Routinecheck beim Rechner meiner Freundin (Troj.Zlob etc.)

#1 Hi Sabina,

danke nochmal für deine kürzliche Hilfe. (http://board.protecus.de/t24839.htm)

Da meine Freundin und ich unsere Rechner im selben Netzwerk haben, wäre es schön, wenn du mal einen Blick auf ihren Rechner haben könntest und ob sich darauf evtl. auch Trojaner oder Spyware verstecken.

Logfiles folgen...

Logfile of HijackThis v1.99.1
Scan saved at 22:17:15, on 17.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\dem pete seine sachen\programme\dtools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\dem pete seine sachen\programme\alcohol120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\dem pete seine sachen\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\dem pete seine sachen\programme\dtools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O6 "USB001" /M "Stylus D88"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{07A2A480-CC4B-4A24-A8E8-10EC8A693021}: NameServer = 212.185.248.116,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{07A2A480-CC4B-4A24-A8E8-10EC8A693021}: NameServer = 212.185.248.116,194.25.2.129
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\dem pete seine sachen\programme\alcohol120\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Start Time= 17.08.2006 22:22:18,61
Running from: C:\dem pete seine sachen

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-14 11:15:32 ( .D... ) "C:\Programme\AntiVir PersonalEdition Classic"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-09 13:42:44 392824 ( A.... ) "C:\WINDOWS\system32\vsdatant.sys"
2006-07-09 13:42:44 392824 ( A.... ) "C:\WINDOWS\system32\vsdatant.sys"
2006-07-09 13:42:14 83960 ( A.... ) "C:\WINDOWS\system32\zlcomm.dll"
2006-07-09 13:42:14 71672 ( A.... ) "C:\WINDOWS\system32\zlcommdb.dll"
2006-07-09 13:42:12 100344 ( A.... ) "C:\WINDOWS\system32\vsxml.dll"
2006-07-09 13:42:12 59384 ( A.... ) "C:\WINDOWS\system32\vswmi.dll"
2006-07-09 13:42:10 440312 ( A.... ) "C:\WINDOWS\system32\vsutil.dll"
2006-07-09 13:42:10 71672 ( A.... ) "C:\WINDOWS\system32\vsregexp.dll"
2006-07-09 13:42:08 268280 ( A.... ) "C:\WINDOWS\system32\vspubapi.dll"
2006-07-09 13:42:08 157688 ( A.... ) "C:\WINDOWS\system32\vsinit.dll"
2006-07-09 13:42:08 104440 ( A.... ) "C:\WINDOWS\system32\vsmonapi.dll"
2006-07-09 13:42:06 83960 ( A.... ) "C:\WINDOWS\system32\vsdata.dll"
2006-07-09 13:41:58 796584 ( A.... ) "C:\WINDOWS\system32\libeay32_0.9.6l.dll"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-19 16:20:42 702768 ( ..... ) "C:\WINDOWS\system32\WgaLogon.dll"
2006-06-02 11:04:44 57384 ( A.... ) "C:\WINDOWS\system32\avsda.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"
2005-04-27 21:12:38 104 ( A.... ) "C:\Programme\Internet Explorer (2).lnk"
2005-04-27 21:12:30 104 ( A.... ) "C:\Programme\Internet Explorer.lnk"
2005-04-11 11:48:14 1728 ( A.... ) "C:\Programme\Adobe Reader 7.0.lnk"
2005-02-18 16:28:04 1656 ( A.... ) "C:\Programme\PowerDVD.lnk"
2005-01-31 23:39:44 606 ( A.... ) "C:\Programme\mIRC.lnk"
2005-01-16 15:16:12 1665 ( A.... ) "C:\Programme\Adobe Photoshop CS.lnk"
2005-01-13 10:40:34 774 ( A.... ) "C:\Programme\Windows Media Player.lnk"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-15 13:16 22.752 C:\WINDOWS\system32\spupdsvc.exe
2006-08-15 10:35 73.728 C:\WINDOWS\system32\asuninst.exe
2006-08-15 10:35 11.776 C:\WINDOWS\system32\ZPORT4AS.dll
2006-08-14 11:36 796.584 C:\WINDOWS\system32\libeay32_0.9.6l.dll
2006-08-14 11:36 59.384 C:\WINDOWS\system32\vswmi.dll
2006-08-14 11:15 57.384 C:\WINDOWS\system32\avsda.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"MMTray"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"DAEMON Tools-1033"="\"C:\\dem pete seine sachen\\programme\\dtools\\daemon.exe\" -lang 1033"
"EPSON Stylus D88 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIABE.EXE /P23 \"EPSON Stylus D88 Series\" /O6 \"USB001\" /M \"Stylus D88\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110




Datentr„ger in Laufwerk C: ist 25-01-51
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\WINDOWS\system32

17.08.2006 22:21 1.158 wpa.dbl
17.08.2006 22:13 48.882 vsconfig.xml
16.08.2006 22:25 382.026 perfh009.dat
16.08.2006 22:25 53.770 perfc009.dat
16.08.2006 22:25 393.086 perfh007.dat
16.08.2006 22:25 64.848 perfc007.dat
16.08.2006 22:25 902.476 PerfStringBackup.INI
16.08.2006 22:23 208.104 FNTCACHE.DAT
16.08.2006 16:39 2.550 Uninstall.ico
16.08.2006 16:39 1.406 Help.ico
16.08.2006 16:39 30.590 pavas.ico
15.08.2006 10:41 0 asfiles.txt
14.08.2006 11:40 4.212 zllictbl.dat
09.08.2006 12:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
23.07.2006 14:25 16.832 amcompat.tlb
23.07.2006 14:25 23.392 nscompat.tlb
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll

Datentr„ger in Laufwerk C: ist 25-01-51
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\DOKUME~1\BRITTA~1\LOKALE~1\Temp

Datentr„ger in Laufwerk C: ist 25-01-51
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\WINDOWS

17.08.2006 22:22 213.032 setupact.log
17.08.2006 22:13 0 0.log
17.08.2006 22:12 4.124 ModemLog_Smart Link 56K Modem.txt
17.08.2006 22:12 1.094.271 WindowsUpdate.log
17.08.2006 22:12 159 wiadebug.log
17.08.2006 22:12 50 wiaservc.log
17.08.2006 22:11 2.048 bootstat.dat
17.08.2006 21:51 32.622 SchedLgU.Txt
17.08.2006 14:59 8.614 WgaNotify.log
17.08.2006 14:59 885.217 setupapi.log
16.08.2006 22:55 1.409 QTFont.for
16.08.2006 22:55 54.156 QTFont.qfn
16.08.2006 22:23 923 spupdsvc.log
16.08.2006 20:47 59.380 iis6.log
16.08.2006 20:47 1.374 imsins.log
16.08.2006 20:47 20.922 ocmsn.log
16.08.2006 20:47 134.346 comsetup.log


Datentr„ger in Laufwerk C: ist 25-01-51
Volumeseriennummer: F08C-74A6

Verzeichnis von C:\

17.08.2006 22:24 0 sys.txt
17.08.2006 22:24 8.442 system.txt
17.08.2006 22:24 131 systemtemp.txt
17.08.2006 22:24 95.481 system32.txt
17.08.2006 22:22 12.160 ComboFix.txt
17.08.2006 22:11 536.268.800 hiberfil.sys
17.08.2006 22:11 805.306.368 pagefile.sys
15.08.2006 11:36 211 boot.ini
23.01.2006 15:36 429 datFind.bat

#2 ich finde nichts, was irgendwie nach Viren ausschaut
__________
MfG Sabina

rund um die PC-Sicherheit