Viren, Spyware, Datenschutz 11.214 Themen, 94.192 Beiträge

Verfolgung starten Optionen

clean?

Yeza / 7 Antworten / Flachansicht Nickles

hi, hab nen rechner versucht mit diversen tools clean zu bekommen (war unter anderem ein trojaner drauf). hab aber auch nicht allzu viel ahnung.
kann sich jemand eventuell mal die logfiles diverser scans anschauen und mir eventuell noch sagen, was noch gelöscht werden kann?

hijackthis:

ogfile of HijackThis v1.97.7
Scan saved at 14:56:46, on 01.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Programme\\AVPersonal\\AVGUARD.EXE
C:\\Programme\\AVPersonal\\AVWUPSRV.EXE
C:\\WINDOWS\\System32\\nvsvc32.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\wanmpsvc.exe
C:\\WINDOWS\\System32\\MsPMSPSv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\Mixer.exe
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe
C:\\Programme\\AVPersonal\\AVGNT.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
C:\\Programme\\Messenger\\msmsgs.exe
C:\\WINDOWS\\System32\\shellexp.exe
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Programme\\Lavasoft\\Ad-aware 6\\Ad-aware.exe
C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe
C:\\Dokumente und Einstellungen\\Vati\\hijackthis\\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Programme\\Adobe\\Acrobat 5.0\\Reader\\ActiveX\\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\System32\\msdxm.ocx
O4 - HKLM\\..\\Run: [NeroCheck] C:\\WINDOWS\\System32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\\..\\Run: [RealTray] C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\Programme\\AVPersonal\\AVGNT.EXE /min
O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\ctfmon.exe
O4 - HKCU\\..\\Run: [MSMSGS] "C:\\Programme\\Messenger\\msmsgs.exe" /background
O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en
O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\\Programme\\AOL 8.0\\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)

------------------------------------------------------------------
asviewer:

DiamondCS Autostart Viewer (www.diamondcs.com.au) - Report for Ich@WALTER, 04-01-2004
c:\\windows\\system32\\autoexec.nt
C:\\WINDOWS\\system32\\mscdexnt.exe
C:\\WINDOWS\\system32\\redir.exe
C:\\WINDOWS\\system32\\dosx.exe
c:\\windows\\system32\\config.nt
REM Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF
C:\\WINDOWS\\system32\\himem.sys
c:\\windows\\system.ini [drivers]
timer=timer.drv
c:\\windows\\system.ini [boot]\\shell
C:\\WINDOWS\\Explorer.exe
c:\\windows\\system.ini [boot]\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
C:\\WINDOWS\\Explorer.exe
HKCU\\Control Panel\\Desktop\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKCR\\vbsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\vbefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wshfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wsffile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NeroCheck
C:\\WINDOWS\\System32\\NeroCheck.exe
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\C-Media Mixer
Mixer.exe /startup
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NvCplDaemon
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\RealTray
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\AVGCtrl
C:\\Programme\\AVPersonal\\AVGNT.EXE /min
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSMSGS
C:\\Programme\\Messenger\\msmsgs.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer
C:\\WINDOWS\\System32\\shellexp.exe en
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WNSC
C:\\WINDOWS\\System32\\wnsintsv.exe
HKU\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\CTFMON.EXE
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\System32\\webcheck.dll
C:\\WINDOWS\\System32\\stobject.dll
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk
C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk
C:\\Programme\\AOL 8.0\\aoltray.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinScheduler.lnk
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk
C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\BootExecute
autocheck autochk *
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit
C:\\WINDOWS\\system32\\userinit.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\cmdline
C:\\WINDOWS\\system32\\ntvdm.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\wowcmdline
C:\\WINDOWS\\system32\\ntvdm.exe -a %SystemRoot%\\system32\\krnl386
HKLM\\System\\CurrentControlSet\\Services\\Winsock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\
C:\\WINDOWS\\system32\\mswsock.dll
C:\\WINDOWS\\system32\\rsvpsp.dll

---------------------------------------------------------------------

warnungen von AntiVir:

C:\\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\7U8BBPC5
CnsMin[2].cab
ArchiveType: CAB (Microsoft)
--> CnsMin.dll
HINWEIS! Der Archivheader ist defekt
--> CnsMin.inf
HINWEIS! Der Archivheader ist defekt
--> cns02.dat
HINWEIS! Der Archivheader ist defekt
--> CnsHook.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\GL4TERO1
NSupd9x[1].cab
ArchiveType: CAB (Microsoft)
--> NSupd9x.inf
HINWEIS! Der Archivheader ist defekt
--> nsupdate.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\RLWANHHE
bg2desktop_2[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\\WINDOWS\\system32\\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

-------------------------------------------------------------------
spybot:

Alexa Related: What\'s related link (Datei austauschen, nothing done)
C:\\WINDOWS\\Web\\related.htm

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-18\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

bei Antwort benachrichtigen
Deine logfiles sind ja ganz schön - Am besten du löscht sie - mit denen ... Stigal
Deine logfiles sind ja ganz schön - Am besten du löscht sie - mit denen ... Tyrfing
Moin, @Yeza -- soll wohl ein Aprilscherz sein, Deine Frage? Aber nur so ... Andylol
MSIE: Internet Explorer v6.00 6.00.2600.0000 Dein IE ist nicht auf dem ... -IRON-
Yeza Nachtrag zu: „clean?“
Optionen

hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt...
ich hab mich ja schon über die ein oder andere sache schlau gemacht, aber alles kann man eben nicht gleich wissen und da ich mit besagtem rechner vorerst eh nicht ins netz kann, hab ich gestern als die gelegenheit da war die logfiles mal hier reingestellt, denn es gibt sicher leute, die da schlauer sind als ich...
das denken soll mir hier keiner abnehmen, aber wozu ist denn dieses forum da, wenn nicht um sich hilfe zu holen... is ja keiner verpflichtet sich das durchzulesen und mir zu antworten.
trotzdem danke für eure hinweise.
betreffs linux: ist ja nicht mein rechner, mit dem ich mich abquäle und "ältere" leute halten nun mal nicht viel davon, wenn man ihnen vertrautes mit etwas neuem, "mysteriös komplizierten" ersetzen möchte.
die windows patches und SP1a spiel ich noch ein.
im gegensatz zu dem was vorher alles drauf war bin ich jedenfalls schon ein ganzes stückchen weiter.
So, da werd ich mich dann mal wieder ransetzen. Macht nämlich trotz meiner erstmaligen Begegnung mit Trojanern und Co. Spaß sich damit zu beschäftigen.

So long, Yeza

bei Antwort benachrichtigen
...hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt... ... GarfTermy
okay, dann isses wohl bei mir falsch angekommen, sorry Yeza