Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Hilfe bei HJT Log (https://www.dedies-board.de/wbb2/thread.php?threadid=1607)

Geschrieben von Dsrenger am 28.08.2006 um 14:47:

  Hilfe bei HJT Log

Hallo zusammen!

Ich habe da ein kleines Problem und möchte mich deswegenvertrauensvoll an euch wenden Petzauge

Ich habe an meinem rechner dauernde Netzwerkaktivität von mindestens 0,17%. Das stört mcih erheblich.

So wie es aussieht, kommt dieser Traffic von dem Prozess SVCHOST.exe.

Wenn ich die Firewall dicht mache, kommt natürlich nichts durch.

Ich habe mal Highjackthis über meinen Rechner laufen lassen, und würde euch bitten mal drüber zu schauen, da ich es nicht richtig interpretieren kann.

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:27:56, on 28.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\jconfigdNT.exe
C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\hjavaw.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_04\bin\javaw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\QuickTime\qttask.exe
D:\ICQ\ICQLite.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Skype\Phone\Skype.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Opera8\Opera.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Outpost Firewall\outpost.exe
C:\Dokumente und Einstellungen\Dsrenger\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "D:\ICQ\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunOnce: [SpybotSnD] "D:\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\outlook 2002\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Browser-Anpassung für Outpost Firewall - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQ\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://83.136.192.185/activex/AMC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{66AC3D14-0606-4582-A59D-645DF392FD89}: NameServer = 192.168.0.1
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Hummingbird Inetd (HCLInetd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Inetd\inetd32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Hummingbird Jconfig Daemon (Jconfigd) - Hummingbird Ltd. - C:\WINDOWS\system32\Hummingbird\Connectivity\7.00\Jconfig\jconfigdNT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\OUTPOS~1\outpost.exe


Auslöser der Suche ist, dass mein Provider mir meine Leitung gesperrt hat, da ich angeblich dauernd Mails verschicken würde (Virus)

Antivir, Adaware und Spybot finden aber nichts.

Der Prozess SVCHOST hat dauerhaft einen Traffic von rund 1-2kb/s.

Danke schonmal im vorraus.

MFG
Dennis


Geschrieben von Haui am 28.08.2006 um 16:34:

 

Hallo,

Zitat:
Auslöser der Suche ist, dass mein Provider mir meine Leitung gesperrt hat, da ich angeblich dauernd Mails verschicken würde (Virus)

in diesem Fall gibt es für dich nur eine Lösung und zwar ein komplettes Neuaufsetzen des Systems. Lies dazu auch das.

Mitverantwortlich könnte diese Malware sein, die man im Log an diesem Eintrag erkennen kann:
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)


Geschrieben von madball am 28.08.2006 um 20:35:

 

Hallo, du könntest vor allem erst mal schnmell hier dein .log einfügen und den online check machen!!!
Ist als erstes sehr hilfreich....

HiJackThis online support!! Auf eigene Gefahr und ohne Gewähr :-)

Edit: NEUAUFSETZEN!!!! großes Grinsen


Geschrieben von dedie am 28.08.2006 um 20:48:

 

@ Dsrenger

Zu deinem Logfile hat Haui schon das wesentliche geposted, du solltest dir aber mal umbedingt Gedanken über den Infektionsweg machen von alleine kam das Ungeziefer nämlich nicht auf deinen Rechner.

@ madball
Dein Hilfeversuch in allen Ehren aber:

Die Automatische Logfileauswertung ist zwar ein ganz nettes spielzeug mal abgesehen von nicht erkannten schlechten einträgen bis hin zu guten einträgen die als umbedingt zu fixen markiert werden ist das ganze leider wirklich nur ein nettes spielzeug.

Ich empfehle grundsätzlich keinem Laien diese Auswertung und habe absolut kein verständnis für Foren die mit aller gewalt darauf bestehen das diese Auswertung zu nutzen ist Augen rollen


Geschrieben von madball am 28.08.2006 um 22:15:

 

sry, aber wenn ich so ein Logfile sehe reicht es wenn man sich damit "ersteinmal" bedient!!!

Vor allem was dort angezeigt wird, kann gefixt werden!!!!!!!!!!!!!!..und sollte!!!

Aber wie schon bereits beschrieben wurde, Neuaufsetzen ist das Sinnvollste!!

entschuldigung Dedie für meinen unnützigen post


Geschrieben von Haui am 28.08.2006 um 22:31:

 

Zitat:
Original von madball
sry, aber wenn ich so ein Logfile sehe reicht es wenn man sich damit "ersteinmal" bedient!!!

Meiner Meinug nach kann die automatische Auswertung höchstens ein Hilfsmittel für erfahrene Anwender sein - nicht mehr und nicht weniger. Mit einer "manuellen Auswertung" durch eine "fachkundige Person" kann sie nicht mal annähernd mithalten.

Zitat:
Vor allem was dort angezeigt wird, kann gefixt werden!!!!!!!!!!!!!!..und sollte!!!

Nein, die automatische Auswerung hat sowohl mit "false positives", wie auch mit "false negatives" zu kämpfen und wenn dort etwas wirklich böses angezeigt wird, hilft im Zweifelsfall auch kein "fixen" mehr. Petzauge
Das obige Log ist übrigens ein recht gutes Beispiel:
Zitat:
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing)

Diese beiden Einträge werden als "unnötig" und "nicht bekannt" angezeigt, sind aber eindeutig böse.


Geschrieben von Vimes am 29.08.2006 um 08:49:

 

@Madball:

Das fixen ist überflüssig, wenn man eh neu aufsetzen muß.
Und da heutzutage die allermeiste Malware eh Code nachladen kann (und auch tut) kommt man um ein Neuaufsetzen eh nicht herum, wenn man sichergehen möchte, daß das System wieder sauber ist, was z.B. für Onlinebanking und ähnliches ganz angenehm sein könnte.

Du hast PN.

MfG
Vimes


Geschrieben von madball am 29.08.2006 um 17:32:

 

Zitat:
Zitat:
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O3 - Toolbar: Protection Bar - {860c2f6b-ca82-4282-9187-beccbb66f0af} - C:\Programme\IntCodec\iesplugin.dll (file missing)



Meine ich doch, um zu erkennen das was faul ist auf dem System, reicht das aus. Ich habe erkannt, das dass böse ist!!
Und den Rechner Neuaufzusetzen kommt Dsrenger leider nicht rum. Habe ja nichts anderes gesagt bzw gemeint...
Ich habe mit der online Bewertung auch angefangen und gelernt.