Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Auswertung Logfile, Bitte um Hilfe!! (https://www.dedies-board.de/wbb2/thread.php?threadid=279)

Geschrieben von lazarius am 04.05.2005 um 16:47:

  Auswertung Logfile, Bitte um Hilfe!!

Hi,
hab mir lt. Antivir 2 Sachen eingefangen:
DR/Agent.BQ2
TR7Agent.BI
hab mir Hijackthis geladen und ´die Logfile erstellt.

Bitte hilft mir bei der Auswertung unglücklich !!
Logfile of HijackThis v1.99.1
Scan saved at 16:30:02, on 04.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\pacvv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HPHUPD05] c:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd0
5.exe
O4 - HKLM\..\Run: [HP Software Update] "c:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicAccess/ie/bridge-c5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{648A0C32-E708-4DF6-9292-3852A7FC9D67}: NameServer = 192.168.50.1,194.25.2.129
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Bitte Hilft Mir!!

Danke!


Geschrieben von dedie am 04.05.2005 um 17:26:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\pacvv.dll/sp.html#37049
(Und zwar alle 6 einträge)

R3 - Default URLSearchHook is missing

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicA...e/bridge-c5.cab

FIXEN vor dem Fixen die Sytemwiederherstellung deaktivieren.

Das sind die einträge die mir aufgefallen sind, warte mal auf "Cidre" der findet garantiert auch noch was.

Ausserdem solltest du umgehend deine Passwörter und ähnliches ändern, die Trojaner die du dir eingefangen hast ´haben die dumme Angewohnheit einen Rechner auszuspionieren und so ganz nebenbei einen Zugriff von ausserhalb auf den Rechner einzurichten. Augen rollen


Geschrieben von Haui am 04.05.2005 um 17:42:

 

Hallo,

zusätzlich noch das machen:

O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
Das gehört da auch nicht hin. Die Datei bitte online überprüfen. Das Ergbnis hier posten.

O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
Der IE hat im Autostart nichts zu suchen. -> Fixen

O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)
Fixen.

C:\WINDOWS\pacvv.dll/sp.html#37049
Löschen.

Das Ganze im abgesicherten Modus.

Interessant wäre auch, wo AntiVir die Trojaner gefunden hat.

BTW: ein Java-Update kann auch nicht schaden Petzauge


Geschrieben von Cidre am 04.05.2005 um 17:49:

 

Hallo lazarius,

ergänzend zu dedies Antwort:

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases_x" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.

Führe diesen Cleaner aus.

Wechsle in den abgesicherten Modus und beende folgenden Dienst:
Start -> Ausführen -> services.msc -> OK -> Rechtsklick auf Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) -> Eigenschaften -> "Starttyp" deaktiviert und "Dienststatus" beenden einstellen -> Übernehmen

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
Zitat:
Alle R0, R1 und R3
O2 - BHO: (no name) - {E2F0712F-9E43-CF54-86D0-C0E27572FBE1} - C:\WINDOWS\system32\crum32.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MusicA...e/bridge-c5.cab
O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\iedu32.exe (file missing)


Lösche diese Dateien/Ordner:
Zitat:
C:\WINDOWS\system32\iedu32.exe
C:\WINDOWS\system32\crum32.dll
bridge-c5.cab
C:\WINDOWS\pacvv.dll/sp.html


- mit eScan AntiVirus scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen
-neue Startseite vergeben
- Neustart
- dein System updaten
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen
- Sichere und komfortablere Browser wie z.B. die http://www.mozilla.org]Mozilla Suite oder Firefox[/URL] verwenden
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten [1]

[1] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [2] der automatisch erstellten C:\eScan_neu.txt hier posten.

[2] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen).

EDIT:
Da war wohl einer schneller, Servus Haui. Winken


Geschrieben von lazarius am 10.05.2005 um 11:35:

Daumen hoch!

Hallo Leute!
hab eure Ratschläge befolgt und die Trojaner wegbekommen!
Vielen Dank für Eure Hilfe, ein super Forum!

yes großes Grinsen


Geschrieben von MobyDuck am 10.05.2005 um 11:41:

 

Danke. Empfehle uns weiter. Petzauge