hi, hab nen rechner versucht mit diversen tools clean zu bekommen (war unter anderem ein trojaner drauf). hab aber auch nicht allzu viel ahnung.
kann sich jemand eventuell mal die logfiles diverser scans anschauen und mir eventuell noch sagen, was noch gelöscht werden kann?
hijackthis:
ogfile of HijackThis v1.97.7
Scan saved at 14:56:46, on 01.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Programme\\AVPersonal\\AVGUARD.EXE
C:\\Programme\\AVPersonal\\AVWUPSRV.EXE
C:\\WINDOWS\\System32\\nvsvc32.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\wanmpsvc.exe
C:\\WINDOWS\\System32\\MsPMSPSv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\Mixer.exe
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe
C:\\Programme\\AVPersonal\\AVGNT.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
C:\\Programme\\Messenger\\msmsgs.exe
C:\\WINDOWS\\System32\\shellexp.exe
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Programme\\Lavasoft\\Ad-aware 6\\Ad-aware.exe
C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe
C:\\Dokumente und Einstellungen\\Vati\\hijackthis\\HijackThis.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Programme\\Adobe\\Acrobat 5.0\\Reader\\ActiveX\\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\System32\\msdxm.ocx
O4 - HKLM\\..\\Run: [NeroCheck] C:\\WINDOWS\\System32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\\..\\Run: [RealTray] C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\Programme\\AVPersonal\\AVGNT.EXE /min
O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\ctfmon.exe
O4 - HKCU\\..\\Run: [MSMSGS] "C:\\Programme\\Messenger\\msmsgs.exe" /background
O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en
O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\\Programme\\AOL 8.0\\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
------------------------------------------------------------------
asviewer:
DiamondCS Autostart Viewer (www.diamondcs.com.au) - Report for Ich@WALTER, 04-01-2004
c:\\windows\\system32\\autoexec.nt
C:\\WINDOWS\\system32\\mscdexnt.exe
C:\\WINDOWS\\system32\\redir.exe
C:\\WINDOWS\\system32\\dosx.exe
c:\\windows\\system32\\config.nt
REM Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF
C:\\WINDOWS\\system32\\himem.sys
c:\\windows\\system.ini [drivers]
timer=timer.drv
c:\\windows\\system.ini [boot]\\shell
C:\\WINDOWS\\Explorer.exe
c:\\windows\\system.ini [boot]\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
C:\\WINDOWS\\Explorer.exe
HKCU\\Control Panel\\Desktop\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKCR\\vbsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\vbefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wshfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wsffile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NeroCheck
C:\\WINDOWS\\System32\\NeroCheck.exe
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\C-Media Mixer
Mixer.exe /startup
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NvCplDaemon
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\RealTray
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\AVGCtrl
C:\\Programme\\AVPersonal\\AVGNT.EXE /min
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSMSGS
C:\\Programme\\Messenger\\msmsgs.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer
C:\\WINDOWS\\System32\\shellexp.exe en
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WNSC
C:\\WINDOWS\\System32\\wnsintsv.exe
HKU\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\CTFMON.EXE
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\System32\\webcheck.dll
C:\\WINDOWS\\System32\\stobject.dll
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk
C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk
C:\\Programme\\AOL 8.0\\aoltray.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinScheduler.lnk
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk
C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\BootExecute
autocheck autochk *
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit
C:\\WINDOWS\\system32\\userinit.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\cmdline
C:\\WINDOWS\\system32\\ntvdm.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\wowcmdline
C:\\WINDOWS\\system32\\ntvdm.exe -a %SystemRoot%\\system32\\krnl386
HKLM\\System\\CurrentControlSet\\Services\\Winsock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\
C:\\WINDOWS\\system32\\mswsock.dll
C:\\WINDOWS\\system32\\rsvpsp.dll
---------------------------------------------------------------------
warnungen von AntiVir:
C:\\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\7U8BBPC5
CnsMin[2].cab
ArchiveType: CAB (Microsoft)
--> CnsMin.dll
HINWEIS! Der Archivheader ist defekt
--> CnsMin.inf
HINWEIS! Der Archivheader ist defekt
--> cns02.dat
HINWEIS! Der Archivheader ist defekt
--> CnsHook.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\GL4TERO1
NSupd9x[1].cab
ArchiveType: CAB (Microsoft)
--> NSupd9x.inf
HINWEIS! Der Archivheader ist defekt
--> nsupdate.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\RLWANHHE
bg2desktop_2[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\\WINDOWS\\system32\\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
-------------------------------------------------------------------
spybot:
Alexa Related: What\'s related link (Datei austauschen, nothing done)
C:\\WINDOWS\\Web\\related.htm
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-18\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3
Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=
Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=
Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=
Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Dein IE ist nicht auf dem aktuellen Patchlevel!
Running processes:
C:\\WINDOWS\\System32\\shellexp.exe
Böse. Guckst du hier...
O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en
Siehe oben. Weg damit.
O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe
Böse. Guckst du hier...
Anyway...ich rate dringend zu einem Neuaufsetzen des Systems. Microsoft übrigens auch:
The Ten Immutable Laws of Security