Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- 2.PC - Bitte auch auswerten ! (https://www.dedies-board.de/wbb2/thread.php?threadid=753)

Geschrieben von Julio am 14.08.2005 um 18:24:

  2.PC - Bitte auch auswerten !

Hallo Leute !

Schon mal danke im Voraus !

Hier die logs :

Logfile of HijackThis v1.99.1
Scan saved at 18:13:05, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\PGPserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Dell AIO Printer A920\dlbkbmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\hijackthis(1)\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.aldi.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Dell AIO Printer A920] "C:\Programme\Dell AIO Printer A920\dlbkbmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/w
uweb_site.cab?1092733492931
O17 - HKLM\System\CCS\Services\Tcpip\..\{334BB9A3-039D-4EDE-BDD1-B18C81EECA23}: NameServer = 195.247.247.195 62.27.27.62
O17 - HKLM\System\CCS\Services\Tcpip\..\{646E8825-BEBF-4470-83AF-6DD1CFAC63F7}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 12 19:29:21 2005 => System found infected with CWS.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Fri Aug 12 19:44:46 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Aug 12 20:18:40 2005 => File D:\RECYCLER\S-1-5-21-4242176442-2585929224-3504317436-1007\Dd92.zip infected by "Trojan-Spy.Win32.Briss.j" Virus! Action Taken: No Action Taken.
Fri Aug 12 20:21:42 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Fri Aug 12 20:21:42 2005 => Total Virus(es) Found: 2
Fri Aug 12 20:21:42 2005 => Total Errors: 258
Fri Aug 12 20:21:42 2005 => Time Elapsed: 00:55:22
Fri Aug 12 20:21:42 2005 => Total Objects Scanned: 137663
Fri Aug 12 19:25:51 2005 => Virus Database Date: 2005/08/12
Fri Aug 12 20:21:42 2005 => Virus Database Date: 2005/08/12
Fri Aug 12 20:24:11 2005 => Virus Database Date: 2005/08/12
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Wieso meldet MV 2 Treffer, sagt dann aber "0" ?

Nachtrag:
Seh ich das richtig, das die LEXPPS.EXE und die LEXBCES.EXE nur für lexmark-Drucker nötig wären ? Sowas gibt es hier nämlich nicht. Wie werde ich die beiden Prozesse los ?

Benutze bitte den "Ändern"-Knopf, statt einen zweiten Beitrag dranzuhängen. Danke und mfG Vimes

Ciao

Julio


Geschrieben von Haui am 14.08.2005 um 18:42:

 

Hallo,

das Logfile schaut sauber aus.

Zum eScan-Ergebnis:
Leere den Papierkorb (-> D:\RECYCLER) und lass' mal CWShredder laufen.


Zitat:
Seh ich das richtig, das die LEXPPS.EXE und die LEXBCES.EXE nur für lexmark-Drucker nötig wären ? Sowas gibt es hier nämlich nicht. Wie werde ich die beiden Prozesse los ?

Die zugehörige Software deinstallieren, aber ich denke, dein DELL-Drucker ist von Lexmark.


Geschrieben von Julio am 14.08.2005 um 18:45:

 

Aha, Dell ist von Lexmark ? Daher taugt der nix Petzauge War übrigens ein bonus zum NB meiner Schwester und nach 2 Wochen defekt. Ich frag da gar nicht erst, was die Reparatur kosten würde.

Wenn also jemand ein Dell All-in-One 810 (glaub ich) will, hier gibts einen !


Achja, für die absoluten Cracks unter Euch, die Besten der Besten und die Väter aller Auswerter :
Am Mittwoch kommen die loggs aus der Kanzlei. Ich befürchte, der PC ist absolut verseucht Petzauge


Geschrieben von Haui am 14.08.2005 um 18:49:

 

Zitat:
Original von Julio
Wenn also jemand ein Dell All-in-One 810 (glaub ich) will, hier gibts einen !

Nein danke, kein Bedarf.

Zitat:

Achja, für die absoluten Cracks unter Euch, die Besten der Besten und die Väter aller Auswerter :
Am Mittwoch kommen die loggs aus der Kanzlei. Ich befürchte, der PC ist absolut verseucht Petzauge

Je verseuchter, desto schneller geht die Auswertung. Petzauge


BTW: Für Firmen-PCs sind wir eigentlich überhaupt nicht zuständig...


Geschrieben von Julio am 14.08.2005 um 18:55:

 

Klar, nach der 2.Zeile kann man ja auch "NEUAUFSETZEN" rufen Petzauge


Geschrieben von Haui am 14.08.2005 um 18:56:

 

Zitat:
Original von Julio
Klar, nach der 2.Zeile kann man ja auch "NEUAUFSETZEN" rufen Petzauge

Genau darauf wollte ich hinaus Applaus


Geschrieben von Vimes am 14.08.2005 um 19:02:

 

Zitat:
Original von Julio
Am Mittwoch kommen die loggs aus der Kanzlei. Ich befürchte, der PC ist absolut verseucht Petzauge


Was für ne Kanzlei? Nur, damit ich die künftig meiden kann... großes Grinsen
Hoffe, das war ein Scherz Deinerseits. Man Datenschutz. Falls es sich um eine Anwalts-Kanzlei handelt, da gibt es strenge Auflagen und bei Verletzung derselben massiven Ärger...

MfG
Vimes


Geschrieben von MobyDuck am 14.08.2005 um 19:31:

 

Kanzlei? grübeln
Juristen? eek

Wie bereits von Haui angedeutet, werden wir die Logs von offensichtlich gewerblich genutzten PC's hier nicht auswerten können. Ich möchte nicht antesten müssen, ob und wie weit ein Haftungsausschluss reichen würde.

Außerdem wäre es wohl nicht ganz gerecht, wenn wir in unserer Freizeit für lau gewerbliche PC's auswerten würden, mit denen dann andere Leute Geld verdienen.


Geschrieben von Julio am 14.08.2005 um 20:29:

 

War ein Späßchen am Rande Petzauge

Aber noch mal zurück zum logg :

Was ist mit dieser waol.exe ? Wie krieg ich die weg ? Aol ist auf dem PC nicht drauf !


Geschrieben von Haui am 14.08.2005 um 20:34:

 

Zitat:
Original von Julio
Aber noch mal zurück zum logg :

Was ist mit dieser waol.exe ? Wie krieg ich die weg ? Aol ist auf dem PC nicht drauf !

Deshalb sollst du CWShredder anwenden. Der sollte das beseitigen, außer es handelt sich wieder um eine "Kauf-mich-Meldung" von eScan.


Geschrieben von Julio am 14.08.2005 um 20:35:

 

cwshredder hat aber nix gefunden


Geschrieben von Haui am 14.08.2005 um 20:44:

 

Wenn ein manuells Durchsuchen der Registry, sowie Scans mit Spybot S&D und Ad-Aware nichts ergeben würde ich wieder auf einen Fehlalarm tippen...

Ansonsten kannst du auch gerne mal das durchschauen:
http://www.google.de/search?hl=de&q=+CWS.therealsearch&btnG=Suche&meta=


Geschrieben von Julio am 14.08.2005 um 20:50:

 

danke !