Logfile HijackThis 2

19.04.2005, 08:26

1. immer wenn ich in diesem forum einen post lesen will erhalte ich folgende meldung von meinem AV...:
Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

2. mein logfile hab ich mal angehängt und bitte um hilfe

--------------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 09:16:43, on 19.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\gah95on6.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\halflife2\steam.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\FlashGet\flashget.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.ijqunnfjfjulp.com/_FFOxStzbi ... jJNvM.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O2 - BHO: (no name) - {1BADB555-5424-4F70-780D-B8F3EA2951DB} - C:\DOKUME~1\SCHOKO~1\ANWEND~1\cast start wave\datacity.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe
O4 - HKLM\..\Run: [Bagsdataidolmix] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Caketwobagsdata\Glue sixth.exe
O4 - HKCU\..\Run: [Steam] "e:\halflife2\steam.exe" -silent
O4 - HKCU\..\Run: [Book ante] C:\DOKUME~1\SCHOKO~1\ANWEND~1\junk software bows\spam remote.exe
O4 - Global Startup: MA111 Configuration Utility.lnk = C:\Programme\NETGEAR\MA111 Configuration Utility\wlancfg4.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispirat en2ie.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: klamm.de - {EB52F380-B8AE-11d5-AE8E-52544025AABB} - https://www.klamm.de/?id=133628 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: klamm.de - {EB52F380-B8AE-11d5-AE8E-52544025AABB} - https://www.klamm.de/?id=133628 (file missing) (HKCU)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b30149.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - https://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - https://messenger.zone.msn.com/binary/Mi ... b30149.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - https://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - https://www.innova-webplaner.de/innova/p ... 5.0.11.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://v5.windowsupdate.microsoft.com/v ... 2101411031
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - https://messenger.zone.msn.com/binary/Me ... b28578.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - https://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - https://messenger.zone.msn.com/binary/ZI ... b30149.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - https://messenger.zone.msn.com/binary/Ba ... b30149.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - https://messenger.zone.msn.com/binary/Chess.cab30149.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - https://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - https://messenger.zone.msn.com/binary/So ... b28578.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - https://toolbar.dasoertliche-marketing.d ... Leiste.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--------------------------------------------------------------------------------------[

19.04.2005, 18:51

Hallöchen,

die Meldung deines Antivirenprogramm wurde durch das Logfile hervorgerufen vermute ich mal...

Was gibt es denn auf deinem Rechner für Probleme?

Am Logfile solltest du dir mal folgende Einträge anschauen und bei Bedarf fixen:

O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\system32\gah95on6.exe - Unbekannt
O4 - HKLM\..\Run: [Bagsdataidolmix] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Caketwobagsdata\Glue sixth.exe - Unbekannt
O4 - HKCU\..\Run: [Book ante] C:\DOKUME~1\SCHOKO~1\ANWEND~1\junk software bows\spam remote.exe - Unbekannt
O9 - Extra button: klamm.de - {EB52F380-B8AE-11d5-AE8E-52544025AABB} - https://www.klamm.de/?id=133628 (file missing) (HKCU) - Eventuell Böse
O9 - Extra 'Tools' menuitem: klamm.de - {EB52F380-B8AE-11d5-AE8E-52544025AABB} - https://www.klamm.de/?id=133628 (file missing) (HKCU) - Eventuell Böse
O16 - DPF: {4C0942C1-C405-4805-B3B6-EA16F2DDD1BD} (innova-Panorama-Viewer Object) - https://www.innova-webplaner.de/innova/p ... 5.0.11.cab - Eventuell Böse
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab - Böse
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe - Unbekannt
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe - Unbekannt

Da sind einige unnötige oder auch unbekannte Einträge vorhanden...

19.04.2005, 23:12

1. urplötzlich neue bookmarks in den favos, die ich aus irgendwelchen gründen nicht löschen kann.

2. nach jedem neustart eine unerwünschte menueleiste im iE, die ich nicht dauerhaft entfernen kann.

3. popups trotz blocker

4. speziell in diesem forum hier dauernde viruswarnungen

der witz an der sache ist punkt 1,2+3 sind ERST nach ausführen von Spybot s&d UND AdAware SE aufgetreten...

erklären kann ich mir das auch nicht.

spybot und adaware hab ich auch nur laufen lassen, weil mir aufgefallen ist, dass ich im TM einige prozesse laufen hatte, die meiner meinung nach nicht laufen sollten
und zwar: "gah95on6.exe" und "UAService7.exe" (und noch einer - aber den krieg ich jetzt nich mehr zusammen, weil ich die prozesse beim letzten neustart vorsichtshalber mal beendet hab

)

so - aber vielen dankerstmal für die auswertung... nu mussi ma gucken wie ich mir das da alles zurechtfrickeln kann ...

wird schon passen

20.04.2005, 14:56

Hallöchen,

bearbeite mal die Einträge wie angegeben und lösche die gefixten .exe und .dll Dateien im abgesicherten Modus...

Logfile HijackThis 2

hi jack this logfile

probleme:

Ähnliche Themen

Hijackthis Logfile

Hijackthis Logfile

Hijackthis logfile

Hijackthis logfile

HijackThis - Logfile

Benutzer, die dieses Thema gelesen haben: 0