Hijack Logfile

[molsch]

Ich hab vorhin einige gefährliche Prozesse mit Hijack This entfernt. Was jetzt noch da ist sind einige unbekannte Prozesse, zu denen in der Datenbank kein Eintrag vorhanden war.
Kann mir vielleicht jemand eine kurze Info zu meinem Logfile und den genannten Datein geben?
Die automatische Logfile Auswertung zeigt mir ausserdem noch an, dass zwei Prozesse von iTunes und Quicktime unnötig sind. Stimmt das? Für was gibt es die dann? Gehört vielleicht nicht ganz zum Thema aber naja...

/edit: Der Prozess von Antivir wird als eventuell schädlich angezeigt, da er nicht im ordnungsgemässen Ordner liegt. Könnte das daran liegen, das ich gerade einen Virencheck durchführe?

Vielen dank im voraus.

code:

1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
43:
44:
45:
46:
47:
48:
49:
50:
51:
52:
53:
54:
55:
56:
57:
58:
59:
60:
61:
62:
63:
64:
65:
66:
67:
68:
69:
70:
71:
72:
73:
74:
75:
76:
77:
78:
79:
80:
81:
82:
83:
84:
85:
86:
87:
88:
89:
90:
91:
92:
93:
94:
95:
96:
97:
98:
99:
100:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:23:28, on 09.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Downloads\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [upp] c:\windows\system32\upnp.exe
O4 - HKLM\..\Run: [lmjvservc] cliahulp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [jmlcv4m] C:\WINDOWS\System32\mgcplwin.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\2136484.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: BWkZHHGIro - {1C51F531-B6FB-5F9B-82DB-843257BEFD6A} - C:\WINDOWS\System32\bsq.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 6932 bytes

Viper

Ja, die beiden von dir genannten eintraege von Quicktime und iTune koennen geloescht werden. Sind bei mir auch geloescht und ich nutze beides.

Mopao

Hallo molsch,

Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

#Bitte bevor du die Anleitungen anfängst,schicke mir zuerst folgende Dateien per Mail tm@vba32.de
C:\WINDOWS\System32\dbbsrcc.exe
C:\WINDOWS\System32\mgcplwin.exe
C:\WINDOWS\System32\fldmelds.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\2136484.exe

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken
O4 - HKLM\..\Run: [lmjvservc] cliahulp.exe
O4 - HKCU\..\Run: [lvcdmsys] C:\WINDOWS\System32\dbbsrcc.exe
O4 - HKCU\..\Run: [jmlcv4m] C:\WINDOWS\System32\mgcplwin.exe
O4 - HKCU\..\Run: [llsymvb] C:\WINDOWS\System32\fldmelds.exe
O4 - HKCU\..\Run: [WinMedia] C:\DOKUME~1\Besitzer\LOKALE~1\Temp\2136484.exe
O21 - SSODL: BWkZHHGIro - {1C51F531-B6FB-5F9B-82DB-843257BEFD6A} - C:\WINDOWS\System32\bsq.dll (file missing)

#PC neustarten
#Lade dir OTMoveIt.exe auf dem Desktop speichern!

OTMoveIt.exe klicken zum Starten.
Unregister Dll's and Ocx's soll markiert sein!
Folgende Dateien kopieren & in Paste List oft Files/Folders to be Moved rein!
C:\WINDOWS\System32\cliahulp.exe
C:\WINDOWS\cliahulp.exe
C:\WINDOWS\System32\dbbsrcc.exe
C:\WINDOWS\System32\mgcplwin.exe
C:\WINDOWS\System32\fldmelds.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\2136484.exe
C:\WINDOWS\System32\bsq.dll
Movelt klicken zum Loeschen.
Den Ihnhalt der Datei C:\_OTMoveIt\MovedFiles\M.T.2007_??????.log posten
Loesche den Ordner C:\ _OTMoveIt
Papierkorb leeren!

#Rechte Maustaste auf Arbeitsplatz---->Eigenschaften---->Systemwiederherstellung----> Haken setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren---->klicke Übernehmen---->dann OK, wieder aktivieren..

#Lade dir ComboFix.exe,auf dem Desktop speichern.

Alle Andere Fenster schlißen.
ComboFix.exe doppelklicken.
Bestätige mit Y.
Den Anweisung auf dem Bildschirm folgen
Den Inhalt der Datei C:\combofix.txt posten.

#PC neustarten
#Lade dir dir SmitfraudFix.exe auf dem Desktop speichern.

SmitfraudFix.exe doppelklicken.
Danach wird einen Ordner SmitfraudFix auf dem Desktop erstellt.
PC neustarten--> abgesicherter Modus.
Ordner SmitfraudFix öffnen.
SmitfraudFix.cmd doppelklicken.
Taste 2 und dann Enter.
Den Anweisungen auf dem Bildschirm folgen.(Wenn Frage kommt mit J antworten.)

#PC neustarten
#Lade dir Trusted_Zonefix.zip auf dem Desktop speichern & entpacken.

Vorher alle andere Fenster schlissen,denn der PC wird automatisch neugestartet.
Ordner Trusted_Zonefix öffnen.
Trusted_Zonefix.bat doppelklicken.
Gebe die Taste 1--->Enter.
Den Anweisungen auf dem Bildschirm folgen.

#Mache a-squared Web Malware Scanner Online Scan (Mit Internet Explorer!)

#Mache F-Secure Online-Virenscanner Online Scan (Mit Internet Explorer!)

#Lade dir AVG Anti-Spyware auf den Desktop speichern und installieren.
http://www.paules-pc-infothek.de/ppf2/viewtopic.php?t=1142

Unbeding Update machen.
PC neustarten--> abgesicherter Modus.
Starte AVG Anti-Spyware.
Scanner klicken.
Kompletter System-Scan klicken.
Wenn das Tool den Scan beendet hat, unten auf loeschen wählen
Alle Aktionen übernehmen klichen.

#PC neustarten.

#Lade dir Kostenloser VBA32 Scanner auf dem Desktop speichern und entpacken.
http://www.paules-pc-infothek.de/ppf2/viewtopic.php?t=1156

Vba32Scan öffnen.
Vba32Scan.exe doppelklicken.
Alle Funde manuel loeschen.

Scane den PC mit CounterSpy V2

Mache bitte folgende Online scan: (Mit Internet Explorer)
kaspersky
Panda
trendmicro

#Bearbeite bitte CCleaner,so sollte die einstellung sein.
http://www.paules-pc-infothek.de/ppf2/viewtopic.php?t=1138

#Inhalt folgende ordner loeschen:

C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen
C:\WINDOWS\Prefetch---> Inhalt löschen

#PC neustarten!
#Neues HijackThis log, den Inhalt der Datei C:\combofix.txt & WindowsScan Ergebnis posten

Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH