HijackThis Logfile - mit der Bitte um Durchsicht |
||
---|---|---|
#0
| ||
21.07.2006, 17:24
Member
Beiträge: 12 |
||
|
||
21.07.2006, 19:01
Moderator
Beiträge: 7805 |
#2
Wenn du uns sagen wuerdest, was dein Problem ist, ausser das du 2 AV Programme mit aktiven Guard installiert zu haben scheinst.....
Achja, wozu brauchst du das VNC Server Modul? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2006, 19:08
Member
Themenstarter Beiträge: 12 |
#3
Hallo Ralf,
ich hatte zuletzt nachfolgende Meldung in Antivir. Weis jetzt aber nicht ob mein System sauber ist - deswegen das logfile. Nachfolgende Meldungen waren in der Reportdatei C:\Programme\Pegasys Inc\TMPGEnc DVD Author 2.0 Testversion\TMPGEncDVDAuthor2Trial.exe [FUND] Enthält verdächtigen Code: HEUR/Virus.Win32 C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\CS2_Photoshop_keyg*hier nicht*.exe [FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '950c6a72.qua' verschoben! C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\google_earth_pro_keyg*hier nicht*.exe [FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'b114a792.qua' verschoben! C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\GTA_San_Andreas_keyg*hier nicht*.exe [FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '980c7978.qua' verschoben! C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys\windows_xp_keyg*hier nicht*.exe [FUND] Ist das Trojanische Pferd TR/Drop.Small.aqg.1 C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\mst9E.tmp.vir [FUND] Ist das Trojanische Pferd TR/Agent.VG.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '89dd825e.qua' verschoben! C:\Dokumente und Einstellungen\Internet\Lokale Einstellungen\Temp\mst9F.tmp.vir [FUND] Ist das Trojanische Pferd TR/Agent.VG.2 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '8add8265.qua' verschoben! C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Lokale Einstellungen\Temp\idrmkl.sys [FUND] Enthält eine Signatur des (gefährlichen) Backdoorprogrammes BDS/Genlot.DX [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen 'afef3646.qua' verschoben! VNC benutze ich im Hausnetzwerk zum PC´s bedienen - 3 Stockwerke. Bruachst Du noch weitere Daten? Gruß steven |
|
|
||
21.07.2006, 19:31
Moderator
Beiträge: 7805 |
#4
DAs sieht stark nach fehlalarm aus. am besten mal an Antivir schicken:
C:\Programme\Pegasys Inc\TMPGEnc DVD Author 2.0 Testversion\TMPGEncDVDAuthor2Trial.exe [FUND] Enthält verdächtigen Code: HEUR/Virus.Win32 (Heute schon ein Update mit Antivir gemacht? Es gab eine neue Engine) Die Meldungen aus diesem Ordner sollten klar sein: C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys Dann mal bitte das hier abarbeiten(Datfindbat und cleanup) http://board.protecus.de/t23188.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2006, 19:36
Member
Themenstarter Beiträge: 12 |
#5
Hallo Ralf,
Die Meldungen aus diesem Ordner sollten klar sein: C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Desktop\sonstiges\keys Zitat Was Du damit sagen willst habe ich leider nicht verstanden. |
|
|
||
21.07.2006, 19:57
Moderator
Beiträge: 7805 |
#6
Hi Steven,
K*ygeneratioren und anderer "Kram" aus unsicheren Quellen enthalten oft Malware und andere unerwuenschte Dinge..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2006, 20:05
Member
Themenstarter Beiträge: 12 |
#7
Hallo Ralf,
hier sind die logs aus datfindbat: Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: 8895-01EA Verzeichnis von C:\WINDOWS\system32 21.07.2006 19:55 12.962 LVCOMSX.LOG 21.07.2006 19:49 889 vsconfig.xml 18.07.2006 15:55 1.158 wpa.dbl 09.07.2006 21:42 239.144 FNTCACHE.DAT 08.07.2006 21:37 3.002 CONFIG.NT 27.06.2006 16:23 98.304 CmdLineExt.dll 17.06.2006 22:15 57.384 avsda.dll 05.06.2006 15:12 43.520 CmdLineExt03.dll 31.05.2006 11:02 624.640 aswBoot.exe 31.05.2006 10:54 90.112 AVASTSS.scr 13.05.2006 18:07 4.307 qtplugin.log 14.04.2006 11:50 1.783 lvcoinst.log 27.03.2006 12:42 40.664 perfc009.dat 27.03.2006 12:42 318.106 perfh007.dat 27.03.2006 12:42 312.946 perfh009.dat 27.03.2006 12:42 49.028 perfc007.dat 27.03.2006 12:42 728.094 PerfStringBackup.INI 15.01.2006 17:25 23.392 nscompat.tlb 15.01.2006 17:25 16.832 amcompat.tlb Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: 8895-01EA Verzeichnis von C:\DOKUME~1\LSBBK~1.NAM\LOKALE~1\Temp Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: 8895-01EA Verzeichnis von C:\WINDOWS 21.07.2006 19:55 438.230 WindowsUpdate.log 21.07.2006 19:49 0 0.log 21.07.2006 19:49 159 wiadebug.log 21.07.2006 19:49 50 wiaservc.log 21.07.2006 19:48 2.048 bootstat.dat 21.07.2006 19:47 32.564 SchedLgU.Txt 20.07.2006 17:12 481 canopus.ini 20.07.2006 15:06 1.876 Ultra EDIT.INI 10.07.2006 15:54 82.557 setupapi.log 10.07.2006 13:33 739 STImgBrowser.INI 09.07.2006 16:24 120 setupact.log 06.07.2006 17:34 115.780 Adobe PSEle2 Lang Installer.log 06.07.2006 17:33 143 Adobe PSEle2.log 29.06.2006 15:50 27 DVCONFIG.INI 29.06.2006 15:47 152 VoiceOver.INI 25.06.2006 20:20 47 NeroDigital.ini 13.06.2006 21:46 50 StreamRipper32.INI 13.06.2006 21:46 200 sripper.ini 05.06.2006 10:38 1.747 Directx.log 20.05.2006 15:14 11.542 ModemLog_Motorola USB Modem #2.txt 17.05.2006 16:34 7.680 Internet.pcb 13.05.2006 18:07 4.261 wmsetup.log 11.05.2006 15:56 4.503 mozver.dat 08.05.2006 00:03 10 popcinfo.dat 03.05.2006 19:50 6.144 ArtGalry.cag 29.03.2006 18:47 1.247 eReg.dat 27.03.2006 17:26 13.316 ModemLog_Standardmodem.txt 25.03.2006 20:09 1.234 cdplayer.ini 07.03.2006 18:53 15.348 Internet.acl 05.03.2006 18:28 6.924 ModemLog_Motorola USB Modem.txt 05.03.2006 13:15 2.010 ModemLog_Smart Link 56K Voice Modem.txt 15.02.2006 22:21 604 Thps3.INI 03.02.2006 15:15 10 Let's EDIT.INI 29.01.2006 13:02 5.632 Thumbs.db 27.01.2006 20:10 1.175 KB833680.log 15.01.2006 17:25 237 wmsetup10.log 15.01.2006 17:24 316.640 WMSysPr9.prx 07.01.2006 15:41 40.314 iis6.log 07.01.2006 15:41 14.465 ocmsn.log 07.01.2006 15:41 133.535 tsoc.log 07.01.2006 15:41 68.054 ntdtcsetup.log 07.01.2006 15:41 16.011 msgsocm.log 07.01.2006 15:41 313.404 FaxSetup.log 06.01.2006 19:22 35 SIERRA.INI Datentr„ger in Laufwerk C: ist 53_01_02 Volumeseriennummer: 8895-01EA Verzeichnis von C:\ 21.07.2006 20:04 0 sys.txt 21.07.2006 20:03 8.611 system.txt 21.07.2006 20:02 134 systemtemp.txt 21.07.2006 20:00 104.201 system32.txt 21.07.2006 19:55 2.300 ps_system_Zeit.txt 21.07.2006 19:48 804.835.328 hiberfil.sys 21.07.2006 19:48 402.653.184 pagefile.sys 02.07.2006 19:09 1.191.268 debug.log 29.06.2006 15:58 50 AUTOEXEC.BAT 04.05.2006 19:15 38.684 EasyShare.dmp 16.02.2006 18:08 56 dhnp.ist 27.01.2006 19:47 0 DBS.TXT 03.12.2005 15:19 554 debugInstaller.txt 30.11.2005 20:52 2.398 INSTALL.LOG 01.11.2005 15:02 183 LogiSetup.log 14.08.2005 14:57 0 AILog.txt 03.02.2005 16:58 211 boot.ini 03.02.2005 16:45 47.564 NTDETECT.COM 03.02.2005 16:45 251.184 ntldr 23.12.2003 20:21 98.304 ffastunT.ffl 21.12.2003 14:09 4.917 ffastun.ffa 21.12.2003 14:09 192.512 ffastun.ffo 21.12.2003 14:09 516.096 ffastun.ffl 21.12.2003 14:09 1.323.008 ffastun0.ffx 07.09.2003 10:46 47.159 dxdiag.txt 30.05.2003 20:57 2.885 test.spr 09.04.2003 16:45 4.454.767 RVSPatch_1.0_To_1.1_GER.exe 20.03.2003 15:37 26 fastboot.txt 20.03.2003 15:32 326 DRVlog.dat 20.03.2003 15:06 0 IO.SYS 20.03.2003 15:06 0 CONFIG.SYS 20.03.2003 15:06 0 MSDOS.SYS 30.01.2003 12:39 157 Patch.cmd 29.08.2002 14:00 4.952 bootfont.bin 18.08.2001 14:00 2 oem.tag 24.05.2001 12:59 162.304 UNWISE.EXE 36 Datei(en) 1.215.943.325 Bytes 0 Verzeichnis(se), 22.175.092.736 Bytes frei Ich hoffe, ich habe alles richtig gemacht. Habe jeweils nur die Meldungen aus 2006 geschickt. Danke schon mal für Deine Bemühungen und Deine Unterstützung. :-) Gruß steven |
|
|
||
21.07.2006, 20:17
Moderator
Beiträge: 7805 |
#8
Aktiv scheint keine der Malware geworden zu sein. Es sieht soweit sauber aus. Nur solltest du dich fuer einen Guard entscheioden. Entweder Antivir-Guard oder Avast Provider....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.07.2006, 20:19
Member
Themenstarter Beiträge: 12 |
#9
Hallo Ralf,
erst mal vielen Dank für Deine Hilfe - Suuper. Ich werde den avast deinstallieren. Nochmals Danke - Super-Forum steven |
|
|
||
bin total Neu im Trojaner-Forum und bitte um Durchsicht meines Logfiles.
Über eine Rückmeldung würde ich mich freuen und wie ich die Maschine wieder sauber bekomm.
Gruß
Steven
Logfile of HijackThis v1.99.1
Scan saved at 16:38:26, on 21.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Programme\hiJackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.5:3128;gopher=192.168.0.5:3128;http=192.168.0.5:3128;https=192.168.0.5:3128;socks=192.168.0.5:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.5;127.0.0.1;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RSShutdown] "K:\Autostart.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Cyber-shot Viewer-Medien-Prüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - re****s://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)