2006 22:21 604 Thps3.INI
03.02.2006 15:15 10 Let's EDIT.INI
29.01.2006 13:02 5.632 Thumbs.db
27.01.2006 20:10 1.175 KB833680.log
15.01.2006 17:25 237 wmsetup10.log
15.01.2006 17:24 316.640 WMSysPr9.prx
07.01.2006 15:41 40.314 iis6.log
07.01.2006 15:41 14.465 ocmsn.log
07.01.2006 15:41 133.535 tsoc.log
07.01.2006 15:41 68.054 ntdtcsetup.log
07.01.2006 15:41 16.011 msgsocm.log
07.01.2006 15:41 313.404 FaxSetup.log
06.01.2006 19:22 35 SIERRA.INI


Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\

21.07.2006 20:04 0 sys.txt
21.07.2006 20:03 8.611 system.txt
21.07.2006 20:02 134 systemtemp.txt
21.07.2006 20:00 104.201 system32.txt
21.07.2006 19:55 2.300 ps_system_Zeit.txt
21.07.2006 19:48 804.835.328 hiberfil.sys
21.07.2006 19:48 402.653.184 pagefile.sys
02.07.2006 19:09 1.191.268 debug.log
29.06.2006 15:58 50 AUTOEXEC.BAT
04.05.2006 19:15 38.684 EasyShare.dmp
16.02.2006 18:08 56 dhnp.ist
27.01.2006 19:47 0 DBS.TXT
03.12.2005 15:19 554 debugInstaller.txt
30.11.2005 20:52 2.398 INSTALL.LOG
01.11.2005 15:02 183 LogiSetup.log
14.08.2005 14:57 0 AILog.txt
03.02.2005 16:58 211 boot.ini
03.02.2005 16:45 47.564 NTDETECT.COM
03.02.2005 16:45 251.184 ntldr
23.12.2003 20:21 98.304 ffastunT.ffl
21.12.2003 14:09 4.917 ffastun.ffa
21.12.2003 14:09 192.512 ffastun.ffo
21.12.2003 14:09 516.096 ffastun.ffl
21.12.2003 14:09 1.323.008 ffastun0.ffx
07.09.2003 10:46 47.159 dxdiag.txt
30.05.2003 20:57 2.885 test.spr
09.04.2003 16:45 4.454.767 RVSPatch_1.0_To_1.1_GER.exe
20.03.2003 15:37 26 fastboot.txt
20.03.2003 15:32 326 DRVlog.dat
20.03.2003 15:06 0 IO.SYS
20.03.2003 15:06 0 CONFIG.SYS
20.03.2003 15:06 0 MSDOS.SYS
30.01.2003 12:39 157 Patch.cmd
29.08.2002 14:00 4.952 bootfont.bin
18.08.2001 14:00 2 oem.tag
24.05.2001 12:59 162.304 UNWISE.EXE
36 Datei(en) 1.215.943.325 Bytes
0 Verzeichnis(se), 22.175.092.736 Bytes frei


Ich hoffe, ich habe alles richtig gemacht. Habe jeweils
nur die Meldungen aus 2006 geschickt.

Danke schon mal für Deine Bemühungen und Deine Unterstützung. :-)
Gruß
steven

#8 Aktiv scheint keine der Malware geworden zu sein. Es sieht soweit sauber aus. Nur solltest du dich fuer einen Guard entscheioden. Entweder Antivir-Guard oder Avast Provider....
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo Ralf,

erst mal vielen Dank für Deine Hilfe - Suuper.

Ich werde den avast deinstallieren.

Nochmals Danke - Super-Forum

steven