PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : HiJackThis Log - ma reingugga ;-)

Hacki_P3D
2004-07-02, 18:28:03
Moin,

hier ein Log vom Kollegen:


Logfile of HijackThis v1.97.7
Scan saved at 18:24:59, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
H:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\DC++\DCPlusPlus.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
E:\neuinst ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.130.64.19:80
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\Voodoo\ANWEND~1\IESERV~1\IEService.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Internet Explorer Agent] C:\WINDOWS\System32\iexplorer.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: ZoneAlarm Pro.lnk = H:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv107/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11113111-1411-1611-8111-111111111413} - mhtml:file://c:\nul.mht!http://isd.balthost.ee//ClxConsole//Test3//flash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/267ebc20151f203a5023/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38087.4312962963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{49BBC7BB-EC81-4A8E-B6A3-47C90E4E8441}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0FA6A5-8B4C-46B5-9624-573B31BE11E6}: NameServer = 223.223.223.233


sooo, was meint ihr?
GUNDAM
2004-07-02, 18:37:30
Scheint kein schädling bei zu sein.
govou
2004-07-02, 18:37:36
Was soll das? Ist das jetzt in seine HiJack... Log zu posten?
Wenn nichts konkretes vorliegt (Virus, sonstige Störungen) ist das totaler Quatsch.
Hacki_P3D
2004-07-02, 18:48:12
Original geschrieben von Beh
Was soll das? Ist das jetzt in seine HiJack... Log zu posten?
Wenn nichts konkretes vorliegt (Virus, sonstige Störungen) ist das totaler Quatsch.

Vielleicht hat er ja eine "Störung" die ich nur nicht genannt habe, und ich eben durch das Log evtl. etwas rausfiltern wollte.. ?

Use your brain.. ;)


thx @Jean-Luc Picard :)
Black-Scorpion
2004-07-02, 19:52:28
O2 - BHO: (no name) - {9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\Voodoo\ANWEND~1\IESERV~1\IEService.dll
und
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
und
O4 - HKLM\..\Run: [Internet Explorer Agent] C:\WINDOWS\System32\iexplorer.exe
und
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv107/x.chm::/load.exe
und
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
und
O16 - DPF: {11113111-1411-1611-8111-111111111413} - mhtml:file://c:\nul.mht!http://isd.balthost.ee//ClxConsole//Test3//flash.cab ???
und
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0FA6A5-8B4C-46B5-9624-573B31BE11E6}: NameServer = 223.223.223.233 ???

Hast du den Proxy eingestellt?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.130.64.19:80

Mehr habe ich jetzt nicht gesehen.
Warte aber mal ab, bis die Spezialisten was dazu schreiben.
GUNDAM
2004-07-02, 20:01:21
Da hab ich die Log glaub ich ein wenig zu schnell überflogen. Sorry.

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv107/x.chm::/load.exe -> irgend ein Trojaner)

O4 - HKLM\..\Run: [Internet Explorer Agent] C:\WINDOWS\System32\iexplorer.exe -> noch ein Trojaner
Lokadamus
2004-07-02, 20:03:42
mmm...

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.130.64.19:80 <-- der Proxyserver ist gewollt? (hab nicht nachgeschaut, ob das was offizielles ist)
{9E992732-295F-4987-8BE3-16FAC1639198} - C:\DOKUME~1\Voodoo\ANWEND~1\IESERV~1\IEService.dll <-- ??? mail mir mal
O4 - HKLM\..\Run: [Internet Explorer Agent] C:\WINDOWS\System32\iexplorer.exe <--- Wah??? wenn ihr die alle habt, will ich die auch, mail mir ...

Was ist das? die Einträge kannst du aufjedenfall rauswerfen, hört sich aufjedenfall nicht sehr gut an:
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv107/x.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11113111-1411-1611-8111-111111111413} - mhtml:file://c:\nul.mht!http://isd.balthost.ee//ClxConsole//Test3//flash.cab

3 Nameserver? eigentlich hat man immer nur 2 ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{49BBC7BB-EC81-4A8E-B6A3-47C90E4E8441}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0FA6A5-8B4C-46B5-9624-573B31BE11E6}: NameServer = 223.223.223.233

Die beiden Dateien zippen und dann an mich mal mailen: Lokadamus@gmx.de Betreff: 3dc- Spyware
Black-Scorpion
2004-07-02, 20:17:47
Original geschrieben von Lokadamus

3 Nameserver? eigentlich hat man immer nur 2 ...
O17 - HKLM\System\CCS\Services\Tcpip\..\{49BBC7BB-EC81-4A8E-B6A3-47C90E4E8441}: NameServer = 217.237.150.225 194.25.2.129

Die 2 NS Server sind von t-online.
http://www.atelier89.de/users/dirk/t-o/010.html
Lokadamus
2004-07-02, 21:34:52
mmm...

So hab mir den Kram von den beiden Seiten mal heruntergeladen:

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!htt*://213.159.117.131/dl/adv107/x.chm::/load.exe
O16 - DPF: {11113111-1411-1611-8111-111111111413} - mhtml:file://c:\nul.mht!htt*://isd.balthost.ee//ClxConsole//Test3//flash.cab

In der Flash.cab ist die iexplorer.exe dabei und behauptet, ein Sicherheitstool für "broken links" und "script" Sachen zu sein, allerdings kann man auf dem ganzen Server keine Seite finden ... das andere Teil ist so erstmal eine Hilfedatei, welche aber unbedingt Active-X ausführen möchte (ist bei mir verboten) und ansonsten nichts anzeigt ... nebenbei verweisen beide Einträge auf Dateien mit der Endung .mht auf Laufwerk C:, kanns du ohne bedenken löschen, glaube nicht, das du irgendwas davon haben willst. Wenn die aktuelle Fassung von Antivir da nichts erkennt, melde ich den Kram dort mal (wobei ich dort momentan nichts runtergeladen bekomme) ...
Hacki_P3D
2004-07-03, 00:20:02
Danke Dir!
Hab ihm das mal so weitergeleitet..
HiddenGhost
2004-07-03, 02:30:10
Original geschrieben von Hacki_P3D
Moin,

hier ein Log vom Kollegen:



sooo, was meint ihr?

http://www.hijackthis.de/ <-- da mit Copy&Past das Log einfügen udn staunen. Dort wird die iexplorer.exe als potentiell gefährlich angesehen. Ich hab z.B. auch keine iExplorer.exe auf meinem System...
Lokadamus
2004-07-03, 04:44:41
mmm...

DIe iexplorer.exe ist Sypware (http://www.liutilities.com/products/wintaskspro/processlibrary/iexplorer/) ...