vermutlich mehrere Malware auf PC - Hijackthis File

#0
16.01.2004, 16:13
Member

Beiträge: 15
#1 Hi,
morgen will ich den PC eines Freundes einer Wurm und Viren Kur unterziehen. Er scheint mehrere der Plagegeister auf dem Rechner zu haben.
Das Hjt - File hat er mir schonmal geschickt.
Preisfrage: Wer entdeckt den ersten Bösewicht?

THX schonmal
BG

@raman
wer die hohe Kunst de Cut n Paste beherrscht ist klar im Vorteil - Danke
hier jetzt der HJT log:

llog file of HijackThis v1.97.7
Scan saved at 12:27:06, on 16.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Trend Micro\PC-cillin 7.5\PNTIOMON.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Trend Micro\PC-cillin 7.5\pccntupd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Trend Micro\PC-cillin 7.5\Tmntsrv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Hankeenlos\Lokale Einstellungen\Temporary
Internet Files\Content.IE5\4DEJ0PYR\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://ultralinks.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://ultralinks.info/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} -
C:\WINDOWS\mslcln.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} -
C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
c:\programme\google\googletoolbar1.dll
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Echtzeitsuche.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk =
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk =
C:\Programme\InterVideo\WinDVD4PR\WinScheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame
Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat
5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk =
C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search -
res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links -
res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages -
res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{9E44DFF6-D9EC-47AE-B772-1838C2F41E3D}: NameServer = 192.168.120.252,192.168.120.253
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de
Dieser Beitrag wurde am 16.01.2004 um 16:57 Uhr von bratgitarre editiert.
Seitenanfang Seitenende
16.01.2004, 16:36
Moderator

Beiträge: 7805
#2 Ich sehe da nicht wirklich richtig viel. Da ist noch etwas von Coolwebsearch uebrig geblieben. Das andere "Problem" ist, das er Trend Micro und Symantec Virenscanner gleichzeitig laufen hat. Er sollte einen der beiden aus dem "Autostart" herausnehmen, wenn er nicht eines der beiden deinstallieren will. Das geht am besten via msconfig, dort unter Dienste "Alle microsoftdienste ausblenden" anhaken und die dienste die zu Trend oder Symantec gehoeren einfach "enthaken" und neu starten.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 16.01.2004 um 17:11 Uhr von raman editiert.
Seitenanfang Seitenende
16.01.2004, 17:37
Member

Themenstarter

Beiträge: 15
#3 @Raman
thx..für die fixe Analyse. Ein wenig suspekt ist der link: http://ultralinks.info/ und die ntvdm.exe die ja eine virtuelle DOS Maschine ist. von den laufenden Progs ist aber keines ein DOS Prog (vielleicht HJT selbst? bin nicht sicher)

Die doppelten Virenscanner können sich evtl stören, obwohl die Virensignaturen wohl aus dem Grund verschlüsselt sind. Aber beim Start werden sie wohl entschlüsselt...und wenn beide Progs starten - cest la vie

Ich meine auch das der Rechner ganz gut aussieht. Wie sieht es denn mit Programmen die z.B in der Win.ini oder autoexec.nt gestartet werden. Werden die auch von HJT gelistet?

mfG BG
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de
Dieser Beitrag wurde am 16.01.2004 um 17:38 Uhr von bratgitarre editiert.
Seitenanfang Seitenende
16.01.2004, 17:50
Moderator

Beiträge: 7805
#4 Der Link ist der rest von Collwebsearch. du kannst dir ja CWshreddrer herunterladen um den Rest zu beseitigen: http://www.merijn.org/cwschronicles.html

Das Problem mit den beiden Virenscannern sind nicht die Sinaturen, sondern das beide Hintergrundwaechter anscheinend aktiv sind.

Win.ini und Sytem.ini werden angezeigt, wenn dort etwas ist. Bei Autoexec.nt und config.nt bin ich mir nicht sichen. Aber das sind im eigentlichem sinne auch keine "Autostart" dateien. Man muss ja ersteinmal eine Dossession oeffnen und wer macht das noch(ausser mir)?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
16.01.2004, 18:14
Member

Beiträge: 17
#5 kann mir bitte wer sagen wie ich die hyjack sachen hier rein bekomme????
bitte bitte
lg frido
Seitenanfang Seitenende
20.02.2004, 14:17
...neu hier

Beiträge: 1
#6 hallo,

bei mir war es Intervideo 3

Nach deinstallation ist auch die 100% Auslastung nach an und abmelden wieder verschwunden.
Symptom war svchost.exe mit 97-100% Auslastung. Angeblich schlampig programmierter USB-Treiber

do
Seitenanfang Seitenende