Trojaner?

Dieses Thema im Forum "Sicherheit" wurde erstellt von hazzard, 1. August 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hazzard

    hazzard Kbyte

    Registriert seit:
    17. August 2002
    Beiträge:
    240
    Hallo

    Ih habe das Problem, daß mein Virenscanner nach 75% hängenbleibt, und der Rechner einfriert und nicht mehr reagiert. Einzige Alternative ist Neustart. Hier mein Hijack Thislog:

    Logfile of HijackThis v1.98.0
    Scan saved at 15:38:18, on 01.08.2004
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
    C:\WINNT\system32\Ati2evxx.exe
    C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
    C:\WINNT\System32\svchost.exe
    C:\WINNT\SYSTEM32\GEARSEC.EXE
    C:\Programme\Ahead\InCD\InCDsrv.exe
    C:\WINNT\system32\regsvc.exe
    C:\Programme\Photodex\CompuPicPro\ScsiAccess.exe
    C:\WINNT\system32\stisvc.exe
    C:\Programme\Trend Micro\PC-cillin 9\Tmntsrv.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\Programme\Trend Micro\PC-cillin 9\PCCPFW.exe
    C:\WINNT\Explorer.EXE
    C:\WINNT\htpatch.exe
    C:\PROGRA~1\HotKeys\Ikeymain.exe
    C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
    C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe
    C:\Programme\Trend Micro\PC-cillin 9\PCCClient.exe
    C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe
    C:\Programme\QuickTime\qttask.exe
    C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
    C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    C:\WINNT\Mixer.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Programme\RAM Def\ramdef.exe
    C:\WINNT\system32\internat.exe
    C:\Programme\AOL 9.0\aoltray.exe
    C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    C:\PROGRA~1\IZARC\IZARC.EXE
    C:\DOKUME~1\WOLFGA~1\LOKALE~1\Temp\ARC2\HijackThis .exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [URL]http://www.aol.de/e60/suche/[/URL]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pc-welt.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
    O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
    O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 9\pccguide.exe"
    O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 9\PCCClient.exe"
    O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 9\Pop3trap.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [RAMDef] C:\Programme\RAM Def\ramdef.exe -tray
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
    O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
    O9 - Extra button: Preispiraten 2.1.1 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispirat en2ie.exe
    O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)
    O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/...bin/AvSniff.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab
    O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{26FA0EC4-A878-4440-81EC-A91FA353B282}: NameServer = 192.168.0.1,192.168.0.2
    O17 - HKLM\System\CCS\Services\Tcpip\..\{520BA2FD-531E-4C91-8B2E-9C73F77154D6}: NameServer = 62.104.191.241 62.104.196.134


    Vielen Dank im vorraus für die Hilfe.
    Gruß hazzard:confused:
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ hazzard

    Kannst du vielleicht dein Log-File nochmal neu posten.
     
  3. hazzard

    hazzard Kbyte

    Registriert seit:
    17. August 2002
    Beiträge:
    240
    Hallo

    Komischerweise habe ich dieses Problem nur bei PC-Welt. Entweder spinnt hier was mit dem hochladen oder liegt es an der blöden AOL Software die ich sowieso nicht mehr benutze. Bei anderen Foren klappt es einwandfrei. Schau mal <Hier>

    Gruß hazzard
     
  4. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Hey Cidre,

    Du kennst Dich doch mit HiJack ganz gut aus.
    Mich persönlich würde interessieren, wie man an so ein ellenlanges Log kommt.
    Ich habe bei mir insgesamt 61 Einträge und finde das schon viel...
     
  5. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Das ist nur deshalb ellenlag weil beim Copy&Paste was schief gegangen ist. Der letzte Block ist ja x-mal vorhanden. Ich vermute das liegt an der tollen neuen Forensoftware. :D

    Folge hazzards Link und du siehst, es ist gar nicht soo lang wies hier erscheint.
     
  6. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Okay, ist echt so.
    Ich habe gedacht, daß er mit der Bemerkung:
    "Komischerweise habe ich dieses Problem nur bei PC-Welt."
    das Herausrutschen der Zeilen aus den Postings nach rechts meint :-)

    Naja, aber trotzdem habe ich hier schon Logs gesehen, die ja wirklich ein enormes Ausmaß angenommen hatten...
     
  7. Donmato

    Donmato Megabyte

    Registriert seit:
    23. September 2002
    Beiträge:
    1.877
    wenn ich das richtig sehe hast du 2 vierenscanner drauf
    dann is das auch kein wunder
    entwerder PCCilin oder norten
    beides geht nich
     
  8. waldi

    waldi Guest

    moin hazzard

    zu deiner sig - woher willst du das wissen :D
     
  9. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    @ Donmato

    Ob nun 2 oder 20 Virenscanner, daß sollte eigentlich kein Problem sein. Problematisch wird es erst, wenn er mal als einen Virenwächter einsetzt.

    Ich z. B. habe 5 Virenscanner auf meinem Rechner, aber nur ein Virenwächter ist aktiv. ;)


    @ waldi

    Wohl im Forum geirrt, was? :D :D :D
     
  10. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ AntiDepressiva

    Was treibst du denn alles, bei so vielen Einträgen?:D
     
  11. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Naja, alles, was ich so treibe, kann HJT zum Glück nicht aufzeichnen. PUH!
    Ich kann's Dir ja mal posten, dann weißte Bescheid ;-)
     
  12. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ AntiDepressiva

    Bei dir hab ich keine Bedenken.;)
     
  13. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    So, wie versprochen ;-)
    Und jetzt analysier mal mal kräftig einen ;-)
    Namen und IP's habe ich mal anonymisiert, nicht wundern.


    Logfile of HijackThis v1.97.7
    Scan saved at 22:39:27, on 2.8.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\SLEE503.exe
    C:\WINDOWS\system32\slserv.exe
    C:\Programme\WZCBDL Service\WZCBDLS.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Programme\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
    C:\Programme\D-Link AirPlus\AirPlus.exe
    C:\Programme\Steganos Security Suite 6\sss.exe
    C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
    C:\Programme\Steganos Security Suite 6\safe.exe
    C:\Programme\Avant Browser\iexplore.exe
    C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
    C:\WINDOWS\System32\msiexec.exe
    C:\PROGRA~1\GEMEIN~1\SIEMEN~1\DESSER~1.EXE
    C:\WINDOWS\System32\dllhost.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://server:8080/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.*.*.*;<local>
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\Programme\D-Link\Air USB Utility\AirCFG.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: D-Link AirPlus.lnk = ?
    O4 - Global Startup: Steganos Security Suite 6.lnk = ?
    O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
    O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
    O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
    O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
    O9 - Extra button: Recherchieren (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *Domänenname*
    O17 - HKLM\Software\..\Telephony: DomainName = *Domänenname*
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: *Domänenname*
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *Domänenname*

     
  14. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Echt nicht?
    LOL
    Selbst ich habe Bedenken bei mir! ;-)
     
  15. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ AntiDepressiva

    Nachdem du mich jetzt so heiß machst, dann poste doch mal (PN).:p
     
  16. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Häh?
    Wie jetzt?
    Habe doch schon :-(
     
  17. hazzard

    hazzard Kbyte

    Registriert seit:
    17. August 2002
    Beiträge:
    240
    Hallo allerseits

    jetzt versuche ich bereits das 6. mal eine Antwort zu posten, aber einmal die Meldung daß die Seite nicht gefunden werden konnte und 4 oder 5 mal daß mein Dokument keine Daten enthält.

    @waldi
    nicht persönlich nehmen, aber meine Waldis haben 4 Beine, bellen und sind zum fürchten.

    Das Problem mit der langen Logdatei trat Anfang Juni bereits in 2 Fällen auf, aber auch nur bei PC-Welt.
    <Hier>
    und <Hier>
    Aber <Hier> nicht.

    Ich habe nur 1 Virenscanner auf dem System. PC-cillin. Der Eintrag von Norton stammt von einem Onlinescan.

    Das Problem daß der Virenscanner bei75% hängen bleibt ist vermutlich ein Temperaturproblem. Mit gereinigtem Kühlkörper und Lüfter sowie offenem Seitendeckel funktioniert es jetzt. Der letzte Scan brachte keinen Virus zutage, und er ist up to Date.

    Die Google Suche nach slserve.exe brachte nur zwei vermutlich tschech. oder ungar. oder so ähnliche Einträge. Die Datei habe ich gelöscht und auch in der Registry und auf dem gesamten System nicht mehr gefunden. Nichtsdestotrotz werde ich sowie ich das Temperaturproblem gelöst habe(vermutlich morgen) mein System neu aufsetzen. Mein altes Image schmeiß ich weg sonst habe ich wieder diese blöde AOL drauf. Ich werde aber erst zwei Gehäuselüfter montieren.

    Gruß und Danke für die Antworten
    hazzard
     
  18. hazzard

    hazzard Kbyte

    Registriert seit:
    17. August 2002
    Beiträge:
    240
    Hallo

    Ich sehe hier gerade daß AntiDepressiva auch diese Datei slserve.exe draufhat. Ist dies nun eine wichtige Systemdatei oder was? Google brachte kein Ergebnis.
    Komisch nur unter AOL ist es mir möglich im Forum Antworten abzusetzten. Weder Firefox noch der IE sendet fertig.

    Gruß hazzard
     
  19. AntiDepressiva

    AntiDepressiva CD-R 80

    Registriert seit:
    22. April 2003
    Beiträge:
    7.651
    Ich vermute Du hast eine Onboard Netzwerkkarte auf eine SIS-Board.
    Bei mir ist das zumindest der Grund für diese Datei.
     
  20. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen