Forum
Tipps
News
Menu-Icon

Schaut euch mal schnell den hijack an bitte

hatte eben die meldung, dass der trojaner TR/Winshow.P.DLer gefunden wurde....Was muss ich tun??? Bitte helft mir...
Hier der Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 19:38:21, on 15.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\system32\LEXPPS.EXE
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\Norton AntiVirus\navapsvc.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\sstray.exe
E:\Programme\Winamp\winampa.exe
E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Lexmark X1100 Series\lxbkbmon.exe
E:\Programme\Trojancheck 6\tcguard.exe
E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\RUNDLL32.EXE
E:\Programme\Messenger\msmsgs.exe
E:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
E:\PROGRA~1\NORTON~1\navw32.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
E:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRA~1\ICQ\ICQ.exe
E:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
E:\Dokumente und Einstellungen\Kolja\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.sarc.com/avcenter/cgi-bin/virauto.cgi?vid=36524
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "E:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Trojancheck 6 Guard] E:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NAV CfgWiz] E:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.149.161 194.25.2.129



Antworten zu Schaut euch mal schnell den hijack an bitte:

Is nix auffälliges zu sehn, ausser unnütze Einträge die beim start nicht benötigt werden

Gruß

Danke erstmal.
Folgendes hatte ich bevor ich hier gepostet hatte schon gemacht:

Spybot drüberlaufen lassen....nix gefunden
CW Shredder benutzt...hatte was gefunden und auch was gelöscht....keine Ahnung mehr was...ich glaub SmartSearch bin mir aber net sicher obs Smartsearch war

Ausserdem war noch auffällig: Als die Meldung kam das der Virus gefunden wurde, musste ich ca. 500 mal (das ist wirklich kein Witz das war wirklich so) auf OK drücken weil der scheinbar immer wieder kam...

Hab hier das Logfile gepostet weil ich mir nicht sicher war ob ich nich doch noch irgendwas drauf hab

was meinste denn mit unnütze einträge?
ach und noch ne frage: was bedeuten in meinem logfile diese 2 sachen:
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.149.161 194.25.2.129

Ach und noch ne dritte Frage:

Diese Sachen hier haben mich auch verwirrt:

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll

Besonders das dritte, dieses msdxm.ocx

Sorry das ich vielleicht etwas nerve mit den Fragen aber das war das erste mal überhaupt das ich n trojaner oder ähnliches aufem pc hab und daher bin ich etwas panisch zurzeit.

Unnütze Einträge, sind Sachen die sich in den Autostart/systray schreiben die man aber alle jahre mal braucht, und dann kann man sie auch selber starten, dann dauert der Startvorgang nämlich auch nicht mehr so unnötig lang.
Also für ein funktionierendes System unnötig

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE

Wennste natürlich welche davon haben willst/unbedingt brauchst, musst sie nicht fixen.
Genauso noch die Druckereinträge, aber da si schwer zu sagen immer was gebraucht wird für die funktionalität musste selber testen.

Zitat
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton AntiVirus\NavShExt.dll

Das sind Browser Helper Objects sowas wie Plugins..
Die sind alle in Ordnung..

msdxm = Internet Explorer Radio Bar

Und das .spop gehört zum Acrobat-Reader

Und wenn du 500 mal die Meldung bekommen hast muss ja auch im AV-Log stehn welcher Virus das war und was er letztendlich damit gemacht hat oder?

Gruß

Danke, hast mir sehr geholfen!

Darauf biste noch nich eingegangen sind das auch Plugins bzw. Browser Helper Objects?

O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.149.161 194.25.2.129

Folgendes stammt aus der Report Datei von AntiVir:

15.04.2004,17:29 [WARNUNG]  Ist das Trojanische Pferd TR/WinShow.P.DLer!
  E:\WINDOWS\MSXMIDI.EXE
      [INFO]  Die Datei wurde gelöscht!

Aber 500mal ist doch nicht normal oder?

Zitat
O12 - Plugin for .spop: E:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Jo da stehts ja auch dran das es ein Plugin(IE) ist...und die O12 sind meist in Ordnung da is ganz selten was schädliches..

Zitat
O17 - HKLM\System\CCS\Services\Tcpip\..\{43CEE3B9-B979-4513-AFB6-BF514BFC08E1}: NameServer = 217.237.149.161 194.25.2.129

O17 sind Domain-Hijackers, wenn da nicht die DNS-Server deines Providers drinstehn auch fixen.

Überprüfen kannst das wennste über start->ausführen->
Eingabe: cmd

x:\...>ipconfig -all

Und dort stehn dann die DNS-Server die vergleichste mit den Einträgen von O17 stimmen sie überein is gut ansonsten weg mi O17

Zitat
Aber 500mal ist doch nicht normal oder?

Nö eigentlich nicht, aber wen dort steht gelöscht..naja musste halt mal nach der Datei suchen ob sie noch da ist, und/oder das system nochmal scannen

Gruß

Also diese Nummer die mit 217 beginnt steht unter DNS-Server, habs grad geprüft.
Aber da waren noch andere Nummern zb. bei Standardgateway.

Zitat
O17 sind Domain-Hijackers, wenn da nicht die DNS-Server deines Providers drinstehn auch fixen.

Wenn WO nicht die DNS-Server stehen?

AntiVir scannt übrigens grad nochmal.

Bei O17 stehn doch IP's die sollten überinstimmen mit den IP's bei IPconfig -all -> DNS-Server. . . . . . . . . . . . :

217.237.149.161 = www-proxy.H1.srv.t-online.de
194.25.2.129 = dns03.btx.dtag.de

Also die sind in Ordnung...

Gruß

Okay, dann ist gut.

Bis hierhin erstmal danke, hast mir sehr weitergeholfen.

Wenn noch was ist, werd ich mich melden. :)

Da bin ich schon wieder. ::)

Was bedeutet dieses hier:
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\RUNDLL32.EXE

Vor allem dieses RUNDLL gibt mir Rätsel auf.

Nighty, wo bist du? ???

Ctfmon brauchste auch nicht gehört zu Office..

Deaktiviern:

Start->systemsteuerung->software->Ms Office...->ändern -> Feature hinzufügen/entfernen->Alternative Benutzereingabe deaktiviern (auf nicht verfügbar stellen)
->ok

danach musste noch zu:

Start->ausführen->Systemsteuerung->Tastatur, ->Hardware->Kategorieansicht->Datums-/Zeit-/Sprach und Regionaleinstellungen->Regions/Sprachoptionen-> Sprachen->Details

Da musste dann alle Treiber löschen ausser dem Tastaturtreiber.
->OK/Übernehmen

Jetzt musste noch start->ausführen->Eingabe:
regsvr32 /u msimtf.dll

und das gleiche nochmal mit:
Regsvr32.exe /u msctf.dll

Und Rundll kannste mit dem Virenscanner scannen, aber ansonsten isses eine normale Windowsdatei

Gruß

Okay, danke.

O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background

Ich bins nochmal.
@Nighty: Das is doch nur der Yahoo Messenger oder?

Nö das der Windows-Messanger

Gruß

Oh! ;D

Das meinte ich eigentlich auch...
War wohl gestern abend schon zu müde... ;D

Naja, trotzdem danke!

Nochmal ne Frage zu dem Logfile.
Wofür stehen eigentlich die R1-Einträge und warum hab ich bei jedem Scan mit Hijackthis immer dasselbe da stehen (also die symantecseite) selbst wenn ich auf der seite seit über einem monat nicht mehr drauf war?

Sorry, da bei mir ja nur ein einziger R1-Eintrag sthet, meinte ich natürlich wofür DER eintrag (singular) steht, nicht DIE einträge (plural).

Das ist ne Start oder Suchseite vom IE..

Gruß

Also ne Startseite kanns nicht sein, da ich mit t-online ins Internet gehe und die Startseite bei mir t-online.de ist.

Und in den Eigenschaften vom IE steht http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome als Startseite.

Jo das sind standard-seiten die automatisch eingesteööt werden wenn welche gelöscht werden

Gruß


« lsa shellWorm/Agobot NN/A »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...